ComputerBase Menü
Aktuelles

News ACMEv2: Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus

Steffen

Steffen

Technische Leitung
Administrator
Registriert
März 2001
Beiträge
17.211
Verwendet CB schon länger ein Zertifikat von LE?
 
ACME ? Soll das ein Witz sein ?
Sind wir jetzt schon beim RoadRunner angekommen ?

Und jetzt auch noch Wildcard Zertifikate ?

Das macht den ganzen "Let's Encrypt" Verein nicht wirklich glaubwürdig und schon gar nicht vertrauenswürdig.
 
wenn sich aber alles was Https angeht Richtung LetsEncrypt verlagert ist das zwar angenehm und nutzerfreundlich, aber auch irgendwie der Single Point of Failure und Angriffsziel sofern mal Zugriff auf jede HTTPS Verbindung haben möchte, oder?

Ich nutze es auch... aber is ist irgendwie selten gut wenn sich letztendlich ein Anbieter "monopolartig" durchsetzt.
 
Ja, ich sehe das auch durchaus kritisch, dass Let's Encrypt zu groß zu werden scheint. Aber erstmal ist es positiv, dass mehr Websites HTTPS nutzen und da hat Let's Encrypt wesentlichen Anteil dran. Vielleicht gibt es ja bald eine Alternative, wenn ACMEv2 und die Implementierungen (z.B. Boulder) sich etablieren. Wer auf Let's Encrypt folgt, wird nicht mehr so viel Pionierarbeit leisten müssen.
 
Wie soll denn ein Proxy oder eine Firewall den Verkehr analysieren, wenn alles verschlüsselt ist? Ohne eigene CA und SSL-Scan siehts da recht mau aus. So kann sich jede phishing-seite ein SSL-Cert holen und der Proxy denkt "OK, kann ich nicht scannen; ist SSL; lass ich durch"
 
Gar nicht. Der Scan sollte clientseitig erfolgen. Bzw. einfache Sachen wie phishing Seiten können einfach auf DNS Basis geblockt werden.
 
Konkurrenz belebt ja wohl bekanntlich das Geschäft, oder so ähnlich. Vielleicht sehen dadurch die anderen CA, dass man die Ausstellung von Zertifikaten auch günstiger machen kann. Ich wäre durchaus auch bereit ein paar Euro für ein Wildcard oder Wildcacd + SAN Zertifikat zu bezahlen.

Hätte startssl.com nicht seinen Trust verloren, würde ich die auch weiterhin finanziell unterstützen, solange ich mir Zertifikate nach meinen Wünschen erstellen kann und das ganze auch funktioniert. Aber das Thema hat sich ja nun auch erledigt... somit warten wir mal ab.
 
leipziger1979 schrieb:
ACME ? Soll das ein Witz sein ?
Sind wir jetzt schon beim RoadRunner angekommen ?

Und jetzt auch noch Wildcard Zertifikate ?

Das macht den ganzen "Let's Encrypt" Verein nicht wirklich glaubwürdig und schon gar nicht vertrauenswürdig.
Zum Vergrößern anklicken....
Kannst du auch irgendeinen Grund nennen?
 
... ich hätte es gewusst, aber mir fällt auf Anhieb auch keine Website mit einem EV Zertifikat ein.
 
Endlich kann ich meinem Reverse Proxy die Luft abdrehen und alle Subs mit einem Cert bedienen. Super Sache! :daumen:
 
DanFu schrieb:
Wie soll denn ein Proxy oder eine Firewall den Verkehr analysieren, wenn alles verschlüsselt ist? Ohne eigene CA und SSL-Scan siehts da recht mau aus. So kann sich jede phishing-seite ein SSL-Cert holen und der Proxy denkt "OK, kann ich nicht scannen; ist SSL; lass ich durch"
Zum Vergrößern anklicken....

Natuerlich geht das.
https://security.stackexchange.com/...ent-man-in-the-middle-attacks-by-proxy-server

Ausserdem, wenn - wie du sagst - der Proxy ohnehin alles durchleitet, dann wird ein Zertifikatsfehler ohnehin ganz normal vom client erkannt.
 
GokuSS4 schrieb:
https://observatory.mozilla.org/analyze.html?host=computerbase.de
könnte schöner aussehen oder?
Zum Vergrößern anklicken....
Ein A wäre besser als ein B, ja. Aber im Vergleich zur Konkurrenz ist ein B offenbar richtig gut: Heise (F), Golem (F), PCGH (F), WinFuture (F), CHIP (F), Mobilegeeks (F).

Punktabzug bekommen wir, da wir keine effektive CSP nutzen. Das stimmt, daran können wir aber aufgrund der Werbung leider nichts ändern. Auf redaktionellen Seiten ohne Werbung, also insbesondere wenn man mit ComputerBase Pro surft, nutzen wir eine strikte CSP. Falls du das testen willst: Es gibt ein paar Seiten, die für alle ohne Werbung (und dann automatisch mit strikter CSP) ausgeliefert werden. Neben der oben verlinkten Bestellseite zum Beispiel das Impressum oder die Kontaktseite.

(Wenn man nur das HTTPS-Setup betrachtet, bekommen wir ein A+: https://www.ssllabs.com/ssltest/analyze.html?d=www.computerbase.de)
 
Es ist zeit dass all die kostenpflichtigen Cert Issuere obsolet werden.

Es reicht wenn das Zertifikat beweist dass die aufgerufene URL und die angezeigte, verschlüsselte Seite übereinstimmen.

Firmennamen sind nicht Global einmalig definiert, Domänen innerhalb ihres TLD schon.
Ob der Anbieter des Webcontent schlussendlich vertrauenswürdig ist, kann ein Issuer nie garantieren. Auch wenn das Zertifikat 10000$ kosten würde....

Für Absicherung des "Kunden" gibts Gütesiegel wie Trusted Shops wo mehr prüfen und versichern
 
Zuletzt bearbeitet:
1) "Manche Sicherheitsexperten bezweifeln, dass Nutzer überhaupt darauf achten, ob eine Website ein EV-Zertifikat nutzt oder nicht."
2) "Amazon und Google gehören beispielsweise nicht dazu. Wer hätte es gewusst?"

1) ohne Worte, bezweifeln kann man alles. Fakten od. Mund halten, ganz einfach.
2) ich
 
Schlimm genug dass die Kontrolle über eigene Webservices an externe Unternehmen abgegeben wird aber das Ganze irgendeinem gemeinnützigem Verein zu übertragen finde ich echt fahrlässig. Hier geht es mir nicht so sehr darum dass dem Nutzer gefälschte Domains untergejubelt werden denen der Browser vertraut sondern darum, dass über die Zertifikatssperrlisten beliebige Webseiten faktisch abgeschaltet werden können.

Abgesehen davon ist die generelle Unart jede Seite zu verschlüsseln für firmeninterne Firewallsysteme ein echtes Problem. Nur auf den Clients zu scannen ist kein ausreichender Schutz.
 
Ohha, mal langsam:
1. Mit dem LE Client, der optional(!) ist, gibst du keine Kontrolle ab, du erlaubst nur dem Client das Zertifikat zu erneuern, du behältst aber die Kontrolle über den Client.
2. Klingt sehr konstruiert mit den Sperrlisten, denn "einfach so" geht das nicht.
3. Eine Sache, die mir noch niemand beantworten konnte:

Was kann der Proxy in der Firma denn, was auf den Clients unmöglich ist?
Und warum setzt die Firma nicht ihre eigne CA auf? Dann kann der Proxy alles aufbrechen, ohne dass die Clients meckern (zumindest noch).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Let's encrypt: Wildcard Zertifikate bereits verfügbar
Antworten
4
Aufrufe
1.482
Yuuri
Yuuri
fethomm
News Server: Let's Encrypt bald mit Wildcard-Zertifikaten
2
Antworten
27
Aufrufe
5.999
morcego
morcego
fethomm
News Zertifikate: Let's Encrypt knackt die 20-Millionen-Marke
2
Antworten
35
Aufrufe
6.400
Der-Orden-Xar
Der-Orden-Xar
fethomm
News Server-Zertifikate: Let's Encrypt startet im September durch
2 3 4
Antworten
64
Aufrufe
8.794
tiash
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz