NoXPhasma
Lieutenant
- Registriert
- Jan. 2010
- Beiträge
- 791
Let's Encrypt ist ja nicht durch Zauberhand kostenlos. Das wird durch Spenden und Sponsoren finanziert. https://letsencrypt.org/sponsors/
Zuletzt bearbeitet:
News Server-Zertifikate: Let's Encrypt startet im September durch
- Ersteller fethomm
- Erstellt am
- Zur News: Server-Zertifikate: Let's Encrypt startet im September durch
Silent1337
Lt. Commander
- Registriert
- Feb. 2009
- Beiträge
- 1.028
Naja..nicht jede private Website braucht SSL. Wozu auch?
MusicJunkie666
Commander
- Registriert
- März 2013
- Beiträge
- 2.757
Wieso auch nicht? Mich würde wirklich interessieren, was deiner Meinung nach dagegen spricht.
@NoXPlasma: No shit Sherlock. Ich dachte, die haben einen gold spuckenden Esel.
Sorry für die Ausdrucksweise, aber dass Community-Projekte durch Spenden finanziert werden ist wohl keine Überraschung. Ist immer noch was Anderes als ein kommerzielles Unternehmen. Wir leben eben im Kapitalismus, wo im Optimalfall nichts gratis ist.
@NoXPlasma: No shit Sherlock. Ich dachte, die haben einen gold spuckenden Esel.
Sorry für die Ausdrucksweise, aber dass Community-Projekte durch Spenden finanziert werden ist wohl keine Überraschung. Ist immer noch was Anderes als ein kommerzielles Unternehmen. Wir leben eben im Kapitalismus, wo im Optimalfall nichts gratis ist.
ikarusx3
Cadet 4th Year
- Registriert
- März 2009
- Beiträge
- 101
Silent1337 schrieb:
Doch! Ganz genau dafür ist "Let's ENCRYPT" da. Damit die Kommunikation zwischen Server und Browser IMMER verschlüsselt ist und Geheimdienste und böswillige Menschen es schwerer haben, mitzuhören. Es geht ausdrücklich NICHT um mehr Vertrauen, sondern nur um mehr Verschlüsselung.
Ich finde das super, benutze bisher CaCert, hätte aber gern ein Zertifikat, dem Browser standardmäßig vertrauen.
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.718
ikarusx3 schrieb:
Ohne Vertrauen gibt es aber keine Verschlüsselung.... Ich sehe es aber wie Silent1337, warum sollte z.B. CB alles verschlüsseln? Der Login ist verschlüsselt - ok, aber warum sollte man die News und Forum verschlüsseln?
MusicJunkie666
Commander
- Registriert
- März 2013
- Beiträge
- 2.757
Und auch an dich: Was spricht deiner Meinung nach dagegen?
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.718
Serverlast:
Durch HTTPS geht die Serverlast hoch dadurch geht auch der Stromverbrauch hoch. Daraus kann man also schließen, dass die Server Miete nach oben geht evtl. nicht sofort und nicht nur wegen einem Server aber wenn ich Rechenzentrum aufeinmal alle Server 2-5% mehr Verbrauchen wird das früher oder später auf den Kunden umgewälzt.
Dazu kommt die Reaktionszeit welche sich auch erhöht also muss noch mehr optimiert werden was am ende vom Tag auch wieder Geld kostet.
Nutzen:
Wie schon geschrieben welchen Nutzen hat es auf einer News Seite und einem Forum? In einigen Punkten sehe ich es ja wirklich als Vorteil gerade bei einem Login oder Online Banking aber in einem Forum oder einer News Seite juckt es einfach nicht.
Cache:
Mit HTTPS hat sich das erledigt. Wobei das nicht soooo wirchtig ist wie ich finde mit immer mehr Bandbreite.
Durch HTTPS geht die Serverlast hoch dadurch geht auch der Stromverbrauch hoch. Daraus kann man also schließen, dass die Server Miete nach oben geht evtl. nicht sofort und nicht nur wegen einem Server aber wenn ich Rechenzentrum aufeinmal alle Server 2-5% mehr Verbrauchen wird das früher oder später auf den Kunden umgewälzt.
Dazu kommt die Reaktionszeit welche sich auch erhöht also muss noch mehr optimiert werden was am ende vom Tag auch wieder Geld kostet.
Nutzen:
Wie schon geschrieben welchen Nutzen hat es auf einer News Seite und einem Forum? In einigen Punkten sehe ich es ja wirklich als Vorteil gerade bei einem Login oder Online Banking aber in einem Forum oder einer News Seite juckt es einfach nicht.
Cache:
Mit HTTPS hat sich das erledigt. Wobei das nicht soooo wirchtig ist wie ich finde mit immer mehr Bandbreite.
MusicJunkie666
Commander
- Registriert
- März 2013
- Beiträge
- 2.757
Ich habe einige Zeit eine große Webseite betreut (etwa 10.000 Zugriffe täglich) und kann dir sagen, dass die Last nach der Umstellung (vorher HTTPS nur für Login, danach für alle Seiten) kaum steigt. CPU-Auslastung war laut Statistik nicht mal 4% höher. Und 4% CPU-Auslastung wird keine 2-5% mehr Stromverbrauch bewirken. Bin bei der Hardware nicht so bewandert, aber das kann ich mir einfach nicht vorstellen.
Über den Nutzen kann man sich streiten - ich finde die Verschlüsselung gar nicht so wichtig, eher die Identifizierung. Ich will auch bei News-Seiten oder Foren sicher sein, dass ich tatsächlich auf der Seite bin, auf der ich glaube zu sein. Und das geht eben nur mit HTTPS. Und da funkt auch Let's Encrypt nicht dazwischen, wie hier anscheinend einige glauben.
Cache sehe ich auch nicht als allzu wichtig an. Nutze ich persönlich gar nicht.
Über den Nutzen kann man sich streiten - ich finde die Verschlüsselung gar nicht so wichtig, eher die Identifizierung. Ich will auch bei News-Seiten oder Foren sicher sein, dass ich tatsächlich auf der Seite bin, auf der ich glaube zu sein. Und das geht eben nur mit HTTPS. Und da funkt auch Let's Encrypt nicht dazwischen, wie hier anscheinend einige glauben.
Cache sehe ich auch nicht als allzu wichtig an. Nutze ich persönlich gar nicht.
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.668
Nein, es geht nicht nur um die Verschlüsselung.
TLS bietet auch eine Prüfung an - auf modernen Seiten mit modernen Browsers mit SHA2 - um die korrekte Übertragung zu gewährleisten.
Letztes(?) Jahr wurde ein Fall bekannt, in dem ein US-Provider die Pakete seiner Kunden manipulierte um Werbung einzuschleusen. Und CB würde das sicher sehr missfallen, wenn hier auf einem irgendwelche Fremdwerbung wäre, die nicht mal die Server finanziert
Via https wäre solch eine Manipulation nicht mehr möglich.
Zudem ist moderne Verschlüsselung schon recht effizient (außer natürlich APPLE, die sind bei dem Thema gerne mal das Paradebeispiel für Fail)
Achja: Dafür würde (mit Keypinning) eher Kaspersky rumheulen, da der tolle MitM-Scanner nur Fehler produzieren würde
TLS bietet auch eine Prüfung an - auf modernen Seiten mit modernen Browsers mit SHA2 - um die korrekte Übertragung zu gewährleisten.
Letztes(?) Jahr wurde ein Fall bekannt, in dem ein US-Provider die Pakete seiner Kunden manipulierte um Werbung einzuschleusen. Und CB würde das sicher sehr missfallen, wenn hier auf einem irgendwelche Fremdwerbung wäre, die nicht mal die Server finanziert
Via https wäre solch eine Manipulation nicht mehr möglich.
Zudem ist moderne Verschlüsselung schon recht effizient (außer natürlich APPLE, die sind bei dem Thema gerne mal das Paradebeispiel für Fail)
Achja: Dafür würde (mit Keypinning) eher Kaspersky rumheulen, da der tolle MitM-Scanner nur Fehler produzieren würde
Solange so ein erschreckend großer Nutzerteil selbst hier in einem technikaffinen Forum noch den Sinn und Zweck von verschlüsselten Webseiten hinterfragt, wird es wohl leider auch nicht wirklich voran gehen mit dem verschlüsselten Internet.
Warum sollte ich den Zugriff auf scheinbar triviale Dinge verschlüsseln?
Zum einen ist da natürlich der Privatsphäreaspekt: Greife ich verschlüsselt auf eine Webseite zu, dann ist alles, was ein potentieller Mitlesender sehen kann, dass ich auf www.computerbase.de zugreife. Es wird aber in keinster Weise klar, ob ich mich für Newsartikel, für Softwaredownloads, für den Preisvergleich oder für das Forum interessiere.
Nicht umsonst verschlüsselt auch Google seit einiger Zeit ihre Suchmaschine, denn es geht niemanden etwas an, ob ich mich für Katzenfotos, politisch umstrittene Positionen, Krebstherapien, oder homosexuelle Interessengemeinschaften in meiner Nähe interessiere.
In Hinblick auf weltweite Überwachung durch NSA und co. ist allumfassende Verschlüsselung auch einfach ein Stinkefinger in Richtung der Überwacher. Wir wissen, dass diese gerne scheinbar triviale Informationen sammeln und auswerten, je mehr davon verschlüsselt ist desto schwieriger wird ihr Vorhaben.
Sobald ich auf einer Webseite eingeloggt bin, kommt der Aspekt der Identitätssicherung dazu:
So wie das Internet aufgebaut ist muss ich, um mich der Seite gegenüber zu identifizieren, bei jedem Request meinen Sessioncookie mitsenden. Dieser identifiziert mich und meine eingeloggte Sitzung aber vollumfänglich und kann dementsprechend genutzt werden, um mich zu personifizieren. Ich möchte, auch in so einem trivialen Fall wie Computerbase, aber nicht, dass jemand der den Sessioncookie mitschneidet, in meinem Namen Forenposts verfassen kann. Genau so kann der Sessioncookie benutzt werden, um aus dem Kontrollzentrum meine Emailadresse oder andere private Daten auszulesen und sie zum Beispiel zu Phishingzwecken gegen mich zu verwenden.
Wo wir auch schon beim Aspekt der Sicherheit wären: Wer auf meiner Leitung mitlesen kann, kann vermutlich auch Daten verändern. Es wäre so ein leichtes, mir bei einer unverschlüsselt übertragenen Webseite schadhaften Code, JavaScript beispielsweise, unterzujubeln, der unter Umständen meinen kompletten PC kompromittiert und die privatesten Informationen freigibt.
Das alles könnte zumindest erheblich erschwert werden, indem schlicht und ergreifend jede Webseite, egal ob Katzenfotos oder Online-Banking, auf HTTPS umstellt. Und wer den potentiellen Mitlesenden auf der Leitung für ein Aluhut-Gespinst hält, der soll sich mal vor Augen führen, dass wir in einem Land leben, in dem gerade fleißig darüber diskutiert wird, ob freies WLAN an öffentlichen Plätzen nicht selbstverständlich sein sollte. Natürlich ist das eine begrüßenswerte Überlegung, aber HTTP ist in dem Fall einfach tödlich.
Wer noch ein paar Denkanstöße bezüglich verschlüsseltem Internet braucht:
Mozilla plant, auf lange Sicht unverschlüsseltes Internet komplett abzuschaffen
Ein Blog-Eintrag vom Chefingenieur von Qualys (unter anderem ssllabs.com)
Jemand, der SSL überall zunächst für einen Overkill hielt, seine Meinung dann aber geändert hat
Und schließlich, eine insgesamt nette Zusammenfassung, die unter anderem auf Caching im Zusammenhang mit SSL eingeht.
Warum sollte ich den Zugriff auf scheinbar triviale Dinge verschlüsseln?
Zum einen ist da natürlich der Privatsphäreaspekt: Greife ich verschlüsselt auf eine Webseite zu, dann ist alles, was ein potentieller Mitlesender sehen kann, dass ich auf www.computerbase.de zugreife. Es wird aber in keinster Weise klar, ob ich mich für Newsartikel, für Softwaredownloads, für den Preisvergleich oder für das Forum interessiere.
Nicht umsonst verschlüsselt auch Google seit einiger Zeit ihre Suchmaschine, denn es geht niemanden etwas an, ob ich mich für Katzenfotos, politisch umstrittene Positionen, Krebstherapien, oder homosexuelle Interessengemeinschaften in meiner Nähe interessiere.
In Hinblick auf weltweite Überwachung durch NSA und co. ist allumfassende Verschlüsselung auch einfach ein Stinkefinger in Richtung der Überwacher. Wir wissen, dass diese gerne scheinbar triviale Informationen sammeln und auswerten, je mehr davon verschlüsselt ist desto schwieriger wird ihr Vorhaben.
Sobald ich auf einer Webseite eingeloggt bin, kommt der Aspekt der Identitätssicherung dazu:
So wie das Internet aufgebaut ist muss ich, um mich der Seite gegenüber zu identifizieren, bei jedem Request meinen Sessioncookie mitsenden. Dieser identifiziert mich und meine eingeloggte Sitzung aber vollumfänglich und kann dementsprechend genutzt werden, um mich zu personifizieren. Ich möchte, auch in so einem trivialen Fall wie Computerbase, aber nicht, dass jemand der den Sessioncookie mitschneidet, in meinem Namen Forenposts verfassen kann. Genau so kann der Sessioncookie benutzt werden, um aus dem Kontrollzentrum meine Emailadresse oder andere private Daten auszulesen und sie zum Beispiel zu Phishingzwecken gegen mich zu verwenden.
Wo wir auch schon beim Aspekt der Sicherheit wären: Wer auf meiner Leitung mitlesen kann, kann vermutlich auch Daten verändern. Es wäre so ein leichtes, mir bei einer unverschlüsselt übertragenen Webseite schadhaften Code, JavaScript beispielsweise, unterzujubeln, der unter Umständen meinen kompletten PC kompromittiert und die privatesten Informationen freigibt.
Das alles könnte zumindest erheblich erschwert werden, indem schlicht und ergreifend jede Webseite, egal ob Katzenfotos oder Online-Banking, auf HTTPS umstellt. Und wer den potentiellen Mitlesenden auf der Leitung für ein Aluhut-Gespinst hält, der soll sich mal vor Augen führen, dass wir in einem Land leben, in dem gerade fleißig darüber diskutiert wird, ob freies WLAN an öffentlichen Plätzen nicht selbstverständlich sein sollte. Natürlich ist das eine begrüßenswerte Überlegung, aber HTTP ist in dem Fall einfach tödlich.
Wer noch ein paar Denkanstöße bezüglich verschlüsseltem Internet braucht:
Mozilla plant, auf lange Sicht unverschlüsseltes Internet komplett abzuschaffen
Ein Blog-Eintrag vom Chefingenieur von Qualys (unter anderem ssllabs.com)
Jemand, der SSL überall zunächst für einen Overkill hielt, seine Meinung dann aber geändert hat
Und schließlich, eine insgesamt nette Zusammenfassung, die unter anderem auf Caching im Zusammenhang mit SSL eingeht.
Luxuspur
Banned
- Registriert
- Apr. 2012
- Beiträge
- 5.662
da verhindert HTTPS: aber höchstens das das auf dem Transportweg passiert! (Und selbst das nicht 100% sicher)
Der Server kann immer noch gehackt / verseucht / backdoored sein, ebenso wie dein PC selbst! Oder sogar noch schlimmer der Betreiber selber kann dahinterstecken! Im Endeffekt verhindert es rein gar nix, legt nur die Latte etwas höher, welche mit heutigen Mitteln aber auch kein Problem darstellen!
Verschlüsselung schützt dich nicht davor auspioniert zu werden! Es schütz dich nur vor dem Abhandenkommern der Daten auf dem Transport! Und auch das nie zu 100%
Der Server kann immer noch gehackt / verseucht / backdoored sein, ebenso wie dein PC selbst! Oder sogar noch schlimmer der Betreiber selber kann dahinterstecken! Im Endeffekt verhindert es rein gar nix, legt nur die Latte etwas höher, welche mit heutigen Mitteln aber auch kein Problem darstellen!
Verschlüsselung schützt dich nicht davor auspioniert zu werden! Es schütz dich nur vor dem Abhandenkommern der Daten auf dem Transport! Und auch das nie zu 100%
Zuletzt bearbeitet:
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.718
Eben das ganze ist wie in der Waffen und Schutz Industrie. Der eine bringt eine neue Schusssichere Weste und der andere die neue Kugel welche durch geht.
Klar, wenn alles HTTPS hat ist es nett aber ich bezweifel, dass dies jemals zu 100% gegeben sein wird.
Klar, wenn alles HTTPS hat ist es nett aber ich bezweifel, dass dies jemals zu 100% gegeben sein wird.
Luxuspur schrieb:
Welche Mittel sollen das denn sein? Jeder Rechner, der ans Internet angeschlossen ist, ist gefährdet. Das ist soweit ein Fakt und sollte auch jedem klar sein denke ich.
Genau deshalb gibt es Bemühungen, Desktop-PCs auf vielfältige Weise sicher zu machen, genau so wie es Mittel und Wege gibt, Server abzusichern.
Natürlich sichert HTTPS nur den Transport ab, was sollte ein HyperText Transport Protocol auch sonst tun? Aber da es eben sowohl am Client als auch am Server Bemühungen zur Steigerung der Sicherheit gibt, warum sollte der Transportweg davon ausgenommen sein?
Für einen Nutzer, der einigermaßen sorgfältig mit seinem PC umgeht und die hier im Forum gern zitierte brain.exe sinnvoll einzusetzen weiß ist ein unsicherer Transportweg mMn einer der größten Risikofaktoren.
Ganz davon ab ändert das nichts an den Argumenten Privatsphäre und Identitätsdiebstahl durch Session-Cookies auf Abwegen.
Und @Cool Master: Dass der Vergleich mit der Waffen- und Schutzindustrie gewaltig hinkt, ist dir hoffentlich selbst klar, oder?
MusicJunkie666
Commander
- Registriert
- März 2013
- Beiträge
- 2.757
So unrecht hat Cool Master nicht, jedenfalls mit seinem Schlusssatz. 100% Sicherheit wird es nie geben.
Allerdings kann jede Sicherheitsmaßnahme dazu beitragen. Schützt dich eine "kugelsichere" Weste vor dem Sterben? Nein. Schützt dich ein Panzer? Nein. Aber beide können es schwieriger machen, dich zu töten.
Allerdings kann jede Sicherheitsmaßnahme dazu beitragen. Schützt dich eine "kugelsichere" Weste vor dem Sterben? Nein. Schützt dich ein Panzer? Nein. Aber beide können es schwieriger machen, dich zu töten.
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.718
Jap genau das meinte ich. Es ist ein Katz und Maus spiel. Mal gewinnt die Katze mal die Maus und einige male auf einer de beiden über längere Zeit.
.
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.718
Ne ne ich meinte schon das sich da immer was tut. Deswegen schrieb ich ja das HTTPS überall natürlich optimal wäre aber es wird sich denke ich einfach nicht durchsetzen auch wenn es wünschenswert wäre.
Ich für meinen Teil glaube einfach das Zertifikate für viele auch zu kompliziert sind und deshalb einfach nicht genommen werden.
Ich für meinen Teil glaube einfach das Zertifikate für viele auch zu kompliziert sind und deshalb einfach nicht genommen werden.
T0a5tbr0t
Lieutenant
- Registriert
- Apr. 2012
- Beiträge
- 581
Cool Master schrieb:
Per MITM ändert man den "login" Link zu einer phishing Seite, jemand gibt seine Anmeldedaten ein, und schon hat jemand den CB Account. Die meisten Nutzer werden nicht extra in die URL-Leiste gucken. Vielleicht besorgt man sich noch https://www.computerbase.de/forum/login/, dann wird es den wenigsten auffallen.
Es ist nicht nur der Login selber kritisch.
Pssst: Gibt da so ein ProjektCool Master schrieb:
Soll das einrichten von Zertifikaten einfacher machen 
Zuletzt bearbeitet:
Silent1337
Lt. Commander
- Registriert
- Feb. 2009
- Beiträge
- 1.028
Mal ehrlich: Wenn ich eine kleine Seite habe, die mir das Wetter anzeigt, brauche ich kein SSL.
Ich halte mich explizit aus den NSA-Diskussionen raus, weil mir das mittlerweile auf den Keks geht.
Computerbase ist ja kein Hobby Projekt. Viele Websiten können auch kein durchgängies SSL anbieten, weil die Werbepartnern das nicht anbieten.
Ich halte mich explizit aus den NSA-Diskussionen raus, weil mir das mittlerweile auf den Keks geht.
Computerbase ist ja kein Hobby Projekt. Viele Websiten können auch kein durchgängies SSL anbieten, weil die Werbepartnern das nicht anbieten.
Silent1337 schrieb:
Oftmals ja, allerdings hab ich hier bisher immer wenn ich mir das bei aktiviertem HTTPS-Everywhere angeschaut habe als einziges Ziel welches nicht verschlüsselt abgerufen wird, www.computerbase.de gesehen.
Eben nochmal geschaut, da kam noch longtail dazu weil die https-everywhere Regel überarbeitet werden muss.
Alles andere von Google bis Stroer ging wunderbar über TLS.
