News Sicherheit: Mozilla, Google und Apple misstrauen WoSign und StartCom

Find ich gut, dass hier konsequent gehandelt wird.
Auch gut, dass Mozilla so offen damit umgeht und somit z.B. Google sich dann ebenfalls ein Bild davon machen kann.
 
Hmm.. ich verwende selbst die kostenlose Zertifikate von StartCom. Ich kann zwar den Schritt nachvollziehen, jedoch entstehen mir dadurch Umstände, da ich nun von anderer Quelle SSL Zertifikate beziehen muss... :rolleyes:

Gibt es denn alternative Anbieter von kostenfreien SSL Zertifikate? Vermutlich bleibt nur noch letsencrypt übrig? Sind diese mittlerweile von jedem Browser akzeptiert?
 
spcial schrieb:
Gibt es denn alternative Anbieter von kostenfreien SSL Zertifikate? Vermutlich bleibt nur noch letsencrypt übrig? Sind diese mittlerweile von jedem Browser akzeptiert?

Let's Encrypt ist seit Anfang an durchgängig akzeptiert, da sie ein Intermediate-Zertifikat einer anderen CA benutzt haben/benutzen. Mittlerweile sind sie zumindest bei Mozilla auch selbst mit ihrem Root-Cert drin (oder ganz knapp davor)
 
Kennt jemand eine Alternative zu StartCom/StartSSL außer Lets Encrypt?

Lets Encrypt kommt für mich leider nicht wirklich in Frage da ich u.a. mehrere SSL Domains auf Google App Engine betreibe und nicht die Zeit habe dort andauernd neue Zertifikate manuell upzuloaden.
 
Ja aber immer noch mit dieser beknackten 3-Monats Laufzeit mit dem umständlichen refresh client, die kostenlosen Startcom Zertifikate hatten zuletzt eine Laufzeit von 3 Jahren inkl. 10 Subdomains.

Dabei hätte ich gern was dafür bezahlt, aber was die anderen für ein Wildcard verlangen ist aus meiner Sicht nur Abzocke.
 
Zuletzt bearbeitet:
Bei wosign ist die Vergabe für freeSSL schon seit bestimmt 4 Wochen ausgesetzt...
 
DHM5x schrieb:
Ja aber immer noch mit dieser beknackten 3-Monats Laufzeit mit dem umständlichen refresh client, .../QUOTE]

Die Laufzeit soll künftig noch weiter reduziert werden. Es ist allerdings kein Problem, das Renewal zu automatisieren.
 
fethomm schrieb:

Für Cloud-Dienste wie Google App Engine, Google Firebase gibt es keine automatische Lösung. Ich schätze bei vielen anderen Hosting- und Cloud-Anbietern auch nicht. Hier ist LetsEncrypt (noch) keine Option.
 
Zuletzt bearbeitet von einem Moderator: (Zitat entfernt)
spcial schrieb:
Hmm.. ich verwende selbst die kostenlose Zertifikate von StartCom. Ich kann zwar den Schritt nachvollziehen, jedoch entstehen mir dadurch Umstände, da ich nun von anderer Quelle SSL Zertifikate beziehen muss... :rolleyes:

Dito. Wenn sich die Streithanseln nicht einigen, muss ich mir spätestens bis Anfang 2017 eine Alternative suchen, um mein NAS für mich und Kunden wieder zugänglich zu machen.

fethomm schrieb:
Let's Encrypt ist seit Anfang an durchgängig akzeptiert, da sie ein Intermediate-Zertifikat einer anderen CA benutzt haben/benutzen.

Und so etwas wird akzeptiert und das finden die OK!?

Ein Schelm, wer dabei böses denkt.

Ich sehe auch nicht, wo Let's Encrypt vertrauenswürdiger sein soll als StartCom.

fethomm schrieb:
Die Laufzeit soll künftig noch weiter reduziert werden. Es ist allerdings kein Problem, das Renewal zu automatisieren.

Die drei Monate sind ja jetzt schon ein Witz. Und wie soll das mit der automatischen Erneuerung funktionieren!? Ich muss doch dann trotzdem jedes mal das neue Zertifikat in meine NAS und den Router importieren. Das ist gelinde gesagt ein absoluter Witz.
 
MaverickM schrieb:
Die drei Monate sind ja jetzt schon ein Witz. Und wie soll das mit der automatischen Erneuerung funktionieren!? Ich muss doch dann trotzdem jedes mal das neue Zertifikat in meine NAS und den Router importieren. Das ist gelinde gesagt ein absoluter Witz.
Nun, genau das soll sich ja ändern: Software soll sich ohne kompliziertes Importieren selbstständig die Zertifikate von Let’s Encrypt holen und sie erneuern. D.h., dein NAS- und Router-Hersteller sollten am besten eine entsprechende Routine einbauen.

Die drei Monate (bzw. künftig noch kürzere Laufzeiten) sind aus mehreren Gründen absolut vernünftig und sinnvoll. Insbesondere aber gerade eben weil es die Nutzer dazu zwingt, den Prozess zu automatisieren.

Als jemand, der beruflich mit dieser Thematik zu tun hat, freue ich mich schon außerordentlich auf den Tag, an dem auch bzw. gerade professionelle Anwender (im Sinne von Firmen) ihre Zertifikatsverwaltung automatisieren. Eine ganze Klasse von Betriebsproblemen verschwinden dann einfach.
 
Gerade, da es hier (auch) um StartSSL geht, sind kurze Zertifikatslaufzeiten etwas gutes.

Heartbleed wurde 2014 gefixed. StartSSL gibt kostenlose Zertifikate mit bis zu 3 Jahren Laufzeit, verlangt aber Geld fürs revoken.
Ergo könnte(!) es noch gültige Zertifikate geben, die durch Heartbleed kompromittiert wurden und nicht revoked wurden, weil der besitzer kein Geld für ein bisschen TLS zahlen wollte. Bei LE ist nach spätestens 90 Tagen jedes dieser Zertifikate ungültig (abgesehen, davon dass man die dort eh kostenlos zurückziehen kann).

Aber solbst bei kostenlosem zurückziehen: Faule Admins lassen das Zertifikat einfach weiterlaufen, daher ist kürzer hier besser - insbesondere, wenn es automatisiert geht.
Dort, wo es nicht geht - wie aufm Router habe ich einfach ein selfsigned, denn dem Zertifikat muss eh niemand außer mir vertrauen.
 
Die Frage die sich mir jetzt spontan stellt:

Was erwarte ich von einem einfachen Domain Validated Certificate? Ehrlich gesagt nicht viel, der Herausgeber hat (irgendwie) überprüft das denjenigen die Seite gehört der sie registriert hat.
 
+1 für Let's Encrypt. Kurze Laufzeiten verringern den Schaden durch kompromittierte Zertifikate, weil sie den Faktor Mensch etwas weiter aus der Sicherheitskette streichen. Und der Faktor Mensch ist bei Sicherheit immer die größte Lücke.

Natürlich kann man (bisher) nicht jeden Router und NAS automatisiert anbinden. Aber ist ja nicht so, als ob der "alte" Weg mit längeren Laufzeiten nächste Woche direkt abgeschaltet würde. u.U. muss man halt ein paar € dafür hinlegen.
 
Zuletzt bearbeitet:
Der-Orden-Xar schrieb:
Heartbleed wurde 2014 gefixed. StartSSL gibt kostenlose Zertifikate mit bis zu 3 Jahren Laufzeit, verlangt aber Geld fürs revoken.
Ergo könnte(!) es noch gültige Zertifikate geben, ...

Bis einschließlich Herbst letztes Jahr hat StartSSL keine 3 Jahre gültigen (zumindest die kostenlosen) Zertifikate ausgestellt. Erst danach hat man die 3-Jahre-Laufzeit angeboten. Daher dürfte es eigentlich keine solchen (gültigen) Zertifikate mehr geben.

Und ich habe in Let's Encrypt nicht unbedingt mehr Vertrauen als in StartSSL. Geschweige denn, dass bspw. AVM in naher Zukunft die Möglichkeit für Let's Encrypt Zertifikate (bzw. deren automatisierte Erneuerung) einbaut.
 
Kleine Frage:
Betrifft das in irgendeiner Art und Weise die Leute, die mit ihrem Browser surfen, zeugs doanloaden, streamen, sich in ihre Bankseiten einloggen etc.?
Aus den bisherigen Kommentaren schließe ich, dass das nur Leute betrifft, die irgendwas online stellen, was auch erreichbar sein soll.

Moment...

Wenn eine Webseite ganz normal mit dem Browser erreichbar sein soll, braucht man da immer wieder neue Zertifikate??? Die genau WAS aussagen??? Dass da keine Pornos drauf laufen oder wie? Oder dass sie per Google gefunden werden können? Und das für Geld? Was soll das denn? Sorry für meine Unwissenheit.

Phishing Seiten etc sind doch auch "erreichbar", oder muss man sich da auch um Zertifikate scheren?
Oder ist der einzige Grund, irgendwelche Zertifikate zu kaufen (warum auch immer und was das auch immer bringem soll), nur der, dass der Browser die Meldung ausspuckt "diese Webseite ist nicht signiert. Sind sie sicher, dass sie diese website dennoch aufrufen wollen?" wenn man es nicht tut?
Und?
Im Browser einfach die nervige Meldung deaktivieren, fertig.

Übrigens: bei unserem Unisystem (Haupt- und/oder emailsystem weiß ich nimma) kommt auvh manchmal ne Meldung wegen irgendeinem Zetifikat. Jetzt schon länger nicht mehr.
Ich denk mir da immer, geh mir nicht aufn Sack und ruf die Seite auf!!!
Ist ja noch umständlicher seine Uniseite aufzurufen als ne Pornoseite ;)

Wie gesagt, sorry für meine Unwissenheit.
Vl kann das jemand kurz und einfach erklären, wozu der gemeine Nutzer das alles braucht oder haben will.

MfG & gn8
 
Smartbomb schrieb:
Oder ist der einzige Grund, irgendwelche Zertifikate zu kaufen (warum auch immer und was das auch immer bringem soll), nur der, dass der Browser die Meldung ausspuckt "diese Webseite ist nicht signiert. Sind sie sicher, dass sie diese website dennoch aufrufen wollen?" wenn man es nicht tut?

Ja.

Smartbomb schrieb:

Nichts und.

Abgesehen davon, dass man so einfach nicht bspw. gegenüber Kunden auftritt, hat ein fehlerhaftes/unvalidiertes SSL Zertifikat auch bei ausschließlicher Eigennutzung Nachteile. Bspw. lässt sich nicht ohne weiteres WebDAV unter Windows ohne ein entsprechendes Zertifikat nutzen.

Smartbomb schrieb:
Übrigens: bei unserem Unisystem (Haupt- und/oder emailsystem weiß ich nimma) kommt auvh manchmal ne Meldung wegen irgendeinem Zetifikat.

Ich würde mir da ja so meine Gedanken machen, ob die Uni da wirklich qualifiziertes Personal hat... Oder alternativ, ob Deine Systeme wirklich sauber sind. Angesichts Deines hier beschriebenen Verhaltens wäre das sogar naheliegender...
 
Ok. Und warum hat man dieses Zertifikatsystem dann überhaupt eingeführt, wenns eigentlich keine Funktion hat? Oder "überprüft" eine Zertifizierungsstelle irgendetwas?
Wie gesagt, nachgebaute Phishingseiten sind doch auch erreichbar, ohne diese fehlende Zertifikats Meldung. Achja, gibt ja auch gefälschte Zertifikate. Aha, also das macht das Ganze dann ja sowieso obsolet.

Du weißt ja sicher wie es da zugeht. Kein Geld für Personal oder neue Infrastrukturen. Die paar Hansel alle Hände voll damit zuntun, dass das System überhaupt läuft.
In unserem konkreten Fall:
Selbst gebasteltes System von mind. 1 hardcore Linux freak. Alte Leute weg, neue her und nix dokumentiert. Is dann ziemlich geil die ersten Monate, wenn die erst rausfinden müssen, wie was funktioniert, wohin welche Abzweigung im Code führt usw.
So ne dämliche Meldung wegen Zertifikat die man wegklickt ist da wohl das geringste Problem!
Außerdem: ich nehme mal an diese Zertifizierungsstellen brauchen auch eine gewisse Zeit, bis sie das Zertifikat hergeben, oder?
Wenn also in 8 Jahren genau 2x für wenige Tage diese Meldung erschien, ist das ned weiter schlimm.
Klar, mein System ist kompromittiert, klar :freak:

Dann frag mal, wieviel "Computerfreaks" hier ebenfalls nicht wissen, was das mit dem Zertifikat sein soll. Kannst auch nicht sagen, blök, ihr DAUs, eure Rechner sind sicher zugemüllt und voller Adware blök blök.

Aber so seid ihr Deutschen nunmal. Und darum beschert ihr uns immer wieder Gelächter ;)
Scnr. Nicht böse gemeint :)
 
Zurück
Oben