News ACMEv2: Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus

[Eternal_Sun]

Als Firma sollte ich in der Lage sein, dass mein Proxy die HTTPS-Verbindung aufbricht und anschließend neu verschlüsselt.

Das Zertifikat vom Proxy muss halt dann noch in die Trusted CAs vom Client und das browsen sollte funktionieren.

 

[2Stoned]

Also auf meiner (privat genutzte) Sophos UTM geht auch SSL scanning. Man muss halt selbst ein Zertifikat haben (entweder händisch in alle clients implementiert (aufwändig) oder eben extern). Let's encrypt bietet sich hier auch an. (übrigens auch für synology)

 

[Autokiller677]

Und warum setzt die Firma nicht ihre eigne CA auf? Dann kann der Proxy alles aufbrechen, ohne dass die Clients meckern (zumindest noch).

Wobei das ganz üble Bad Practice ist. Die meisten dieser "Sicherheits"Lösungen bringen damit mehr Lücken ins System als sie fixen. Oft unterstützen die Systeme dann nur veraltete Chiphern, ermöglichen Downgrade attacken, haben mangelhafte Implementierungen usw.

Sollte sich langsam auch rumgesprochen haben, dass das absolutes Schlangenöl ist, von dem jeder, der auch nur einen Hauch von Sicherheit versteht die Finger lässt.

 

[DanFu]

Wobei das ganz üble Bad Practice ist.

Alternativen?

 

[Nurve]

Für Absicherung des "Kunden" gibts Gütesiegel wie Trusted Shops wo mehr prüfen und versichern

Leider nein. Ich weiß von mindestens einen wirklich riesigen Shop bei dem nicht nur mit Trusted Shops gearbeitet und nach Strich und Faden beschissen wird. Welchen Kunden fällt schon auf, wenn die Bitte um Bewertung nur dann kommt, wenn bei der Bestellung alles gut lief?

Eine sehr elegante und schwer nachweisbare Methode

 

[Der-Orden-Xar]

Wobei das ganz üble Bad Practice ist.

Immerhin weniger "Bad", als TLS wegen der nicht-scanbarkeit direkt zu verteufeln. Und wie gesagt, warum geht das denn nicht auf den Clients?

Die meisten dieser "Sicherheits"Lösungen bringen damit mehr Lücken ins System als sie fixen. Oft unterstützen die Systeme dann nur veraltete Chiphern

Jup, habe ich vor 2 oder 3 Jahren so einmal selbst in einer VM getestet: Bitdefender installiert, ssllabs aufgerufen und erschrocken festgestellt, was die "Sicherheits"software so für Ciphersuits unterstützt.
GDATA dagegen hatte mal einen Blogeintrag, wo erklärt wurde, dass genau deswegen GDATA nicht in der Lage ist, eine verschlüsselte Verbindung aufzubrechen und das es keinen Unterschied macht, ob GDATA nun auf dem Rechner (in der Verbindung zwischen Browser und Server) oder auf dem Rechner (wenn der Browser es entschlüsselt hat) scannt.

 

[nyster]

Alternativen?

Systeme immer auf dem letzten Stand halten. D.h. zeitnah, nicht ein halbes Jahr später.

Wie Autokiller677 schon korrekt geschrieben hast, bringen dies „Sicherheitslösungen“ wesentlich mehr Probleme als sie lösen. Einfache Denksportaufgabe: Wenn eine Lösung Inhalte auf ihre „Gutartigkeit“ hin prüfen möchte, wie mach sie das? Indem Sie sie analysiert. Wie tut sie das? Sie muss für jede Art von Datei eine Prüfroutine haben, was sich praktisch nicht davon unterscheidet unterscheidet, was beim eigentlichen Öffnen passiert. Vielleicht sind die Routinen anders, weil man sich das PDF ja nicht wirklich ansehen möchte.

Der Punkt ist: Code hat Fehler und je komplexer der Code, desto schlimmer. Was könnte komplexeren Code haben als die „Sicherheitslösung“ (Sophos) die tausend verschiedene Dateitypen auf Fehler untersuchen möchte?

Und selbst wenn sie dafür auf Bibliotheken zurückgreift — Überraschung, die haben ja auch Fehler! Und wenn man die dann nicht immer brav auf den neuesten Stand hebt, dann hat man *bekannte* Fehler in seiner tollen Sicherheitslösung.

Besonders lustig sind dann so Fälle, wo dann z.B. einfach ein nodejs-Server im Kontext des Virus-Scanners(TrendMicro) läuft.

Generell verschlechtern „Sicherheitslösungen“ fast immer die durchschnittliche Sicherheit, z.B. indem Sie Code mit SYSTEM-Rechten ohne Sandbox emulieren: MS Defender

This full system x86 emulator runs as SYSTEM, is unsandboxed, is enabled by default and remotely accessible to attackers.

Effektiv macht man es Angreifern damit viel leichter, weil man den Benutzer nicht dazu bringen muss, was anzuklicken. Er muss die E-Mail nicht mal öffnen, es reicht völlig, wenn das die „Sicherheitslösung“ tut: Avast

Und falls die Firma wirklich alles verrammelt und nur die Sicherheitslösung für Analysezwecke Zugang zu Ihrer Cloud gewährt, dann ist das eine großartige Hilfe, um Daten rauszuschmuggeln: Avira, ESET, Comodo und Kaspersky

Fazit: „Sicherheitslösungen“ sind Augenauswischerei für Leute (leider einschließlich vieler angeblicher „Profis“), die nichts von Sicherheit verstehen bzw. verstehen wollen. Schlussendlich geht es nur darum, sagen zu können, man hätte ja alles menschenmögliche getan, um das System zu schützen - indem man eine oder mehrere „Sicherheitslösung(en)“ gekauft und eingesetzt hat. Dass man stattdessen mehr Zeit und Geld darin investieren hätte sollen, seine verdammten Systeme auf dem letzten Stand und mit ordentlichen Konfigurationen ausgestattet zu halten, das kann man ja leider niemandem verkaufen.

 

[Fliz]

Find ich gut das die nun auch WC-Certs anbieten. Meine dämliche Firma wollte ja nicht hören und hat trotzdem bei einem teuren CA richtig Geld gelassen.. Denn was umsonst ist, kann nicht gut sein..

 

[GregoryH]

wenn sich aber alles was Https angeht Richtung LetsEncrypt verlagert ist das zwar angenehm und nutzerfreundlich, aber auch irgendwie der Single Point of Failure und Angriffsziel sofern mal Zugriff auf jede HTTPS Verbindung haben möchte, oder?

Wieso? LetsEncrypt signiert doch nur. Deine Keys sind deine eigenen.

Und es gibt so viele Zwielichtige Root Certificates von staatlichen Stellen ganz zu schweigen... Da muss niemand LetsEncrypt angreifen.

 

[tidus1979]

Ich versteh von dem ganzen Kram nicht so viel. Habe mir aber für meine private Website vor kurzem ein SSL-Zertifikat gekauft. Das gute war, dass es automatisch implementiert wurde, ich musste nicht selbst Hand anlegen.

Geht das bei diesen kostenlosen Zertifikaten auch ähnlich einfach?

 

[MADman_One]

Das macht den ganzen "Let's Encrypt" Verein nicht wirklich glaubwürdig und schon gar nicht vertrauenswürdig.

Wildcard Zertifikate werden von vielen (kommerziellen) Certs ausgestellt. Warum sind andere kommerzielle Anbieter vertrauenswürdiger nur weil ich ihnen Geld gebe ? Gerade wenn ich an den Schindluder denke, den Symantec mit den Zertifikaten getrieben hat, so weit, das Google sie demnächst blockt.
Für mich sind die ganzen kommerziellen Certs eher weniger vertrauenswürdig, weil ich ihnen noch weniger auf die Finger schauen kann.

Schlimm genug dass die Kontrolle über eigene Webservices an externe Unternehmen abgegeben wird aber das Ganze irgendeinem gemeinnützigem Verein zu übertragen finde ich echt fahrlässig. Hier geht es mir nicht so sehr darum dass dem Nutzer gefälschte Domains untergejubelt werden denen der Browser vertraut sondern darum, dass über die Zertifikatssperrlisten beliebige Webseiten faktisch abgeschaltet werden können.

Abgesehen davon ist die generelle Unart jede Seite zu verschlüsseln für firmeninterne Firewallsysteme ein echtes Problem. Nur auf den Clients zu scannen ist kein ausreichender Schutz.

Nein, eine Unart ist es Verschlüsselungen aufzubrechen um z.B. unter dem Vorwand der Sicherheit Spionage zu betreiben. Vorallem weil die aufgebrochene Verschlüsselungen dann leider oft von jämmerlich zusammengestümperter Sicherheitssoftware wieder unsauber zugemacht wird. Viele Sicherheitslösungen am Markt sind leider nur Schlangenöl, sie gaukeln einem erhöhte Sicherheit vor, die in Wahrheit gar nicht gegeben ist.

Zertifikate stellen zudem keine Verschlüsselung bereit, die hat man bei https nämlich immer, sondern bestätigen nur das derjenige auch der ist der er vorgibt zu sein. Das muss also Sicherheitslösungen nicht die Arbeit erschwerren wenn sie vernünftig entwickelt sind.
Und Kontrolle gibt man schon gar nicht ab, man kann das Zertifikat auch jederzeit zurückrufen und durch das eines anderen Anbeiters ersetzen, der einem besser passt.
Gerade Dinge wie Vertrauen im Netz funktionieren nun mal nur über externe Stellen, weil Vertrauen nun mal dadurch generiert wird, daß jemand anders dem ich vertraue mir sagt das etwas auch aus seiner Sicht vertrauenswürdig ist. Da macht es wenig Sinn wenn man seine eigene Cert aufmacht und sich nur selber vertraut. Sobald andere mit einem kommunizieren müssen müssen externe Stellen das Vertrauen bestätigen.

Daher laufen alle meine Systeme über https mit Zertifikat, damit meine Kontakte überprüfen können das sie auch wirklich bei mir sind und nicht wo anders. Normales http ist mittlerweile inakzeptabel für mich, spätestens sobald irgendwo Personalisierungen und Benutzeraccounts im Spiel sind.

 

[BlubbsDE]

... ich hätte es gewusst, aber mir fällt auf Anhieb auch keine Website mit einem EV Zertifikat ein.

Mir fallen da spontan Banken ein. Ich kenne keine, die es nicht nutzen würde.

 

[Der-Orden-Xar]

Twitter.
Klingt komisch, aber unter https://twitter.com/ bekommst du tatsächlich ein EV-Zertifikat zu sehen.

 

[Autokiller677]

Alternativen?

Auf dem Client scannen. Nachdem die Verbindung ordnungsgemäß entschlüsselt wurde.

 

[gnubb]

Geht das bei diesen kostenlosen Zertifikaten auch ähnlich einfach?

z.B. bei all-inkl.com kann man das für seine Domains ganz einfach zusammenklicken.

 

[Nessix]

Sehr schön, auf die Wildcard Zertifikate warte ich schon seit der Ankündigung!

ACME ? Soll das ein Witz sein ?
Sind wir jetzt schon beim RoadRunner angekommen ?

Und jetzt auch noch Wildcard Zertifikate ?

Das macht den ganzen "Let's Encrypt" Verein nicht wirklich glaubwürdig und schon gar nicht vertrauenswürdig.

Dafür hätte ich zu gern mal eine Begründung. Offensichtlich hast du das mit den Zertifikaten nicht verstanden

 

[engine]

Aus dem Artikel:

... Da die gemeinnützige Organisation Let's Encrypt auch die Wildcard-Zertifikate kostenlos anbietet, wird die Luft für kommerzielle CAs zunehmend dünner. ...

Kommerzielle Zertifizierungsstellen habe sowieso keinen besonders guten Ruf, jetzt kommt halt ein kostenloser Verein dazu, was solls.

 

[Blutschlumpf]

Solange LE nur 3 Monate ausstellt, wird es immer kommerzielle Anbieter geben.
Lass dein Wildcard-Zertifikat mal auf 20 verschiedenen Geräten laufen, die alle kein normales Linux sind, sondern embedded Kram, Switches Loadbalancer usw, da wars das mit dem auto-update dann auch.

 

[Domi83]

Es gibt allerdings immer mehr Systeme die Let's Encrypt mit einbinden. Bei Linux Systemen und Webhosting (wer keine Ahnung von der Oberfläche hat) freut sich, weil Systeme wie Plesk, ISPconfig etc. schon Let's Encrypt eingebunden haben. AVM hat (wenn ich mich nicht irre) ebenfalls schon Let's Encrypt mit eingebunden... wenn DIE sich weiter ausbauen, werden vermutlich auch andere Hersteller / Anbieter das Let's Encrypt System mit einbinden und dann werden die CA wie Symantec, GeoTrust, Thawte und Co auch mal schauen was man tun könnte.

Ich persönlich bin sogar bereit für das eine oder andere Zertifikat Geld zu bezahlen, aber dann bitte auch in einem erschwinglichen Rahme. Das heißt, das Verhältnis zwischen Kosten und Leistung sollte auch gerechtfertigt werden. Wenn ich sehe, dass ein Wildcard Zertifikat von Symantec über 1.000 Euro kostet, werden doch diverse Leute lieber zu Let's Encrypt greifen. Außer sie haben (wie du schon sagst) noch Geräte, wo man Let's Encrypt Zertifikate aufgrund der Auto-Update Geschichte noch nicht einbauen kann, oder es aufgrund der Wartung und Pflege zu mühselig wäre.

Gruß, Domi

 

[TheCadillacMan]

Lass dein Wildcard-Zertifikat mal auf 20 verschiedenen Geräten laufen, die alle kein normales Linux sind, sondern embedded Kram, Switches Loadbalancer usw, da wars das mit dem auto-update dann auch.

Das ist letztendlich nur eine Frage der Automatisierung. Du kannst das Wildcard-Zertifikat an einer zentralen Stelle verwalten und von dort aus weiter verteilen.
Mit 20 Geräten kann man sowieso schon an Automatisierungstool wie Puppet oder Ansible denken. SSH oder HTTP ist häufig ja vorhanden.
Jedes Jahr ein kommerzielles Wildcard-Cert manuell auf 20 Geräte zu verteilen ist ja schließlich auch nicht das gelbe vom Ei.