Bericht Let's Encrypt: Erste Erfahrungen mit dem HTTPS für jedermann

[Tobias Claren]

Dann ist das nix für dich.
Es geht nur um Vollverschlüsselung und Datenschutz, ohne dass Logins und Sessions von allen dazwischen (Anbieter, andere WLAN Clients, verseuchte Router, der NSA) gelesen werden können.

mfg,
Max

Und warum braucht es für HTTPS ein SSL-Zertifikat?

Ich muss als Betreiber einer Webseite der beides nutzen will, aber nicht wirklich identifizierbar sein, oder?
Man kann auch anonym sein, und vom General-Bundesstaatsanwalt gesucht (Versuch der Identifikation) werden?
Warum braucht es für eine https-Seite ein "Zertifikat"?

Evtl. will man den neuen modernen Onlinepranger starten, und als Gimmick die Verschlüsselte Verbindung zur Webseite angeben .
Allerdings dürfte das Risiko für die ihre Nachbarn, Ortspolizisten, Richter etc. anprangernden Nutzer über eine Abhörung über die Mitte eher gering oder nicht vorhanden sein.
Und wenn die nach dem Eintrag mit Klarname etc. versuchen die IP zu kriegen, ist es für den Fall dass es klappt auch egal ob es Verschlüsselt übertragen wurde.
Da wäre es besser, man verlangt nie eine verifizierte Email, und empfiehlt für Einträge sowie registrieren und einloggen den TOR-Browser. Ein eigenes Konto dient ja nicht nur der Kontrolle der Besucher, sondern in diesem Szenario eher Vorteilen der Nutzer.
Ändern der Beiträge, eigene, wenn auch anonyme Identität etc..

 

[Der-Orden-Xar]

Weiß schon jemand wann die Automatisierung finalisiert wird?

Spätestens 2016
Später im kommenden Jahr sollen neben RSA-Zertifikaten auch ECC-Zertifikate ausgestellt werden - nachdem der Teil mit RSA bestmöglich läuft.

Und warum braucht es für HTTPS ein SSL-Zertifikat?

Ich muss als Betreiber einer Webseite der beides nutzen will, aber nicht wirklich identifizierbar sein, oder?
Man kann auch anonym sein, und vom General-Bundesstaatsanwalt gesucht (Versuch der Identifikation) werden?
Warum braucht es für eine https-Seite ein "Zertifikat"?

Evtl. will man den neuen modernen Onlinepranger starten, und als Gimmick die Verschlüsselte Verbindung zur Webseite angeben .

Not sure ob ernst oder Ironie, aber schau dir einfach das Zertifikat von computerbase.de an:
Ausgestellt für *.computerbase.de
Organisation nicht angegeben.
Domain Control Validated (dh es wurde ausgestellt, weil der Antragssteller offensichtlich Kontrolle über die Domain hat, sprich wie bei LE auch).

Dagegen habe ich auch direkt bei dem nächsten Zertifikat unter "Organisation" den Namen des Seitenbetreibers gefunden - ja der echte Name laut Impressum

Also keine Panik wegen angeblicher deanonymisierung des Seitenbetreibers verbreiten, https sichert nur, dass die Daten, selbst wenn sie abgefangen werden nicht verstanden werden können (bei korrekt gewählter Verschlüsselung) und, dass auch niemand die Daten unterwegs gefälscht hat, jedoch verspricht https nicht, das am anderen Ende der Leitung auch der oder das ist, was du erwartest.
Deswegen wird das ganze auch als TLS entwickelt Transport Layer Security

 

[Cool Master]

CSR kann jeder Benutzer erstellen.

Funktioniert ohne Probleme, getestet als User unter Debian Squeeze vor 3 Minuten, .key, .crt und .csr sind erstellt

Alles klar, danke für die Info

 

[Prinzenrolle_]

Ganz ganz doofe Frage. Wirklich sehr doof, aber kann man auch nur die externe IP oder dyndns so verschluesseln? Hab selber keine Domain aber haette da schon Interesse.

 

[Cool Master]

Klar kann man auch ein DynDNS verschlüsseln. Du musst halt die Möglichkeit haben E-Mails darüber zu empfangen.

 

[master.rv]

Hi,

und ich kann mein Zertifikat nicht einsetzen weil mein Hoster für meine Webspace mit 3GB es nicht vorgesehen hat.
Erst für eine Webspace die 3x so teuer ist wie meine jetzige kann man es haben. Als privat User ist es mir zu teuer.
Nach 8 Jahren werde ich mich nach neuen ISP umschauen.

 

[riloka]

Abstimmung mit den Füßen, so muss das sein

 

[Crizzo]

Ja wenn ich nun aber nur ein Webspace gemietet habe und nicht einen ganzen Server ist das nix für mich... Richtig?

Das kommt halt immer auf den Webspace an, manche erlauben mittlerweile die Einrichtigung von SSL-Zertifikaten auch, wenn man nur Space hat.

 

[lolololol]

Es geht nie der private Schlüssel über die Leitung, du lässt dir den öffentlichen beglaubigen , that's it.

Richtig, du hast nicht verstanden worum es geht. Der Longrun, für dich extra aus wikipedia kopiert:

Ein weiterer Schwachpunkt: Wenn diese Zertifizierungsstelle mit dem Lauscher kooperiert, z. B. auf behördliche Anordnung oder aufgrund einer Kompromittierung, kann der Mann-in-der-Mitte einen SSL-Proxy aufbauen und unbemerkt mithören; natürlich kann er dann auch Inhalte vortäuschen.

Sprich, deine Verschlüsselung bringt dir nichts.

 

[Ravenstein]

Schaut doch gut aus mal schauen wie sich das entwickelt, wird sicherlich dann auch auf meinem.webspace bei uberspace laufen...

 

[riloka]

Wenn jemand es auf dich direkt abgesehen hat vom Kaliber eines Geheimdienstes bist du verloren, das war immer so und wird auch erstmal so bleiben.
Die können auch deinen Server direkt angreifen und die Polizei ihn physikalisch mitnehmen.

Du kannst aber in jedem Falle bei einer verschlüsselten Seite davon ausgehen dass sich die Anzahl an neugierigen Menschen die mitlesen können sehr sehr stark reduziert.

 

[Scheinweltname]

Sehe ich das richtig, dass sich damit jetzt jede Phishing- und Malware-Site ein von allen Browsern akzeptiertes Zertifikat für unscheinbare Variationen einer zu fälschenden Domain (z. B. "accountvalidation.paypäl.com") ausstellen kann?

Sagt mir bitte, dass dem nicht so ist.

Das Schloss-Icon/eine Verschlüsselung war zwar noch nie ein komplett verlässliches Indiz für eine vertrauenswürdige Seite ... aber deren Fehlen(!) auf einer Login-Seite war umgekehrt ein Zeichen für eine nicht vertrauenswürdige Seite.

 

[Falc410]

Ja können Sie, wobei dein Beispiel mit Paypal ganz gut ist, denn Paypal benutzt doch ein EV Zertifikat, d.h. die Adresszeile wird irgendwie grün eingefärbt. Das werden Zertifikate von Letsencrypt nicht haben.

Jeder der sich hier aber beschwert und meint das dann irgendwelche dubiosen Seiten SSL Zertifikate bekommen sollte sich mal näher mit der Technik beschäftigen. Denn derzeit vertraut ihr ja automatisch jedem Zertifikat welches von einer CA ausgestellt worden ist, der der Browser oder das OS vertraut. Und wer hat sich die Liste mit CAs schon einmal genauer angeschaut? Da sind einige dubiose dabei. D.h. jeder von euch vertraut blind auf MS oder Mozilla - und da gab es ja auch schon des öfteren Skandale in Bezug auf CAs.

Ein Zertifikat, egal auf welcher Seite (ausser es ist ein EV) ist absolut kein Zeichen für eine vertrauenswürdige Seite!

 

[TrueAzrael]

@Scheinweltname: Das war bisher auch möglich, gibt diverse bereits jetzt kostenlose Zertifizierungsstellen. Und ansonsten halt für kleine Münze, für Spammer/Phisher im großen Stil sicher auch kein Problem die Minibeträge zu stemmen.

Neu ist eigentlich nur, dass es auf Wunsch vollautomatisch integriert wird und somit auch der unbedarfte/faule Webserver Admin ein Zertifikat in die Konfig bekommt.

Edit: DV-Zertifikate bestätigen dir sowieso nicht, dass der Serverbetreiber der ist der er vorgibt zu sein. Nur das er während der Überprüfung durch die CA administrativen Zugriff auf die Domain hatte.

Außerdem bin ich der einzige dem paypÄl.com in den Augen weh tut? Wenn schon, dann bitte paypel.com oder so.

 

[Ravenstein]

Fälschern ist es doch schon im der Vergangenheit gelungen SSL Zertifikate die akzeptiert werden zu bekommen da wird lets encrypt auch nichts dran andern

 

[Cool Master]

@Ravenstein

Solange sich an dem System nicht ändert wird das immer möglich sein. Ich brauch nur eine E-Mail mit der Domain und kann das Zertifikat bekommen. Eine 100% sichere Möglichkeit gibt es einfach nicht und wird es auch nie geben.

 

[m0skito]

und warum bringen sie es nur für unix und nicht für windows raus ? -.-

 

[DaZpoon]

Sofern man einen eigenen Server per DynDNS betreibt kann man den Client auf jedem beliebigen Rechner (bzw. VM) ausführen. Wichtig ist dass ein externer Request auf Port 81 an diesen Rechner hinter dieser Domäne durchgeht (also Port forwarding) damit der Client das Quest erfüllen kann. Daraufhin bekommt man eine Zertifikatsdatei.

Wie ich das aber so gelesen habe ist die AutoConfig von Apache zwar schon gut aber noch nicht perfekt und NGINX praktisch nicht vorhanden.

Aber meiner Meinung nach ein sehr zu begrüßendes Projekt, sollte man auch auf SMIME Mail Zertifikate ausweiten.

Ergänzung (4. Dezember 2015)

Denn derzeit vertraut ihr ja automatisch jedem Zertifikat welches von einer CA ausgestellt worden ist, der der Browser oder das OS vertraut. Und wer hat sich die Liste mit CAs schon einmal genauer angeschaut? Da sind einige dubiose dabe

Bzw. dubiose CA's welche gefälschte Zertifikate ausstellen (wohl oftmals in China gängige Praxis für einen State-In-The-Middle Angriff). Das ist eigentlich der ganze Schwachpunkt an der Sache. Im Prinzip sind selbstsignierte mit eigener CA und an die entsprechenden Clients manuell ausgerollte Zertifikate das sicherste.

 

[Domi83]

Dann musst du deine eigene Certificate Authority aufsetzen und durch einen externen Anbieter signieren lassen, bzw. die Root-Keys signieren lassen. Globalsign bietet sowas unter dem Namen "Trusted Root Signing Zertifikate" an. Lets Encrypt oder andere kostenlose Dienste werden das wohl nicht anbieten. Wüßte ich jedenfalls nicht.

Ah mit dem Suchbegriff finde ich auch endlich mal etwas bei Google Das LE das nicht anbietet, habe ich mir fast gedacht und war auch nicht mein Ziel. Mich interessierte halt nur, wie man in das System (die Browser) mit seinen eigenen Zertifikaten rein kommt und die Browser das auch selbst akzeptieren ohne "Ausnahmen hinzuzufügen"

Alles klar, danke für die Info

Joa, kein Problem.. ich war selbst neugierig ob es geht und musste es einmal ausprobieren

Ja können Sie, wobei dein Beispiel mit Paypal ganz gut ist, denn Paypal benutzt doch ein EV Zertifikat, d.h. die Adresszeile wird irgendwie grün eingefärbt. Das werden Zertifikate von Letsencrypt nicht haben.

Das denke ich auch nicht.. alleine die Validierung für ein EV Zertifikat ist der Hammer. Habe mich für unsere Firma mal informiert wie das abläuft und da dachte ich schon "Okay, lassen wir das" Unter anderem wollen sie den Handelsregistereintrag prüfen, darauf hin die Rufnummer prüfen, dann mit einem Mitarbeiter der Firma sprechen (da ruft dann wohl ein Mensch an der englisch spricht), anschließend wollen die noch irgend etwas wissen und dann gibt es ein EV Zertifikat. Und da war mir dann der Aufwand zu groß. Dazu kommt, dass unsere Firma in den letzten 10 Jahren drei mal die Firmierung aus steuerlichen Gründen geändert hat und ändern musste

und warum bringen sie es nur für unix und nicht für windows raus ? -.-

Die mögen vielleicht kein Windows Ich selbst würde für WebServer (Webhosting, E-Mail etc.) auch immer auf Unix / Linux setzen.

Gruß, Domi

 

[Cool Master]

Ja auf Windows wird idR ein IIS eingesetzt und das ist noch mal ein ganz anderes Kaliber.