For quite some time I have been looking into setting up my own mail server. But having configured postfix for a little service I run, I’d been cautious making changes into that direction. Postfix offers too many configuration options, too many settings and all in a way that’s too arcane to me; every change in fear of accidentally creating an open relay by accident.

But recently I came across an article by SIDN about four modern systems for self hosting e-mail and I was intrigued. Especially about Chasquid, with its limited scope and focus on security, also through ease of configuration.

Getting started

Actually the tool comes with a nice setup guide. And first bonus, it suggest to just make use apt (although it won’t get you the latest); no special repos. So I made sure a test server I had running was updated to the latest Debian and installed Chasquid a…

When you’re writing server to server communication locally, and these servers are running behind some proxy like puma-dev that enables SSL connections, you may face issues with OpenSSL (or variant) not trusting the connections. That is good, you want OpenSSL not to trust just any random certificate. But how to make it pass?

Your web browser probably allows you to visit a page on a server and even approve the certificate. You should then export the chain as .pem (Firefox makes this pretty easy: click on the lock, view security, view certificate, go to the “CA”-tab for that certificate and export the chain.

This PEM chain is just a plain text file, containing the public certificates of your local ‘CA’ (created by Puma-Dev)

Copy the text using an editor of choice.

And now open up: /opt/homebrew/etc/ca-certificates/cert.pem and add it.

Also make sure that everything uses this cert.pem by symlinking it to this file, so for example with ruby run

 $ ruby -ropenssl -...

Recently I’ve been researching what other Certificate Authorities do within the domain of online generation of certificate requests (and related private keys).

It is tricky territory: JavaScript and Crypto. Or more generic, webapplications and crypto. But with the advance of the WebCryptoAPI some issues that were raised (e.g. insufficient random number generation) by security experts have been addressed, but still: the WebCryptoAPI entry on MDN starts with a fair warning: “If you’re not sure you know what you are doing, you probably shouldn’t be using this API.”

Why think about a web implementation at all to create a certificate request? Typically tools to generate certificates are hard to use. Just look at the list of options a user has to generate certificates, which are typically all of…

Veilige verbindingen zijn gebaseerd op een keten van vertrouwen. Browsers en computers vertrouwen standaard een beperkt aantal zogenaamde ‘root’-certificaten. Deze root certificaten kunnen gebruikt worden om een groen slotje te geven aan een site. Meestal gebeurd dat met een tussenliggend certificaat: De site betrouwbaar omdat deze Certificaat A heeft welke vertrouwd is omdat het ondertekend is door Certificaat B en Certificaat B wordt vertrouwd omdat het ondertekend is door een root certificaat (de keten kan complexer en langer zijn); een certificaat dat vastgelegd is in de browser of het besturingssysteem. Het is dus belangrijk dat een beheerder van een root certificaat er alles aan doet dat diens vertrouwen niet wordt geschonden. Dat is vorig jaar bij Symantec (het bedrijf dat bekend is geworden met Norton Utilities en later AntiVirus) gebeurd.

Certificaten mogen alleen worden uitgegeven aan eigenaren van een domeinnaam; certificat…

There important reasons to use HTTPS. It makes your systems more secure, helps to protect your users privacy, and will prevent others to hijack your account to deface your site.

If you’ve ever tried to secure your site you may have found how hard it is. You have to generate a private key, a certificate signing request, upload that request somewhere, pay, process the e-mail, upload the certificate, configure your server and set a reminder that in 1, 2, 3 or 5 years you’ve got to go through most of that same process again (which I described before in more detail in an earlier “how I do it”-article. Well, no longer! Enter: Let’s encrypt.

Actually, Let’s encrypt is so easy that I had doubts whether I should even write this post. But maybe it wins an extra soul or two over.

The recommended way to get sta…

Soms vinden er transacties plaats op het internet waar niet iedereen de inhoud van mag weten. Om dat te kunnen garanderen moet de inhoud versleuteld zijn. En dat niet alleen: jij moet zeker weten dat je het stuurt naar de juiste ontvanger, en de ontvanger moet zeker weten dat jij het bent zodra deze iets terugstuurt. Hiervoor is TLS/SSL uitgevonden waar bij de ontvanger zich identificeert met een certificaat. Certificaten worden over het algemeen uitgegeven door een bedrijf dat vertrouwd wordt door de makers van een browser. Het is enigszins vergelijkbaar met hoe werkgevers een diploma vertrouwen dat is uitgegeven door een Nederlandse school omdat deze wordt gecontroleerd door de overheid. Vertrouwd een browser het niet dan krijg je een waarschuwing te zien. Vertrouwd de browser het wel dan staat er een slotje in beeld en/of is de adresbalk veelal groen.

Als iedereen zich aan de regels houdt en het vertrouwen niet schaadt werk…