T0a5tbr0t schrieb:
Blog, ohne vernünftig funktionierende Verschlüsselung, kritisiert eine Initiative um Verschlüsselung einfacher zum machen. Super Beispiel.
Aha, nur weil Felix sich zu fein ist, ein Zertifikat einer etablierten CA für seine Domain zu bezahlen, und stattdessen auf eine offene CA setzt, die aber noch nicht in den Browsern steckt, ist es nicht vernünftig konfiguriert?
Das SSL von seinem Blog ist besser konfiguriert als das von vermutlich 80% der Websites im Netz, siehe SSL-Test von Qualys.
https://www.ssllabs.com/ssltest/analyze.html?d=blog.fefe.de&s=2001:4d88:3508:0:0:0:fefe:b106&latest
Das einzige was eben bemängelt wird, ist, dass dem Zertifikat nicht vertraut wird. Und das auch nur, weil CACert nicht im Browser / SSL-Test integriert ist.
Und egal was man persönlich von ihm denkt, seine technischen Statements bezüglich solcher Themen sind mitunter die, die ich am meisten respektiere. Vermutlich noch mehr als das C++ gebashe von Torvalds.
BTT:
Ich finde die Idee hinter dem Projekt super, und auch, dass das ganze recht schnell umgesetzt wurde. Ebenso finde ich es super, dass sie IdenTrust für's Cross-Signing für sich gewinnen konnten, damit die alten Browser nicht rum heulen, weil das Cert ja nicht von ihren CA's signiert wurde.
Dazu machen sie beim "Certificate Transparency"-Projekt mit, was auch für sie spricht.
Übrigens auch mal interessant für alle, die es noch nicht kennen: Alle beteiligten CA's listen dort ihre ausgestellten Zertifikate auf.
Hier für LE:
https://crt.sh/?Identity=%&iCAID=7395
Was mich aber enorm an diesem ganzen Projekt stört, ist das, was auch Fefe bemängelt: Ich habe mir meinen Server extra so eingerichtet, dass ich möglichst wenig Software vertrauen muss. Und die Software, die ich brauche (nginx, postfix, openssl etc.), compile ich mir nach jedem größeren Update dieser Software selbst neu, um A) alle wichtigen Updates & Features zu haben (Ist unter Jessie sonst recht umständlich, also die Features. Siehe http2 unter nginx. (Jessie Stable steht bei 1.6.2, http2 gibt es seit 1.9.5 & aktuell ist 1.9.7)) und B) auch wirklich die Software aus den öffentlichen Sources zu bekommen.
Und jetzt soll ich mir für ein stinknormales SSL Zertifikat einen Client runterladen, der root Rechte will, um mir anschließend einen Haufen Software zu installieren (Vermutlich noch einmal soviel, wie ohne LetsEncrypt auf dem Server)?
Wenn es einen vernünftigen "Uninstaller" gäbe, würde ich es vermutlich sogar machen.
Cronjob 1x alle 30 Tage, installiert den Client+Packages, erneuert das Cert, deinstalliert sich clean & lässt nur den Config-Ordner unter /etc zurück.
Alternativ bieten sie ja noch ein Docker-Image an, aber mir Docker installieren ist eine ähnlich schlechte Idee.
Ich setze hier auch auf gethttpsforfree.com, auch wenn ich jetzt brav jeden zweiten Monat per Hand meine Zertifikate verlängern lassen muss.
Wer nur zum Spaß seinen Server betreibt - gerne. Aber wer sich wirklich Mühe macht, den Server sicher zu halten - nein danke.
Dann entweder per Hand, 1x im Jahr die 10€ für's Comodo-Zertifikat oder eben StartSSL.
Von StartSSL bin ich aber auch nicht der riesen Fan, die lassen sich das Revoken ganz gut bezahlen. Dann lieber Comodo @ Namecheap, 10€/Jahr & so oft Revoken wie ich will & dazu nur 1x einrichten.