Bericht Let's Encrypt: Erste Erfahrungen mit dem HTTPS für jedermann

[ikarusx3]

Nicht nur nicht an der Config was dreht, auch wenn dort im DocRoot Inhalte angelegt / geändert werden seh ich das serh kritisch.

Das muss auch nicht sein. Es gibt einen "standalone"-Modus, in dem das script einen Webserver startet und die angeforderten Verifizierungsdaten während der Laufzeit anbietet. Mit einem script könntest du also apache stoppen, LE laufen lassen, dann apache wieder starten, dann werden keine Daten oder Configs verändert. Die erneuerten Zertifikate werden an gleicher Stelle gesymlinkt, das funktioniert 1a.

Das von mir geschriebene Script erneuert die Zertifikate alle 30 Tage, verändert keine Config und keinen Webroot. Und braucht keine Interaktion.

 

[Cool Master]

Den Indianer stopen? Bestimmt nicht. Der einzige Grund das mein Indianer steht ist nach einem apt-get dist-upgrade und dem reebot der folgt

 

[ikarusx3]

Zumindest unter Debian ist dies nicht möglich, da man dafür root rechte benötigt. Ich muss aber gestehen ich habe es nich nie versucht da ich mich nur über root anmelde.

CSR kann jeder Benutzer erstellen.

LE braucht aber Zugriff auf das Webroot oder Port 80 oder Port 443, alles davon darf nur root. Ob das manual-Plugin es auch nur über Email macht, weiß ich nicht, habe ich nicht getestet.

 

[patrick888]

Das System muss doch irgendwie prüfen dass du befugt bist für diese Domain ein Zertifikat zu erhalten.
Wenn du das automatisch willst muss es eben "Proof/Beweise" dafür in deinem Server hinterlegen.
Dateien mit vorgegebenem Namen, Zertifikate für eine nicht-existierende Subdomain, Einträge im DNS , oder was sonst noch später dazukommt.
Dazu muss eben was geändert werden. Wenn du das nicht willst kannst du es immer noch manuell machen.

Da ich das Tool ohnehin drauf hab ( haben würde ) wird sich sicher ein Weg finden über eine API zu kommunizieren und die Authentizität sicher zu stellen.

DNS bevorzuge ich persönlich für Zertifikate die ich ausstelle, spart gegenüber E-Mails oder eine HTTP-Validierung Zeit und Nerven. Ist dann eben nicht mehr vollständig automatisiert und auch nur für DV / OV möglich.

 

[DocWindows]

Mir sind da Leute die das aus Überzeugung machen lieber als jene die rein auf Profit aus sind.

Das machen die Leute von CACert.org auch nicht zum Profit, aber eben mit einer gewissen Prüfung. Die User dort überprüfen sich bei Treffen oder auf Messen gegenseitig. Du kannst dort z.B. zu jemandem hingehen, er prüft deine Identität anhand deinen Ausweises und vergibt Scoring-Punkte. So steigt deine Vertrauenswürdigkeit langsam an und nach so und so viel Punkten kannst du immer detailliertere Zertifikate generieren.

Was das Signieren gegen Geld anbelangt, so empfehle ich dir mal z.B. bei Globalsign ein Person 2 oder Person 3 Zertifikat zu beantragen. Alternativ auch eins für Webserver. Das ist ein unglaubliches Brimborium und die Leute dort nehmen das auch sehr ernst.

 

[Domi83]

b.) du musst gar nichts tun. Wenn du den Client die Konfiguration des Apachen überlässt, erhälst Du hinterher einen Link zur Überprüfung der Gültigkeit deines Zertifikats. Du kannst sofort Deine Seite per HTTPS aufrufen Steht aber eigentlich alles im Detail im Bericht.

Wir reden jetzt aber nicht aneinander vorbei, oder? Ich will mein eigenes Server CA erstellen und das global (Weltweit) als Vertrauenswürdig haben so das ich meine eigenen Zertifikate signieren kann mit dem Ergebnis, dass Oma Müller aus Polen auf meine HTTPS Seite gehen kann ohne das sie im Firefox, Chrome etc. sagen muss "Ausnahme hinzufügen"

Zumindest unter Debian ist dies nicht möglich, da man dafür root rechte benötigt. Ich muss aber gestehen ich habe es nich nie versucht da ich mich nur über root anmelde.

Funktioniert ohne Probleme, getestet als User unter Debian Squeeze vor 3 Minuten, .key, .crt und .csr sind erstellt

Gruß, Domi

 

[T0a5tbr0t]

Ähhmmm, genau Ich führ doch sowas nicht als root aus! Gehts noch?

Irgendwie muss sichergestellt werden, ob man der Inhaber einer Domain ist. Das ist - per Definition - root Zugriff. Diese Verifizierung automatisiert zu erledigen, ist nicht gefährlicher, als es komplett per Hand zu tun. Zumindest, wenn man nicht der perfekte Mensch ist, welcher keine Fehler macht.

 

[DocWindows]

Wir reden jetzt aber nicht aneinander vorbei, oder? Ich will mein eigenes Server CA erstellen und das global (Weltweit) als Vertrauenswürdig haben so das ich meine eigenen Zertifikate signieren kann mit dem Ergebnis, dass Oma Müller aus Polen auf meine HTTPS Seite gehen kann ohne das sie im Firefox, Chrome etc. sagen muss "Ausnahme hinzufügen"

Dann musst du deine eigene Certificate Authority aufsetzen und durch einen externen Anbieter signieren lassen, bzw. die Root-Keys signieren lassen. Globalsign bietet sowas unter dem Namen "Trusted Root Signing Zertifikate" an. Lets Encrypt oder andere kostenlose Dienste werden das wohl nicht anbieten. Wüßte ich jedenfalls nicht.

 

[Enigma]

Diese Verifizierung automatisiert zu erledigen, ist nicht gefährlicher, als es komplett per Hand zu tun.

Grundsätzlich bin ich bei dir. Aber ich habe den Bestellvorgang unserer Zertifikate programmiert und das benötigt an keiner Stelle Root-Rechte. Weder bei der Generierung noch bei der Validierung. Lediglich die Konfiguration im Webserver wird mit Root-Rechten gemacht, weil die Private-Keys anschließend nicht mehr so einfach auslebar sind.

Mir gefällt die Idee nicht, einen unbekannten Software-Stack einfach als Root auszuführen, wenn es nicht zwigend erforderlich ist Vor allem pfuscht das Ding im System rum, dass es nicht mehr feierlicht ist und lädt ungefragt Quellcode runter, der wiederum als Root ausgeführt wird (pip!).

 

[riloka]

"unbekannt" ? Das Ding ist im Quelltext verfügbar, dem musst du nicht trauen (auch wenn die ganze Spec und der Client und das System von vertrauenswürdigen Organisationen stammen)

 

[character]

Nette Sache. Jetzt müssen sie noch Wildcard-Certs unterstützen. Immerhin scheinen SANs aber zu funktionieren, das ist vorerst auch ok.

 

[lolololol]

Auch wenn es einem Man-in-the-Middle gelingt, die übertragenen Daten abzuhören, kann er sie dann weder entziffern noch ändern.

Wie kann man nur sowas schreiben?
Ich meine wenn man Man-in-the-Middle fährt hat man doch wohl auch die Schlüssel fürs Cert dabei oder etwa nicht, sonst macht der ganze Angriff doch überhaupt keinen Sinn.
Oder noch besser, man hat die Cert selbst erstellt, siehe Googles ewige Liste der Gefakten...

Bei SSL/HTTPS hat meiner Meinung nach nur dieser eine Satz etwas mit faktischer Sicherheit zutun:
"Ich kenne das Risko" *pffffffffffff

 

[kmaier504]

Finde ich gut die Idee mal sehen werde mich mal demnächst mit beschäftigen mein PC als Server laufen zu lassen als Test da kommt mir sowas echt gut, jedoch muss ich mich da noch genauer einarbeiten wie man ein Server zuhause betreibt, weiß zwar wie man XAMPP und so einrichtet aber da gehört ja noch mehr dazu. Was ich aber wundert das die Datenkrake (Facebook) persönlich als einer der Hauptsponsoren zu trage kommt was da wohl wirklich hinter steckt?

 

[Evil Master]

Sag ich ja schon seit Seite eins

Ich erstelle lieber ein CSR (was auch nur root machen kann) und sende das an die CA welche mir daraus das Public Zertifikat schickt. Einfacher und sicherer.

Genau so ist das, ich stimme Cool Master hier voll zu und würde niemals die CA alles machen lassen.
Prinzipiell ist LE ne tolle Sache, aber kostenlosen SSL Zertifikate gibt schon schon länger und ich nutze schon seit Jahren StartSSL und habe noch nie damit Probleme gehabt...

 

[riloka]

Ich meine wenn man Man-in-the-Middle fährt hat man doch wohl auch die Schlüssel fürs Cert dabei oder etwa nicht,

Es geht nie der private Schlüssel über die Leitung, du lässt dir den öffentlichen beglaubigen , that's it.

 

[Silent1337]

Ich würde keinem Skript, fremden Software oder sonst was an meiner Webserver Config rumfrickeln lassen. Wer nicht in der Lage ist, die paar Zeilen in eine Konfiguration bekommen, sollte keinen Webserver betreiben.

 

[Falc410]

Ich würde keinem Skript, fremden Software oder sonst was an meiner Webserver Config rumfrickeln lassen. Wer nicht in der Lage ist, die paar Zeilen in eine Konfiguration bekommen, sollte keinen Webserver betreiben.

Das Script ist in Python geschrieben und auch auf github verfügbar. Wo ist das Problem? Noch dazu ist die automatische Konfiguration ja optional - du kannst auch selber das Cert einbinden.

Was mich da schon mehr gestört hat, war die Tatsache das es unter CentOS 6 und 7 nicht sofort lief und ungefragt die nötigen Pakete nachinstalliert hat, inkl. gcc - der auf einem Webserver nun wirklich nichts zu suchen hat. Naja ist noch Beta. Ich würde auch lieber einen Client haben bei dem ich alles manuell mache und mir dann selber einen cronjob basteln der das alle 30 Tage erneuert.

 

[Silent1337]

Was mich da schon mehr gestört hat, war die Tatsache das es unter CentOS 6 und 7 nicht sofort lief und ungefragt die nötigen Pakete nachinstalliert hat, inkl. gcc - der auf einem Webserver nun wirklich nichts zu suchen hat.

-> Dann ist da also sowas wie "yum install -y" drin. Naja ist tatsächlich für "Jedermann" gedacht...

 

[jfive]

Ich finde die Vision von letsencrypt klasse und wenn man bedenkt, dass das Projekt erst am Anfang steht, ist das, was bisher dafür umgesetzt ist hervorragend.
Wer hier am meckern ist sollte sich mal Gedanken machen ob er wirklich verstanden hat, worum es bei dem Projekt in erster Linie geht


Weiß schon jemand wann die Automatisierung finalisiert wird?

Übrigens, sehr guter Artikel Ferdinand! Stets sehr informativ und lesenswert.

 

[T0a5tbr0t]

Ich würde keinem Skript, fremden Software oder sonst was an meiner Webserver Config rumfrickeln lassen. Wer nicht in der Lage ist, die paar Zeilen in eine Konfiguration bekommen, sollte keinen Webserver betreiben.

Wie bitte kommt man dann an den Webserver? Programmiert man mal eben selber?
Dass das Einrichten von Verschlüsselung unnötig schwer ist, ist kein Naturgesetz oder so. Wenn das aufsetzen eines Webservers einfacher geht, als das einrichten von einem Zertifikat, läuft generell was schief.