Read Me

Secure Socket Layer (SSL)
-------------------------

Mittels der OpenSSL Libarys unterstützt sBNC+ encryptete Client Verbindungen.
Zusätzlich können Clientzertifikate benutzt werden, um einen Benutzer zu
authentifizieren.

Warum?
------

IRC wird meistens über unsichere/unencryptete Verbindungen benutzt. So ist es möglich, den
Datentransfer zwischen Client und Server zu belauschen.
Auch können sich andere zum Beispiel über ein WLAN Netzwerk Zugriff verschaffen und spielend
einfach den Datentransfer belauschen.
Durch verschlüsselte Verbindungen wird zwar das Belauschen nicht gestoppt, allerdings kann
der Angreifer nicht mehr so einfach "mitlesen".

sBNC+ mit SSL Support kompilieren
---------------------------------

Wenn die OpenSSL Headers und Libarys installiert sein sollten, erkennt das configure Script dies
automatisch und kompiliert die Unterstützung mit in den Kern ein.

Wie man sBNC+ mit SSL Support aufsetzt
--------------------------------------

sBNC+ unterstützt zwei Arten von Sockets: unverschlüsselte und verschlüsselte. Beim Starten werden
zwei Konfigurationseinstellungen gelesen um zu entscheiden, ob der Benutzer unverschlüsselte,
verschlüsselte oder beide Arten benutzen will:

system.port - setzt den Port für den unverschlüsselten Socket
system.sslport - setzt den Port für den SSL-verschlüsselten Socket

Wenn keiner dieser Einstellungen angegeben ist, benutzt sBNC+ automatisch den unverschlüsselten
Port 9000.

Du kannst den "system.port" aus deiner Konfiguration entfernen, wenn du nur einen verschlüsselten
Socket benutzen möchtest.

Die Einstellungen können in der Hauptkonfiguration von sBNC+ gesetzt werden: sbnc.conf

Wenn du SSL bei sBNC+ aktiviert hast, versucht der Bouncer die folgenden Dateien im Bouncerhomeordner
zu finden:

sbnc.crt - der öffentliche Teil des Serverschlüssels
sbnc.key - der private Teil des Serverschlüssels

Das "openssl" Programm kann benutzt werden um Zertifikate zu erstellen. Du kannst aber genauso
"make sslcert" benutzen, welches ein SSL Zertifikat für dich erstellt und es in die richtigen
Verzeichnisse installiert.

Client Zertifikate
------------------

Clients wie irssi, XChat oder mIRC unterstützen Clientzertifikate, die zum authentifizieren benutzt
werden können.

Wenn du den öffentlichen Schlüssel für deinen Bounceraccount benutzen möchtest, musst du dich mit
deinem Zertifikat UND deinem Passwort anmelden (weil der Bouncer wahrscheinlich deinen öffentlichen
Schlüssel noch nicht kennt).

Wenn du dich so erst einmal eingeloggt hast, kannst du /sbnc savecert benutzen. Dadurch wird sBNC+
mitgeteilt, dass das Clientzertifikat, welches du in dem Moment benutzt, geschützt ist für die
Public Key Authentifizierung.

Benutz /sbnc showcert um nachzuprüfen, ob das Zertifikat erfolgreich gespeichert wurde. Es sollte
nun möglich sein sich einzuloggen mit dem Clientzertifikat.

(Du kannst genauso deinen öffentlichen Schlüssel in sBNC+ einfügen, indem du ein x509 Zertifikat in
den users/ Ordner tust. Der Dateiname sollte <benutzername>.crt sein, wobei <benutzername> dein sBNC+
Benutzer ist. Das benötigt allerdings einen Neustart von sBNC+, da es die Zertifikate nur beim Starten
einließt.)

SSL und "make update"
---------------------

Wenn SSL benutzt wird ist es nicht möglich, "make update" oder "/sbnc reload" zum Updaten auszuführen,
wenn du ein Serverzertifikat benutzt, welches mit einem Passwort gesichert ist, benutzt.
Während des Reloadvorgangs von sBNC+ würde OpenSSL einen Prompt öffnen, indem man das Passwort
eingeben muss, was zum Freeze/Crash von sBNC+ führt.
Eine Lösung für dieses Problem könnet später implementiert werden.