Bericht Let's Encrypt: Erste Erfahrungen mit dem HTTPS für jedermann

Irgendwo müssen sie schließlich mit Support anfangen. Niemand schließt aus dass ein Windows-Client gebaut wird der ACME spricht und den IIS konfiguriert. Dauert halt alle inklusive den exotischeren Diensten zu unterstützen.
 
Es gibt sogar schon ein Community-Made IIS-Client. Also unmöglich oder verdammt schwer: Nein.
Offizieller Client daher nicht ausgeschlossen.

BTW: Da ich as bisher noch nicht gelesen habe:
Computerbase redet mal eurem Werbepartner, damit der seinen Kunden auf die Finger haut.:D
 
https://github.com/diafygi/letsencrypt-nosudo

Lets Encrypt ohne den Client und ohne sudo. Genau das was ich gesucht habe, der Entwickler hatte auch die gleichen Gedanken:
I love the Let's Encrypt devs dearly, but there's no way I'm going to trust their script to run on my server as root, be able to edit my server configs, and have access to my private keys. I'd just like the free ssl certificate, please.
 
Also man kommt nicht drum herum den Apache kurz zu stoppen aber ging alles innerhalb von 2 Minuten und Zertifikat wird akzeptiert.
 
Falc410 schrieb:
https://github.com/diafygi/letsencrypt-nosudo

Lets Encrypt ohne den Client und ohne sudo. Genau das was ich gesucht habe, der Entwickler hatte auch die gleichen Gedanken:

Supergei! Vielen Dank für die Info! Den Client hätte ich mir niemals auf einen Server geladen. Wenn das jetzt noch ganz ohne Python lösbar wäre, dann wäre alles perfekt.
 
schön? Der Typ vergreift sich im Tonfall. Sachlich geht anders :)

Man muss doch einerseits sicherstellen dass du auch Kontrolle über den Server hast, andererseits möchte man den Nutzern auf Wunsch hin die Konfiguration abnehmen für ihre Software sobald sie unterstützt wird.
Dazu braucht man mehr als nur eine Webseite mit Download.
 
Als ich die News vor paar Tagen las, dachte ich mir, dass es das Einrichten erleichtern könnte und das Web so potentiell sicherer macht.

Im nächsten Moment dachte ich mir, dass es keine gute Idee wäre, Fremdsoftware die Einrichtung und die Aktualität zu überlassen. Man stelle sich nur vor, dass man aus neu gewonnener Bequemlichkeit versäumt die Aktualität dieser Fremdsoftware zu prüfen oder ob die überhaupt läuft und tut, was sie tun soll (Bugs & Co).

Dann steckt da quasi ein Unternehmen hinter, dass sich, wie wir seit spätestens dem hier wissen, nicht gegen alles zur Wehr setzten kann. Betroffen sind davon auch Konzerne wie Apple, Microsoft, Google oder Facebook.

Und dann kam Fefe. Jetzt muss ich irgendwie an AntiViren-Software und der Personal Firewalls denken, welche selbst Sicherheitslücken aufweisen und den Viren zeitweise/teilweisen Tür und Tor öffnen. Gut, der Vergleich hingt ein bisschen.

Was soll ich sagen. Ich bin vorbelastet bei dem Thema. Ich selbst habe seit vielen Jahren keine AntiViren-Software, keine Firewall, kein aktiverten NAT im Router oder Sonstiges und bin mir seither keines Befalls bewusst. Alles läuft. Bei täglicher Nutzung. Witzigerweise trifft es dafür immer die Anderen. Aber gut, vllt. ist das nur Glück oder die bösen Jungs meinen es gut mit mir.

tl;dr
Da lass ich die Finger von :D
 
Es sind gemeinnützige Vereinigungen wie die EFF und Mozilla beteiligt.
Wenn Facebook Geld spendet dafür ist das absolut ungefährlich, weil das System immer noch transparent arbeitet und Spezifikation, Server- und Clientsoftware im Quelltext vorliegt.

Bugs sind in keiner Software je vollständig auszuschließen, sei es im Kernel, sei es im Apache, oder in der SSL-Bibliothek.
Dafür gibt es unter anderem die Beta um so etwas möglichst im Endstadium nicht vorkommen zu lassen.

Auch wenn du alles manuell konfigurierst kannst du Fehler machen und wenn ein ACME-Client erstmal etwas gereift ist dürfte er weniger Fehler machen als der Mensch.
 
Das so soo bescheuert das jede einzelne subdomain auchnoch aus dem internet erreichbar sein muss...
und den ganzen spass dann noch alle 90 Tage ( später sogar wohl 30 Tage) wiederhollen?
ne danke ich bleib bei meinen self-signed...
 
Holzkopf schrieb:
Das so soo bescheuert das jede einzelne subdomain auchnoch aus dem internet erreichbar sein muss...
und den ganzen spass dann noch alle 90 Tage ( später sogar wohl 30 Tage) wiederhollen?
ne danke ich bleib bei meinen self-signed...

Wie sollen sie sonst garantieren dass du berechtigt bist dafür ein Zertifikat auszustellen?
Wenn du interne Dinge geheimhalten willst, ist gegen eine eigene CA die auf den notwendigen Clients ausgerollt wird nichts zu sagen.
Das skaliert halt nur nicht außerhalb eines begrenzten Rahmens.
 
riloka schrieb:
Wie sollen sie sonst garantieren dass du berechtigt bist dafür ein Zertifikat auszustellen?
Wenn du interne Dinge geheimhalten willst, ist gegen eine eigene CA die auf den notwendigen Clients ausgerollt wird nichts zu sagen.
Das skaliert halt nur nicht außerhalb eines begrenzten Rahmens.


Na es langt doch wenn blabla.de bestätigt mir ist. dann werdens die subdomains wie blub.blabla.de wohl auch sein?
 
Holzkopf schrieb:
Na es langt doch wenn blabla.de bestätigt mir ist. dann werdens die subdomains wie blub.blabla.de wohl auch sein?

Es könnte auch ein Hoster sein der Subdomains von blabla.de an seine Kunden ausgibt.
Ich habe a.blabla.de , du bekommst b.blabla.de
Da möchte ich nicht dass du ein Zertifikat für meine Domain ausstellen kannst.
 
Zuletzt bearbeitet:
Ich weiß ja nicht was LE für Zertifikate ausstellt, aber wenn es keine Wildcard Zertifikate sind, muss für jede Subdomain ein separates Zertifikat erstellt werden. Das heißt, wenn domain.tld ein Zertifikat bekommt, muss dieses nicht mal für www.domain.tld gültig sein.
 
riloka schrieb:
Es könnte auch ein Hoster sein der Subdomains von blabla.de an seine Kunden ausgibt.
Ich habe a.blabla.de , du bekommst b.blabla.de
Da möchte ich nicht dass du ein Zertifikat für meine Domain ausstellen kannst.

Könnte ich ja auch nicht, da ich wenn mir nur a.blabla.de gehört nicht blabla.de verifizieren kann :)
die gehört ja dem hoster. ( ich muss den verifikationscode ja dann irgenwie über blabla.de zugänglich machen was ich ja net kann )

mir gehts quasi dadrum wenn ich die hauptdomain virifizieren kann müsste das doch langen, kann ich das net sondern nur eine subdomain dann gilt das halt nur für die.
 
Domi83 schrieb:
Ich weiß ja nicht was LE für Zertifikate ausstellt, aber wenn es keine Wildcard Zertifikate sind, muss für jede Subdomain ein separates Zertifikat erstellt werden. Das heißt, wenn domain.tld ein Zertifikat bekommt, muss dieses nicht mal für www.domain.tld gültig sein.

Müsste das nicht über ALTName gehen?
 
Zurück
Oben