Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsACMEv2: Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus
Let's Encrypt lässt der eigenen Ankündigung aus dem Sommer 2017 Taten folgen und stellt seit gestern Abend auch Wildcard-Zertifikate aus. Voraussetzung dafür ist ein Client mit Unterstützung für den neuen Standard „ACMEv2“ und die „DNS-01“-Challenge.
wenn sich aber alles was Https angeht Richtung LetsEncrypt verlagert ist das zwar angenehm und nutzerfreundlich, aber auch irgendwie der Single Point of Failure und Angriffsziel sofern mal Zugriff auf jede HTTPS Verbindung haben möchte, oder?
Ich nutze es auch... aber is ist irgendwie selten gut wenn sich letztendlich ein Anbieter "monopolartig" durchsetzt.
Ja, ich sehe das auch durchaus kritisch, dass Let's Encrypt zu groß zu werden scheint. Aber erstmal ist es positiv, dass mehr Websites HTTPS nutzen und da hat Let's Encrypt wesentlichen Anteil dran. Vielleicht gibt es ja bald eine Alternative, wenn ACMEv2 und die Implementierungen (z.B. Boulder) sich etablieren. Wer auf Let's Encrypt folgt, wird nicht mehr so viel Pionierarbeit leisten müssen.
Wie soll denn ein Proxy oder eine Firewall den Verkehr analysieren, wenn alles verschlüsselt ist? Ohne eigene CA und SSL-Scan siehts da recht mau aus. So kann sich jede phishing-seite ein SSL-Cert holen und der Proxy denkt "OK, kann ich nicht scannen; ist SSL; lass ich durch"
Konkurrenz belebt ja wohl bekanntlich das Geschäft, oder so ähnlich. Vielleicht sehen dadurch die anderen CA, dass man die Ausstellung von Zertifikaten auch günstiger machen kann. Ich wäre durchaus auch bereit ein paar Euro für ein Wildcard oder Wildcacd + SAN Zertifikat zu bezahlen.
Hätte startssl.com nicht seinen Trust verloren, würde ich die auch weiterhin finanziell unterstützen, solange ich mir Zertifikate nach meinen Wünschen erstellen kann und das ganze auch funktioniert. Aber das Thema hat sich ja nun auch erledigt... somit warten wir mal ab.
Wie soll denn ein Proxy oder eine Firewall den Verkehr analysieren, wenn alles verschlüsselt ist? Ohne eigene CA und SSL-Scan siehts da recht mau aus. So kann sich jede phishing-seite ein SSL-Cert holen und der Proxy denkt "OK, kann ich nicht scannen; ist SSL; lass ich durch"
Ein A wäre besser als ein B, ja. Aber im Vergleich zur Konkurrenz ist ein B offenbar richtig gut: Heise (F), Golem (F), PCGH (F), WinFuture (F), CHIP (F), Mobilegeeks (F).
Punktabzug bekommen wir, da wir keine effektive CSP nutzen. Das stimmt, daran können wir aber aufgrund der Werbung leider nichts ändern. Auf redaktionellen Seiten ohne Werbung, also insbesondere wenn man mit ComputerBase Pro surft, nutzen wir eine strikte CSP. Falls du das testen willst: Es gibt ein paar Seiten, die für alle ohne Werbung (und dann automatisch mit strikter CSP) ausgeliefert werden. Neben der oben verlinkten Bestellseite zum Beispiel das Impressum oder die Kontaktseite.
Es ist zeit dass all die kostenpflichtigen Cert Issuere obsolet werden.
Es reicht wenn das Zertifikat beweist dass die aufgerufene URL und die angezeigte, verschlüsselte Seite übereinstimmen.
Firmennamen sind nicht Global einmalig definiert, Domänen innerhalb ihres TLD schon.
Ob der Anbieter des Webcontent schlussendlich vertrauenswürdig ist, kann ein Issuer nie garantieren. Auch wenn das Zertifikat 10000$ kosten würde....
Für Absicherung des "Kunden" gibts Gütesiegel wie Trusted Shops wo mehr prüfen und versichern
1) "Manche Sicherheitsexperten bezweifeln, dass Nutzer überhaupt darauf achten, ob eine Website ein EV-Zertifikat nutzt oder nicht."
2) "Amazon und Google gehören beispielsweise nicht dazu. Wer hätte es gewusst?"
1) ohne Worte, bezweifeln kann man alles. Fakten od. Mund halten, ganz einfach.
2) ich
Schlimm genug dass die Kontrolle über eigene Webservices an externe Unternehmen abgegeben wird aber das Ganze irgendeinem gemeinnützigem Verein zu übertragen finde ich echt fahrlässig. Hier geht es mir nicht so sehr darum dass dem Nutzer gefälschte Domains untergejubelt werden denen der Browser vertraut sondern darum, dass über die Zertifikatssperrlisten beliebige Webseiten faktisch abgeschaltet werden können.
Abgesehen davon ist die generelle Unart jede Seite zu verschlüsseln für firmeninterne Firewallsysteme ein echtes Problem. Nur auf den Clients zu scannen ist kein ausreichender Schutz.
Ohha, mal langsam:
1. Mit dem LE Client, der optional(!) ist, gibst du keine Kontrolle ab, du erlaubst nur dem Client das Zertifikat zu erneuern, du behältst aber die Kontrolle über den Client.
2. Klingt sehr konstruiert mit den Sperrlisten, denn "einfach so" geht das nicht.
3. Eine Sache, die mir noch niemand beantworten konnte:
Was kann der Proxy in der Firma denn, was auf den Clients unmöglich ist?
Und warum setzt die Firma nicht ihre eigne CA auf? Dann kann der Proxy alles aufbrechen, ohne dass die Clients meckern (zumindest noch).
