News Zertifikate: Let's Encrypt knackt die 20-Millionen-Marke

:) Geht doch.
 
Ab August wird das Root-Zertifikat von Let's Encrypt von Mozilla in Firefox 50 aufgenommen.
Das muß sicher seit heißen, oder? ;)
 
Sehr schön ich bin auch mit einigen dabei. Was mir nach wie vor nicht gefällt ist, dass es keine Wildcard Zertifikate gibt. Auf der anderen Seite ISPConfig regelt das alles daher stört es mich nicht wirklich. Wäre aber schön wenn es einfach ein Zertifikat statt 8 wären.
 
Ja, ein Wildcard-Zertifikat wäre noch ganz cool, aber so funktioniert es auch und ich bin glücklich damit :) Da vor einiger Zeit StartSSL seine Glaubwürdigkeit verloren hat (die wurden ja aufgekauft) ist Let's Encrypt echt top und hoffe die bleiben lange bestehen. Dann würden mir nur noch MIME Zertifikate für E-Mail fehlen :)
 
Darf ich etwas über Zertifizierungen bitte fragen.

Was genau bringt mir ein Zertifikat?

Sicherheit der Daten? Verschlüsselung? Korrektheit des Inhalts?

Weshalb dürfen gewisse Frimen als Zertifizierungsstelle dienen, was sind die Anforderungen um selber CAs verteilen zu können?

Wann ist ein CA gut oder wieso ist es bei Anbieter A besser als bei B ? Worin unterschieden sich die CAs?
 
Let's Encrypt bringt HTTPS - kostenlos. Ergo die Übertragung wird verschlüsselt.

Edit:

Beitrag ging etwas früh raus, hier zu den anderen Fragen:

Das Problem an einer CA ist diese sind idR nicht Vertrauenswürdiger als der Nachbar. Warum man einer CA wie z.B. Comodo vertraut liegt an einem Punkt:

Comodo hat den Browsernhersteller Geld gegeben und gesagt ihr könnt uns vertrauen.

Also ein echtes Vertrauen besteht nicht wirklich es wurde halt eingekauft. Und die CA verlangen dann halt Geld für ein SSL Zertifikat. Das ist eben bei Let's Encrypt nicht der Fall da ist alles kostenlos und wir durch Spenden finanziert.
 
Zuletzt bearbeitet:
Seitdem StartSSL.com seine Glaubwürdigkeit verloren hat, mussten wir hier in der Firma auch den CA wechseln.. Let's Encrypt ist es aber nicht geworden.. Haben die noch einen Nachteil gegenüber z.B. GeoTrust Inc?

Ab August wird das Root-Zertifikat
Das sollte doch bestimmt heißen: Ab August 2016 wurde das Root-Zertifikat ?
 
Zuletzt bearbeitet:
Wer also selbst als Zertifizierungsstelle arbeiten möchte, muss also eine ordentliche "Spende" an die Browser Entwickler senden. Ich denke aber, es dürfte einfacher sein sich via Let's Encrypt für die Homepages ein Zertifikat erstellen zu lassen :)

Gruß, Domi

p.s. Wer verwendet denn s/mime und kennt eine gute Anlaufstelle? Am besten eine lange Laufzeit und vielleicht sogar das Feature, PDF Dokumente zu signieren :D
 
(ohne Anspruch auf Korrektheit :D )

Was genau bringt mir ein Zertifikat?
Dieser ist die Basis für eine verschlüsselte Verbindung auf Basis von TLS (ehemals: SSL) Ebene. TLS = Transport Layer Security
Bekanntes Beispiel "HTTPS". S= SSL

Sicherheit der Daten? Verschlüsselung? Korrektheit des Inhalts?
Bei HTTPS: Verschlüsselung der Daten auf dem Transportweg von Web-Server zu Browser und zurück.
Aber ja auch Korrektheit des Inhalts. z.B. bei der E-Mail-Signatur, welche als Basis für die E-Mail-Verschlüsselung (S-MIME) dient.


Weshalb dürfen gewisse Frimen als Zertifizierungsstelle dienen, was sind die Anforderungen um selber CAs verteilen zu können?
CA (Certificate authority) sind sozusagen die Eltern des Zertifikats. Damit man ein (öffentliche) CA wird, bedarf es natürlich einiger Voraussetzungen - hauptsächlich an die Sicherheit des Root-CAs (physikalisch), von dem dann alle ableiten, damit eben
keiner sich in die Kommunikation einfach mal so eben reinklicken kann. NSA würde das sehr gerne ;)


Siehe: https://en.wikipedia.org/wiki/Certificate_authority

Man kann auch selber seine eigene CA sein. Gar kein Problem. Nur musst du Leute (z.B. Browser-Hersteller) finden die dann deiner CA Vertrauen. Das hat nun Let's Encrypt (über Umwege) geschafft.



Wann ist ein CA gut oder wieso ist es bei Anbieter A besser als bei B ? Worin unterschieden sich die CAs?

In der Regel Unterschieden sich die Firmen in dem Umfang für was man die Zertifikat nachher verwenden kann.
z.B. E-Mail-Verschlüsselung, TLS-Gateway, HTTPS, und andere Dinge.

Let's Encrypt bietet z.b. kein S-MIME Support (E-Mail-Verschlüsselung) soweit ich weiß.

Am Ende wollen die Firmen Geld für den Aufwand die Root-CA zu pflegen und IT-Infrastruktur bereitzustellen.

Aber ja, es würde eine Root-CA ausreichen, aber Konkurrenz belebt das Geschäft :D

Und nicht jeder Mensch vertraut jeder Firma.

Damit du dann im Browser ein grünes Schloss (FireFox) bekommst, musst du die CA in deiner "vertrausenwürdigen CA Liste" drin haben.

Eigentlich müsstest du selber entscheiden wem du vertraust. Aber das kannst du ja keinem Normaluser überlassen, woher soll der Wissen welche Firma nun sich durch Einhaltung aller Sicherheitsregeln und Durchführung von Audits etc "berühmt" gemacht hat und somit verhindert das Dritte an DEIN certificate kommen.
- Es gab da ja mal im Firefox den "Honest Achmed's Used Cars and Certificates" :D

https://bugzilla.mozilla.org/show_bug.cgi?id=647959


Deshalb vertraut dein Browser "einfach so" eine ganze Latte an CAs. Jeder Browser andere, aber mit einer großen Schnittmenge.
Man kann sich dafür "Bewerben" um aufgenommen zu werden :)
 
Ich hab letzt mal ein paar meiner regelmäßig besuchten Seiten auf HTTPS Fähigkeit geprüft.
Golem hat es zB inzwischen eigentlich, aber leitet nicht darauf weiter. Auch ein paar andere sind so eigentlch errreichbar.

Insagesammt die meisten von mir besuchten Seiten haben inzwischen eine HTTPS verschlüsselung, aber einige werden da wohl nie nachziehen.
Gamestar sei da mal genannt oder viele Nachrichtenportale.
Wer in der heutigen Zeit als seriös und vertrauenswürdig wahrgenommen werden will, kommt daran nicht vorbei.
 
Danke für die Aufklärung!

Und wie genau hat lets encrypt das geschafft? Ich meine, wenn man nicht bezahlen muss und es kostenlos ist, dann bezahlt man auf anderem Wege, meiner Meinung nach mit seinen Daten.

Im grossen und ganzen bezahlen gewisse Firmen an Google oder Firefox Geld, damit man ihr Zertifikat im Browser aufnimmt und als "sicher" markiert. Somit vertrauen Menschen automatisch dieser Stelle mehr, da sie ja von Google und Co als vertrauenswürdig gesehen werden... nachdem was ich gelesen habe gehe ich davon aus, dass die Verschlüsselung zu 100% stattfindet, aber alles andere, wie sehr man dieser seite vertrauen kann, liegt dem User überlassen.
Ergänzung ()

boncha schrieb:
Ich hab letzt mal ein paar meiner regelmäßig besuchten Seiten auf HTTPS Fähigkeit geprüft.
Golem hat es zB inzwischen eigentlich, aber leitet nicht darauf weiter. Auch ein paar andere sind so eigentlch errreichbar.

Insagesammt die meisten von mir besuchten Seiten haben inzwischen eine HTTPS verschlüsselung, aber einige werden da wohl nie nachziehen.
Gamestar sei da mal genannt oder viele Nachrichtenportale.
Wer in der heutigen Zeit als seriös und vertrauenswürdig wahrgenommen werden will, kommt daran nicht vorbei.

ich frage mich aber weshalb Bild.de oder 20min.ch überhaupt verschlüsseln sollten? Es sind Nachrichten die von jedermann gelesen werden kann und soll, was bringt da https? oder?
 
El_Chapo schrieb:
Darf ich etwas über Zertifizierungen bitte fragen.

Was genau bringt mir ein Zertifikat?

Sicherheit der Daten? Verschlüsselung? Korrektheit des Inhalts?

Weshalb dürfen gewisse Frimen als Zertifizierungsstelle dienen, was sind die Anforderungen um selber CAs verteilen zu können?

Wann ist ein CA gut oder wieso ist es bei Anbieter A besser als bei B ? Worin unterschieden sich die CAs?
HTTPS ist dafür da, Inhalte zu verschlüsseln, bevor sie über die Leitung gehen, damit niemand auf dem Weg mitlesen kann. (Außerdem verhindert HTTPS Manipulationen im Datenstrom.) Zum Verschlüsseln wird eine (schnelle) symmetrische Verschlüsselung genutzt, mit einem Schlüssel, der für jeden Client neu ausgewürfelt wird. Dieser Schlüssel muss jedoch, ebenso wie die damit verschlüsselten Inhalte, zwischen Server und Client übertragen werden*. Den Schlüssel soll natürlich auch keiner mitlesen können, sonst wäre das Ganze ja sinnlos.
Dazu verwendet man (langsame) asymmetrische Kryptographie, das heißt ein Verfahren bei dem man zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet. Der Server hat einen öffentlichen und einen privaten Schlüssel. Wenn der Client etwas mit dem öffentlichen Schlüssel des Servers verschlüsselt, kann nur der Server die Nachricht entschlüsseln, weil nur er den dazugehörigen privaten Schlüssel kennt. Der Client muss aber sicherstellen, dass er auch tatsächlich den öffentlichen Schlüssel des gewünschten Servers hat und nicht einen, den ihn irgendjemand untergeschoben hat. Deshalb gibt es CAs. Aufgabe einer CA ist es zu bescheinigen, ob der öffentliche Schlüssel x tatsächlich zu Domain *.computerbase.de gehört und nicht bloß vom Skriptkiddie in deinem WLAN erzeugt wurde. Diese Bescheinigung heißt Zertifikat und wird von der CA mittels asymmetrischer Kryptographie unterschrieben. Um zu prüfen, ob die Unterschrift echt ist, muss der Browser die öffentlichen Schlüssel der (Root-)CAs kennen, denen er vertraut.

Das ist jetzt nur ganz grob umrissen und trotzdem schon viel Text. Meiner Meinung nach sollte dieses Grundlagenwissen in der Schule vermittelt werden. Es ist schade, dass dies nicht der Fall ist. Wie soll man "sicher surfen", wenn man nicht weiß, was ein HTTPS-Zertifikat ist? Wahrscheinlich hat dieser Beitrag einige Verständnisfragen aufgeworfen. Da kann ich nur auf Wikipedia oder andere Quellen verweisen (Stichworte: symmetrische/asymmetrische Kryptographie, Public-Key-Infrastruktur, Man-in-the-Middle, digitale Signatur).

*Bei Diffie-Hellman stimmt das nicht ganz, aber das führt jetzt zu weit.
 
Zuletzt bearbeitet:
vielen Dank.

Ich finde auch, dass es mehr IT Module in der Schule geben sollte. Damit meine ich nicht das Office Kram was die "Lehrer" unter IT kennen.

Die Schule sollte ja auf das Leben vorbereiten, und das digitale Zeitalter ist definitiv angekommen.
 
boncha schrieb:
Ich hab letzt mal ein paar meiner regelmäßig besuchten Seiten auf HTTPS Fähigkeit geprüft.
Golem hat es zB inzwischen eigentlich, aber leitet nicht darauf weiter.
Wenn du nicht willst, dass dein Traffic mitgelesen wird, musst *du* dich darum kümmern, dass HTTPS verwendet wird. Rufst du eine Seite per HTTP auf, sendest du damit die URL unverschlüsselt durchs Netz. Wenn der Server dann mit einer Umleitung auf HTTPS antwortet, weiß eine Man-in-the-Middle sowieso bereits, welche Seite du angesurft hast.

Wer nicht immer händisch "https://" eintippen will, dem seien Browser-Erweiterungen wie HTTPS-Everywhere oder NoScript empfohlen. Wobei man bei NoScript selbst alle Sites eintragen muss, für die HTTPS erzwungen werden soll. HTTPS-Everywhere liefert bereits eine umfangreiche Liste mit. Dafür bietet NoScript aber noch andere nette Features (u.a. sein Kernfeature, das Blocken von unerwünschten Skripten).
 
@Tronx, installiere mal die aktuellste Version von ISPConfig... der bietet die Funktion bei den Webseiten Einstellungen :)
 

Ähnliche Themen

Zurück
Oben