News Server-Zertifikate: Let's Encrypt bietet erstes Zertifikat an

[fethomm]

Die Internet Security Research Group ist als neue Zertifizierungsstelle aktiv geworden. Im Rahmen des Programms Let's Encrypt ist das erste Zertifikat freigegeben worden. Das Projekt zielt auf kostenlose, automatisch eingerichtete und aktualisierte Zertifikate. Die Entwicklung findet unter dem Schirm der Linux Foundation statt.

Zur News: Server-Zertifikate: Let's Encrypt bietet erstes Zertifikat an

 

[Cool Master]

Also könnte man in ~4 Wochen auf dieses Zertifikat umstellen und es würde nicht kommen "Dieser Verbindung wird nicht vertraut"?

 

[leipziger1979]

Da es noch keine Cross-Signatur gibt, muss derzeit das Root-Zertifikat der ISRG noch per Hand im Browser hinterlegt werden.

Oder machst es per Hand/GPO

 

[Cool Master]

Jo klar, das kommt aber nicht in Frage.

 

[k0ntr]

Was ist das genau? HTTPS einfach anders geschrieben?

 

[Der-Orden-Xar]

https baut unter anderem darauf auf, dass es Zertifizierungsstellen (CA) gibt, die als vertrauenswürdig gelten und Zertifikate ausstellen können, damit die Identität einer Webseite bestätigt werden kann.
LE ist einfach eine weitere CA, die sich von den anderen darin Unterscheidet, dass
1) die Zertifikate kostenlos sind (gibt es allerdings schon via StartCom oder einer chinesischen CA)
2) es automatisiert genutzt werden kann (gibt es AFAIK auch schon, aber nur gegen viel Geld)

Damit würden zwei der Hauptgründe, die gegen eine Verschlüsselung jedes kleinen privaten blogs sprechen wegfallen.
Und da die Hoffnung bekanntlich zuletzt stirbt könnte man sogar hoffen, dass sogar Seiten wie computerbase dadurch komplett https anbieten können.
Zwar hat CB ein Zertifikat, allerdings nur für die sehr wichtigen stellen wie den LogIn. Die Werbepartner sind hier das Problem, denn die wollen Werbung ausliefern und am liebsten unkompliziert, sprich Zertifikate sind viel zu viel Aufwand und im zweifel viel zu teuer^^

 

[ascer]

Kostenlose SSL-Zertifikate...klingt spannend (:

 

[semporn]

Ui das klingt ja mal sehr gut! Bis jetzt habe ich mit einem selbst signierten Zertifikat gelebt weil die Zertifikate mir entweder zu teuer oder zu kompliziert einzubinden waren. Vielleicht bekomme ich ja dann in Zukunft keine Fehler mehr bei meinem OwnCloud Server!

 

[Luxuspur]

naja mir stellt sich dabei immer die Frage was da sicherer gemacht wird? Sry ja dann wird verschlüsselt übertragen, aber ob da wirklich dre am anderen Ende sitzt der der da vorgebenen wird ist genauso unsicher wie ohne CA, da ich auf jeden beliebigen ein Zertifikat austellen kann ohne mich überhaupt ausweisen zu müssen!

da lass ich mir auf meine Phishingsiten das Zertifikat austellen und bin damit zertifizierter SPammer / Phisher und vertrauenswürdig
Es wird doch bei diesen Free Angeboten überhaupt nicht geprüft ob ich ich bin und ob die Sites überhaupt mir gehören!
Also eine Pseudosicherheit für Tante Erna, der man trotzdem das Bankkonto leert. " Aber ich hab doch aufs Zertifikat geschaut" Muhaha

 

[fethomm]

Bei StartCom wird das beispielsweise schon überprüft. Wie das bei Let's Encrypt läuft werde ich demnächst berichten.

 

[menace_one]

Wie das bei Let's Encrypt läuft werde ich demnächst berichten.

Vielen Dank, ich benötige nämlich, wie Semporn, auch ein kostenloses Zertifikat für meine Owncloud.

Jedesmal schreiben zu müssen "du kannst meinem Zertifikat vertrauen" nervt nämlich.
Zumal viele user bei einem MITM Angriff einfach ein anderes Zertifikat akzeptieren würden.
Erst neulich hätte ich selbst fast das von Avast akzeptiert, Avast wollte sich nämlich eigenständig dazwischen schalten

 

[kugel.]

Bei StartSSL (www.startssl.com) gibt es schon länger kostenlose Zertifikate, die von Browsern und Android out-of-the box akzeptiert sind. Ich betreibe damit meine owncloud.

 

[surtic]

Sind diese Gratis Zertifikate von LetsCrypt Wildcard? Denn bei StartSSL / StartCom sind es ja nur einzelne.

An all die die Wildcard Zertifikate wollen kann ich da StartSSL wirklich empfehlen kostet so um die 100$ wenn ich es richtig im Kopf habe für eine Prüfung danach kann man X Wildcard Zertifikate erstellen die bei den "grossen" Browser Akzeptiert werden wenn richtig Konfiguriert

 

[Cool Master]

@kugel.

Das Problem an StartSSL ist, die nehmen wohl keine neue Kunden an. Da kommt schon seit Monaten folgendes:

[h=2]Over Capacity[/h] [h=3]We are currently receiving more requests than we can handle. Please try it later again.[/h] [h=4][/h] [h=3]We apologize for the temporary inconvenience and thank you for your understanding.[/h]

 

[Khartak]

Da muss ich irgendwie an den NSL denken...

 

[xmarsx]

Ich hätte mir sehr gewünscht, dass Mozilla.org und Co mit CAcert zusammenarbeiten. Die CAcert Zertifikate halte ich für ähnlich zuverlässig oder unzuverlässig wie die von den grossen Zertifizierungsstellen. Es ist bei den grossen auch schon mehrfach passiert das man bei denen die Server gehackt hat und dann root-Zertifikate geklaut wurden.

Die Informationspolitik dieser Anbieter war mehr als dürftig. Monate später wurde man informiert wenn man es denn so sagen kann. In einem Fall war es glaube ein Hinweis im Quartals- oder Jahresbericht (...wir wurden übrigens gehackt und man hat uns root-Zertifikate geklaut...), der wohl in der Regel eher vom Aktienbesitzer gelesen wird als vom Internetnutzer oder Experten der weiss was das bedeutet.

Soetwas ist höchst bedenklich, weil Unbekannte sich damit selber Zertifikate der betroffenen Firmen ausstellen konnten.

 

[DaZpoon]

Das wäre schon traumhaft, jedoch ist der Haken dabei immer die Verifizierung des Domain-Inhabers. Hier wäre eine Recherche der Methode natürlich hilfreich @Ferdinand. Denn das ist z.B. auch aktuell schon der große Pferdefuß bei GnuPG, gefälschte Zertifikate + Unterschriften.

Könnte man dann auch eine Cert-Chain aufbauen mit eiegener Intermediate-CA, welche u.a. dann auch S-MIME Zertifikate ausstellt? Das wäre nahezu perfekt. Aktuell habe ich mein eigenes Root-Zertifikat, aber das muss man halt bei jedem händisch installieren. Ist zwar im Prinzip die sicherste Methode, aber halt irgedwie doch schwierig für DAU's und jede Anwendung mit eigenem Cert-Store will es wieder importiert haben bzw. meckert rum.

 

[larshamm]

Wäre echt genial wenn es eine kostenfreie alternative zu Start SSL geben würde für Wildcards. Denn genau die benötige ich teilweise und das handling ist tausend mal besser als mit Einzelzertfikaten. Zudem sagt mir auch die StartSSL Seite nicht zu ich finde dieses Login mit eigenem Zertifikat schon etwas nervig.

 

[fethomm]

Ich habe mal etwas im Forum von Let's Encrypt gegraben. Zwei Kritikpunkte, die hier am häufigsten angebracht wurden waren die Verifikation des Antragstellers und Wildcard Zertifikate. Zu letzterem gibt es eine Diskussion, wo die Entwickler sagen, das Thema werde man angehen, wenn die CA erst mal in den Regelbetrieb übergegangen sei. Bei der Verifizierung Antragsteller == Domaininhaber wird die CA auf verschiedene Methoden wie etwa unter anderem SimpleHTTP oder DVSNI setzen.

 

[free-sky]

kostet so um die 100$

Gibt es woanders sogar noch billiger, bei GoDaddy seit Jahren für so ca. 50 USD p.a. mit den im Internet erhältlichen Rabattcodes.

Ja, Wildcard!