Hier möchten wir euch einen Überblick über das Thema "Verschlüsselung" in unserem IRC-Netzwerk geben. Ihr findet hier generelle Informationen zum Thema SSL, sowie Hilfestellungen zur Konfiguration eures IRC-Clients.

Warum per SSL verbinden?

Wir sind schon seit Jahren der Meinung, dass nur die Personen mitlesen sollten, die auch mit dem Netzwerk verbunden, bzw. im Channel anwesend sind.
Daher findet die Kommunikation aller IRC-Server untereinander ausschließlich verschlüsselt statt. Wir verwenden für diese Verschlüsselung das als sicher geltende AES256-SHA.
Seit Anfang des Jahres 2011 ist selbst unsere Webseite nur noch per SSL erreichbar, sodass eure Eingaben in den Webapplikationen nur noch über einen sicheren Kanal abgewickelt werden.

Um auf den Punkt zu kommen:
Solltet ihr euch mit eurem IRC-Client per SSL verbinden, dann schließt ihr damit die letzte Lücke zur vollständigen Verschlüsselung eurer Kommunikation.
Das Optimum würdet ihr dann in Channels mit dem Mode "+z" erreichen.

Was muss ich beachten?

Grundvoraussetzung ist natürlich, dass ihr einen IRC-Client verwendet, welcher SSL unterstützt.

Als Einstellung gilt dabei generell:

Server: irc.german-elite.net
Port:     6670, 6697 oder 9999

Unsere SSL-Zertifikate (mit Ausnahme des Zertifikats für die Webseite) sind aus Kostengründen allesamt mit einem von uns erstellten Root-Zertifikat (CA) signiert.
Aufgrund dessen könnte euer IRC-Client eine Fehlermeldung ausgeben, dass die Gültigkeit des Serverzertifikats nicht verifiziert werden kann.
Abhilfe schafft da nur das Hinzufügen unserer CA bei eurem Client.

Wie das funktioniert, wird im Folgenden beschrieben:

Als erstes müsst ihr unser Root-Zertifikat (CA) - MD5-Hash: 2ddda0a46aa25d9462eb30db1a532d9d
downloaden und dann in der Tabelle nach eurem IRC-Client suchen.



Client Version Pfad (Root-Zertifikat) Subject Alternative Name
mIRC 7.19 siehe Screenshots ab 7.27
XChat (SilvereX) 2.8.6-2 C:\some\openssl\dir\ssl\cert\cert.pem ja
ChatZilla 0.9.86 siehe Screenshots ja
Pidgin 2.7.4 C:\Programme\Pidgin\ca-certs\ca.gen.pem ja

Was bedeutet "Subject Alternative Name"?

Es handelt sich dabei unter anderem um eine Möglichkeit, zusätzliche Subdomains in ein SSL-Zertifikat einzutragen.
Dadurch ist das jeweilige Zertifikat für die individuelle Serveradresse, die Verteileradresse für den Lastenausgleich ( irc.german-elite.net ),
sowie für unsere alternativen Domains gültig.

Das bedeutet, dass ihr nur dann keine SSL-Fehlermeldungen bekommt, solange ihr unsere offiziellen Domains benutzt und euer IRC-Client "Subject Alternative Name" unterstützt.

Euer IRC-Client steht nicht in unserer Tabelle?

Dann wird euer Client vermutlich nicht die folgenden beiden Kriterien erfüllen:

  SSL-Unterstützung
  Möglichkeit der Angabe einer CA

Sollten wir dennoch einen Client übersehen haben, der in diese Tabelle gehört, wären wir für Hinweise sehr dankbar.

Screenshots:

  mIRC:

1. Im Options-Fenster (Alt+o) auf SSL klicken.


2. Im folgenden Fenster auf den leeren Button unter "Trusted authorities file:"
klicken und das heruntergeladene Zertifikat auswählen.


  XChat:

Der 'silverex' build für Linux schaut standardmäßig im Ordner "C:\usr\local\ssl\cert\"
in der Datei 4a68de54.0 nach. Ersetzt die Datei mit dem cacert, indem ihr die ca.gen.pem in 4a68de54.0 umbenennt.

In der silverex Version 2.6.8-2 befindet sich das Zertifikat in "C:\some\openssl\dir\ssl\cert\cert.pem".

Unter Linux liegt die Datei meistens unter "/etc/ssl/certs/4a68de54.0",
das Verzeichnis könnte jedoch auch "/usr/local/ssl/certs/" sein.


  ChatZilla:

1. Im Firefox Extras und danach Einstellungen wählen. Anschließend nacheinander auf Erweitert,
Verschlüsselung und "Zertifikate anzeigen" klicken.


2. Im sich öffnenden Zertifikat-Manager auf Zertifizierungsstellen und "Importieren" klicken und
das heruntergeladene Zertifikat auswählen.


3. Hier bitte den Haken wie im Screenshot angezeigt setzen, um dem Zertifikat zu vertrauen.


4. Nun einfach den Firefox öffnen und die folgende Adresse eingeben: ircs://irc.german-elite.net


5. Chatzilla sollte sich nun automatisch öffnen und mit dem German-Elite.Net auf Port 9999 per SSL verbinden.