[PVE-User] HTTPS for download.proxmox.com

Francesco Ongaro francesco.ongaro at isgroup.it
Thu Nov 30 14:07:00 CET 2017 

On 30/11/2017 12:32, Dietmar Maurer wrote:
> This is why we have an enterprise repository! Please use the enterprise
> repository 
> if you want SSL.

Hi Dietmar,

I greatly respect the work you do on Proxmox but this specific response
is under your habitual standards from a security standpoint.

$ curl "https://download.proxmox.com"
curl: (51) SSL: certificate subject name (enterprise.proxmox.com) does
not match target host name 'download.proxmox.com'

$ curl "http://download.proxmox.com"
<html>
<head><title>Index of /</title></head>
<body bgcolor="white">
<h1>Index of /</h1><hr><pre><a href="../">../</a>
<a href="debian/">debian/</a>
14-Nov-2017 08:14                   -
<a href="images/">images/</a>
16-Mar-2017 15:58                   -
<a href="iso/">iso/</a>
24-Oct-2017 11:19                   -
<a href="temp/">temp/</a>
25-Oct-2017 13:03                   -
</pre><hr></body>
</html>

Even if some files are signed and can be manually verified it would be
nice to have such vhost protected by a secure communication channel.

Using SNI you can implement this at little cost (no need to have an
additional IP, given clients are up date) and then just get a
certificate for that Common Name from your certificate authority of
choice.

+1 for HTTPS

Thanks,
Francesco `ascii` Ongaro

-- 
Francesco Ongaro, Senior Security Researcher
ISGroup: Information Security Group (www.isgroup.it)
Tel       (+39) 045 4853232
Fax       (+39) 045 5111719
Voicemail (+39) 02 320624653

AVVISO PRIVACY

Il contenuto della presente e-mail ed i suoi allegati, sono diretti
esclusivamente al destinatario e devono ritenersi riservati, con
divieto di diffusione o di uso non conforme alle finalità per le quali
la presente e-mail è stata inviata.

Pertanto, ne è vietata la diffusione e la comunicazione da parte di
soggetti diversi dal destinatario, ai sensi degli artt. 616 e ss. c.p.
e D.lgs n. 196/03 Codice Privacy.

Se la presente e-mail ed i suoi allegati sono stati ricevuti per
errore, siete pregati di distruggere quanto ricevuto e di informare il
mittente al seguente recapito: isgroup at isgroup.it

More information about the pve-user mailing list