News Verschlüsselung: Let's Encrypt beendet Beta-Phase

[Crumar]

Das ist aber aus meiner Sicht ein Problem in den Webbrowsern. Ein Zertifikat sagt ja nicht, dass eine Website vertrauenswürdig ist. Das suggerieren die Webbrowser aber. Das Zertifikat sagt lediglich, dass eine verschlüsselte Verbindung besteht und dieses Zertifikat tatsächlich von dem Websitebetreiber stammt. Das sagt rein gar nichts über das Vertrauen zum Betreiber aus.

Absolut. Es ist einfach falsche Vermittlung der Realität.

Mir war es an sich auch vorher schon egal, ob mein Zertifikat von irgendwelchen Browsern als vertrauenswürdig eingestuft wird. Ich wusste, dass mein Zertifikat von mir ausgestellt wurde und ich habe ihm vertraut. Ich bin jetzt nur zu Let's Encrypt gewechselt, weil nun endlich auch Outlook nicht mehr über mein Zertifikat meckert. Von daher: Weiter so!

Eben dies, nur sinds bei mir Chrome, wenn ich auf die gitlab oder owncloud Seite gehe oder verschiedene andere Clients.

Bspw: Ich habe noch mit meinem alten Self Signed Zertifikat ein Bild sharen wollen über die owncloud instanz, und der user wollte nicht drauf gehen, weil firefox dem nicht vertraut hat. Jetzt habe ich das LE Zertifikat und es würde ihn nicht mehr interessieren, obwohl sich an der Seite natürlich nichts geändert hat.

Mein Hinweis war dann: Kannst auch http nutzen statt https, aber es sind deine Daten die auf dem Bild zu sehen sind

 

[theKSK]

Warum habt ihr denn kein SSL auf www.computerbase.de?
Zert gibts ja nun for free..

Ist natürlich auch abhängig wieviel Traffic ihr hier so habt, aber mit ner AESni enabled oder wie es sich gleich schimpfte CPU und nem entsprechend offloader (nginx als reverse proxy oder so) sollte das doch machbar sein?

 

[Shagrath]

Gerne würden wir HTTPS und SPDY bzw. HTTP/2 auf ganz ComputerBase zum Standard machen, also auch denjenigen anbieten, die ComputerBase Pro nicht nutzen. Leider spielen dabei die Anzeigen noch nicht mit: jene sind im Allgemeinen nicht HTTPS-kompatibel und HTTPS wiederum ist eine zwingende Voraussetzung für die Verwendung von SPDY bzw. HTTP/2. Wenn die Anzeigen irgendwann HTTPS-kompatibel sind, dann werden wir SPDY bzw. HTTP/2 für alle Nutzer freischalten.

Das wurde in einer News zu ComputerBase Pro erläutert (https://www.computerbase.de/2015-10/computerbase-pro-https-spdy/).

 

[WulfmanGER]

dann lässt man HTTP/2 eben weg ... und nur HTTPS. Die Verbindung ist ja trotzdem abgesichert ... und darum geht es doch bei Foren etc. Dann kann man auch ohne Sorgen im Hotspot oder Internetcafe Computerbase nutzen ohne das einer mit liest...

 

[Der-Orden-Xar]

Das Problem bliebe aber.
Entweder würden die Anzeigen nicht gezeigt, weil wegen kein https oder der Browser würde eine Mixed-Content-Warnung ausgeben.
Hier müsste man (=möglichst viele Seitenbetreiber oder die Vermarkter) den Werbetreibenden mal mächtigen indem aller wertesten treten, damit die ihre Verbindungen absichern.

 

[Autokiller677]

Ist ja auch nicht die einzige Möglichkeit zum validiereren -geht immerhin auch über DNS.

Ok, wusste ich nicht. Am Anfang hab ich es mir angeguckt und da brauchte es auf jeden Fall Port 80. Vielleicht haben sie es jetzt nachgerüstet.

 

[BLACKDIAMONT]

Bravo! Genau das ist doch ein begruessenswerter Nebeneffekt. Schade, dass es erst wieder einen Neustart brauchte, weil die Registrare sich lieber viel Geld in die Taschen steckten - der Business Case sah ja auch ein sicheres Internet nicht primaer vor. ;-)

Ob den das sehr Schmerzt? Von kostenlosen Zertifikaten habe die ja, kaum was
Immerhin eine gute Sache, jedem es zu ermöglichen eine gesicherte Seite zu Betreiben

Ob als nächstes SSL Standart wird?

 

[Pat]

Mit Akamai und Cicso haben zwei der Gründungsmitglieder des Projekts ihr finanzielles Engagement als Platin-Sponsoren um drei Jahre verlängert, während mit Gemalto als neuer Gold-Sponsor sowie Duda, Fastly, HP Enterprise und ReliableSite.net als Silber-Sponsoren weitere Unterstützer hinzugewonnen werden konnten.

Da ist halt die ganze NSA auch mit an Bord... Ich würde so einem Zertifikat kaum vertrauen...
Zudem muss man da ja so ein Binary herunterladen und auf seinem Webserver ausführen, oder?

Wäre toll, eine Zertifikat-Alternative ohne NSA zu haben... Wie wär's, macht einer 'ne Firma in der Schweiz oder so auf? ;-)

 

[Kontrollfreak]

Zudem muss man da ja so ein Binary herunterladen und auf seinem Webserver ausführen, oder?

Mann kann das ACME-Protokoll auch selbst implementieren, aber den fertigen Let's Encrypt Client zu nutzen ist schneller erledigt Der muss auch nicht in die Webserver-Konfiguration eingreifen, sondern braucht lediglich Schreibrechte in einem von außen zugänglichen HTTP-Verzeichnis. Das erzeugte Zertifikat kann man von eigenen Skripten (mit höheren Rechten) in die Konfiguration einbauen lassen.

Wäre toll, eine Zertifikat-Alternative ohne NSA zu haben... Wie wär's, macht einer 'ne Firma in der Schweiz oder so auf? ;-)

Wie wär's mit Israel? https://www.startssl.com/Support?v=39
Wie wär's mit China? https://buy.wosign.com/free/