ComputerBase Menü
Aktuelles

News Zertifikate: Let's Encrypt knackt die 20-Millionen-Marke

Ich habe die 3.1.1p1 und auch die option Let's Encrypt SSL zu aktivieren. Aber das kann doch nicht alles sein oder?

edit:
ach klar, muss ja noch lets encrypt auf dem Server installieren.
habe das eben auf die schnelle gefunden: werde es mal später checken.
###############
mkdir /opt/certbot
cd /opt/certbot
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto

edit2: geht jetzt
 
Zuletzt bearbeitet: (funzt jetzt, danke für den Hinweis)
Ich wollte es bei mir auch aufsetzen, aber für dyndns Anbieter wie bei mir - selfhost - wollte die Software nix ausstellen. Schade. Dann bleibts erstmal self-signed.
 
Autokiller677 schrieb:
Ich wollte es bei mir auch aufsetzen, aber für dyndns Anbieter wie bei mir - selfhost - wollte die Software nix ausstellen. Schade. Dann bleibts erstmal self-signed.
Zum Vergrößern anklicken....

Klar funktioniert es. Ich verteile es sogar über einen Reverse Proxy an mehrere VMs. Die IP ist dynamisch die Domain über CNAME aufgelöst.
 
Hmm. Muss ich mir nochmal angucken. Ich hatte auf dem Server halt den Certbot installiert und entsprechend gestartet. Zurück kam eine Fehlermeldung im Sinne "Für DynDNS Dienste machen wir nichts". Hab den Bot dann wieder runter geschmissen...
 
Vielleicht steht er einfach nur ned in der Liste und es wurden "zu viele" Zertifikate in zu kurzer Zeit angefragt. Da glaub ich gabs nen Limit pro Domäne.

LE ist noch nicht direkt in den Browsern als vertrauenswürdig markiert.
Derzeit werden sie cross-signed von IdenTrust und damit als vertrauenswürdig akzeptiert in den Browsern.
 
Ich liebe Let's encrypt sehr einfach und sehr gut in den Diskstationen von Synology implementiert. So ein DIenst ist einfach nur GENIAL.
 
Typisch CB, die Meldung wieder Ewigkeiten nach der Konkurrenz. Netzpolitik kurz vor 10, Golem gegen 11 und bei euch dann irgendwann nach 14 Uhr. Was muss da angeblich an Qualität kontrolliert werden? Einfach nur Trantüten am Werk hier.

B2T: Bin selber zufriedener Nutzer von letsencrypt im Zusammenspiel mit einigen selbst gehosteten Inhalten auf meinem NAS. Einfacher geht's ja wirklich nicht mehr. Weiter so
 
var const schrieb:
Deshalb gibt es CAs. Aufgabe einer CA ist es zu bescheinigen, ob der öffentliche Schlüssel x tatsächlich zu Domain *.computerbase.de gehört und nicht bloß vom Skriptkiddie in deinem WLAN erzeugt wurde. Diese Bescheinigung heißt Zertifikat und wird von der CA mittels asymmetrischer Kryptographie unterschrieben. Um zu prüfen, ob die Unterschrift echt ist, muss der Browser die öffentlichen Schlüssel der (Root-)CAs kennen, denen er vertraut.
Zum Vergrößern anklicken....

Das Problem ist, genau das kann die aktuelle Umsetzung der public CA so aber gar nicht liefern...
Nur mal als Denkanstoß, wer garantiert MIR, das eine im Browser als "vertrauenswürdig" eingestufte CA überhaupt vertrauenswürdig ist?
-> was weis denn ich, ob Kollengen der NSA oder ähnlichen Vereinen nicht vllt Zugriff auf die privaten Schlüssel so mancher CAs haben und damit bspw. MitM like genau der Weg möglich wird, Datenverbindungen aufzubrechen, mitzuhören, ggf sogar gezielt zu manipulieren?

DAS kannst du mit der aktuellen Umsetzung SO im Moment gar nicht verhindern... Nimmt man es genau, wäre der Weg andersrum der eigentlich sicherere, denn würde JEDER Betreiber einer Seite SelfSigned Zertifikate verwenden und natürlich entsprechend die Zertifikatchains auch mit bereitstellen, könnte auch jeder Enduser selbst entscheiden ob er der Verbindung vertraut! So wie es jetzt läuft, vertraust du Dritten, die wiederum per se mit dem Betreiber der Seiten gar nix am Hut haben! Beim Thema Ende-zu-Ende Verschlüsselung haben Dritte eigentlich nix verloren! Genau deswegen krankt der Spaß auch einfach nur...

PS: mitunter schlägt so ein CrossSigningzeugs, wie bei LE genau da rein -> du vertraust ggf. mit voller Absicht LE nicht, dennoch vertraut dein Browser nunmehr den Certs von dehnen ;)

TheNoxier schrieb:
Eigentlich müsstest du selber entscheiden wem du vertraust. Aber das kannst du ja keinem Normaluser überlassen, woher soll der Wissen welche Firma nun sich durch Einhaltung aller Sicherheitsregeln und Durchführung von Audits etc "berühmt" gemacht hat und somit verhindert das Dritte an DEIN certificate kommen.
Zum Vergrößern anklicken....

Warum nicht? Das Konstrukt KANN! nur dann funktionieren, wenn der Enduser ausschließlich dem vertraut, der er vertrauen will. Und nicht Dritte völlig undurchsichtig entscheiden, wem ich vertrauen soll und wem nicht...

PS: du hast auch ein Verständnisproblem, an MEIN Zertifikat kommt jederzeit Jeder ran, der den Server anspricht... Das ist auch richtig so, entscheidend ist eher, der private Schlüssel heist nicht ohne Grund so -> der sollte sinnigerweise geheim bleiben.
Wer aber seine privaten Schlüssel von Dritten bezieht, hat grundsätzlich was nicht verstanden... Heist also, der von dir genannte Umstand, Dritte würden über die CA da an irgendwas ran kommen, stellt sich per se überhaupt nicht ;)
 
Also ich habe meinen eigenen DynDNS Dienst. Zudem benutze ich meinenen eigenen Domainnamen, den ich per CNAME auflöse.
 
@fdsonne
An sich hast du Recht, aber so funktiert es ja in der echten Welt nicht.

Sobald ein Normal-User involviert ist, diese Entscheidung zu treffen, gibt es an sich 2 grobe Wege die es gehen, da sie ja keine Ahnung davon habe (woher auch )


Wenn du jedes mal gefragt werden würdest ob du die neue CA XY vertrauen willst, gibt es

a) die Leute, denen das alles Wurscht ist und einfach auf die Seite wollen und immer ja klicken
b) die Leute die so gar nichts vertrauen und sich dann tierisch darüber aufregen dass das alles nicht richtig funktioniert

Alle anderen sind Minderheiten.
Glaube sogar das a) 85% aller Nutzer wären.

Die würden sich dann auch gleich drüber aufregen, warum sie das immer wieder entscheiden müssen. (Bis alle CAs gesammelt worden sind)

Glaube das ist die selbe Problematik wie bei Updates oder Windows Nutzer-Kontensteuerung.

Woher sollen die Leute wissen ob etwas "gut/vertrauenswürdig" oder "schlecht" ist? Wer hat sie dahingehend geschult - genau, leider keiner - und die meisten interessiert das auch gar nicht. Die wollen "nutzen" sonst nichs.

"Soll das doch jemand entscheiden der Ahnung hat" -> Am Ende eben der Browser-/OS-Hersteller.


Nox


PS: Nein, ich hab da kein Verständisproblem. Ich weiß genau wie das funktioniert, aber wenn ich eine Stufe mehr ins Details gehe, wird mein "Botschaft" auch nicht lesbarer für Neulinge - auch wenn ich nicht ganz Korrekt formuliert habe - stimmt wohl.

In dem Zusammenhang fande ich Kaspersky unter Windows krass, die einen MITM-TLS-Proxy verwenden um TLS-Verkehr mitzulesen und dann ein von ihnen ausgestelltes Zertifikat an den Browser weiterleiten - egal ob das ursprüngliche vertrauenswürdig war oder nicht - hautpsache sie konnten meinen Traffice nach Viren scannen ... ne klar.
 
Zuletzt bearbeitet:
Früher galt es sich jährlich durch diesen Unerträglichen Menü-Dschungel von StartSSL zu wühlen (ab von dem Abkauf), heute macht Let's Encrypt alles automatisch via cronjob (meine Apache-Config ist ein wenig speziell und geht daher nur via --certonly) - ein absoluter Traum das Projekt.
 
Eine feine Geschichte. Wenn denn Let's Encrypt unterstützt wird. Ich warte immer noch auf offizielle Unterstützung durch AVM für ihre Router. Bis dahin werde ich mein StartSSL Zertifikat weiterhin als Primäres Zertifikat nutzen, solange die Browser das noch unterstützen (Oder ggf. ihren Zwist wieder beilegen.)
 
Beim Webspace-Anbieter All-Inkl ist HTTPS via Let's Encrypt super gelöst. Mit ein paar Mausklicks ist das Zertifikat schnell und problemlos eingerichtet. Es muss halt lediglich noch die Website angepasst werden, was natürlich auch etwas aufwendiger sein kann.
Ich war wirklich positiv überrascht wie einfach das gehen kann.
 
fdsonne schrieb:
Nur mal als Denkanstoß, wer garantiert MIR, das eine im Browser als "vertrauenswürdig" eingestufte CA überhaupt vertrauenswürdig ist?
Zum Vergrößern anklicken....
Die CA selbst natürlich, ist doch klar! ;)

fdsonne schrieb:
-> was weis denn ich, ob Kollengen der NSA oder ähnlichen Vereinen nicht vllt Zugriff auf die privaten Schlüssel so mancher CAs haben und damit bspw. MitM like genau der Weg möglich wird, Datenverbindungen aufzubrechen, mitzuhören, ggf sogar gezielt zu manipulieren?
Zum Vergrößern anklicken....
Möglich ist das, aber meiner Meinung nach hat die NSA keinen Zugriff auf den privaten Schlüssel der CA nötig. Die betreiben einfach ihre eigene Intermediate CA und lassen sich diese von einer Root-CA beglaubigen.

fdsonne schrieb:
Beim Thema Ende-zu-Ende Verschlüsselung haben Dritte eigentlich nix verloren!
Zum Vergrößern anklicken....
Das derzeitige System mit den CAs verhindert immerhin recht effektiv, dass dich jedes Skriptkiddie im WLAN abhören kann. Gegen Geheimdienste reicht es vielleicht nicht, aber wenigstens die üblichen Kriminellen hat man damit schonmal ausgeschaltet.

Ich empfehle jedem hier, mal einen Blick auf die Liste der CAs zu werfen, denen der Browser standardmäßig vertraut. Was da alles an Scheiß dabei ist! Japanische und niederländische Regierung, TürkTrust, die Post von Hongkong,... Wem das nicht vollkommen egal ist, der sollte da mal aufräumen und allen CAs, die man nicht braucht, manuell das Vertrauen entziehen. In Firefox: Einstellungen -> Erweitert -> Zertifikate -> Zertifikatsliste ansehen
 
var const schrieb:
Möglich ist das, aber meiner Meinung nach hat die NSA keinen Zugriff auf den privaten Schlüssel der CA nötig. Die betreiben einfach ihre eigene Intermediate CA und lassen sich diese von einer Root-CA beglaubigen.
Zum Vergrößern anklicken....
Das wäre sogar gut, wenn es so wäre.
Dann müsste nur jemand das Inter Zertifiakt leaken - z.b. jemand, der aktiv von der NSA damit angegriffen wird und dann kann man gleich das Inter Zertifikat auf seinem rechner importieren mit dem Stempel "nicht vertrauenswürdig" und die CA fliegt anschließend aus den großen TrustStores raus.

Google hat sich ja was tolles einfallen lassen, um an unautorisierte ausgestellte Zertifikate, NSA oder kleinkrimineller zu verhindern, nennt sich certificate transparency, wenn das von allen großen CAs verwendet und von den Browser geprüft wird, wird das fälschen nochmal erheblich schwerer.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

fethomm
News Let's Encrypt: Fünf Millionen aktive Zertifikate
Antworten
19
Aufrufe
3.263
dflt
dflt
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz