1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: BSI vergisst Zertifikatswechsel

Passiert überall

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Passiert überall

    Autor: Lemo 26.09.18 - 19:11

    Man vergisst das Expiry Date, dann kriegt man ne Warnung der Spezialist dafür ist nicht da, schön ist’s passiert.

    Passiert selbst großen Supportdienstleistern auf sap Systemen ständig.

  2. Re: Passiert überall

    Autor: Seismoid 26.09.18 - 21:10

    Gibt es einen nachvollziehbaren Grund warum man es nicht automatisch erledigen lässt (per Bot bzw cronjob)? Das wird doch auch von Let's Encrypt empfohlen.

  3. Re: Passiert überall

    Autor: Elchinator 26.09.18 - 21:14

    Na ja, das BSI ist halt nicht irgendwer. Die geben mit dem "IT-Grundschutz" einen wichtigen Standard zur Absicherung von IT-Systemen heraus. Zum Beispiel den hier:
    https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02046.html

  4. Re: Passiert überall

    Autor: zufälliger_Benutzername 26.09.18 - 21:15

    >Man vergisst das Expiry Date, dann kriegt man ne Warnung der Spezialist dafür ist nicht da, schön ist’s passiert.

    Oder man hat ein Monitoring System und lässt sich frühzeitig über Email oder das Ticketsystem informieren, wenn das Zertifikat in weniger als X Tagen abläuft.
    Dann hat man genügend Zeit sich um die Erneuerung des Zertifikats zu kümmern (Inklusive möglicher Urlaube, Diskussionen mit dem Einkauf und sonstiger technischer Probleme).

    Das wäre irgendwie auch die normale Vorgehensweise, ein Zertifikat hat ein FESTGELEGTES Ablaufdatum, es gibt wirklich keinen Grund da unnötig Stress reinzubringen, indem man so lange wartet, bis es nicht mehr anders geht (Normalerweise ist das dann Freitagnachmittag, oder der Tag an dem man zum Elternabend muss).

  5. Re: Passiert überall

    Autor: Seismoid 26.09.18 - 21:23

    Elchinator schrieb:
    --------------------------------------------------------------------------------
    > Na ja, das BSI ist halt nicht irgendwer. Die geben mit dem "IT-Grundschutz"
    > einen wichtigen Standard zur Absicherung von IT-Systemen heraus. Zum
    > Beispiel den hier:
    > https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02046.html

    Ich hab mir das mal durchgelesen, aber nicht wirklich eine Stelle gefunden, die gegen die Nutzung des Let's Encrypt Certbot o.ä. sprechen würde.

  6. Re: Passiert überall

    Autor: Lemo 26.09.18 - 21:46

    Seismoid schrieb:
    --------------------------------------------------------------------------------
    > Gibt es einen nachvollziehbaren Grund warum man es nicht automatisch
    > erledigen lässt (per Bot bzw cronjob)? Das wird doch auch von Let's Encrypt
    > empfohlen.

    Aufwand und kein Nutzen.
    Bei nem popeligen Webserver außerdem vielleicht möglich, aber wenn’s n Applikationszertifikat ist? Gehts schon nicht. Zumal nicht alles auf Linux läuft.

    Ich seh diesen SSL-Hype für Webseiten ohne Nutzerbereich, also reine Infoseiten, übrigens als recht unnötig an, das schafft grade für kleinere Webseiten nur unnötige Arbeit.



    1 mal bearbeitet, zuletzt am 26.09.18 21:48 durch Lemo.

  7. Re: Passiert überall

    Autor: Anonymer Nutzer 26.09.18 - 22:31

    Gerade auf "Popel"-Servern/Seiten wird nicht selten mit persönlichen Daten um sich geschmissen, alles ungesichert, nicht verschlüsselt etc.

    Da kommt mir das Grausen. Durch den SSL Hype sind sie wenigstens gezwungen eine sichere Übertragungsverbindung anzubieten.

  8. Re: Passiert überall

    Autor: freebyte 26.09.18 - 23:31

    zufälliger_Benutzername schrieb:
    --------------------------------------------------------------------------------
    > Oder man hat ein Monitoring System und lässt sich frühzeitig über Email
    > oder das Ticketsystem informieren, wenn das Zertifikat in weniger als X
    > Tagen abläuft.

    Und den ganzen Aufwand für eine Webseite eines solchen Kalibers? http://www.oleswelt.de/rezepte/index.html Der Betreiber hat da seit 13 Jahren nicht mehr eingeschaut, die Rezepte sind aber alle Klasse :-)

    fb

  9. Re: Passiert überall

    Autor: Elchinator 26.09.18 - 23:43

    Auf keinen Fall spricht da etwas dagegen! Wobei die Maßnahmenliste des BSI sowieso nur sehr rudimentär und teilweise veraltet ist.
    Viel wichtiger sind die Anforderungen an sich. Und da ist *überhaupt eine* Verschlüsselung gefordert, im Gegensatz zu "gar nicht" oder "geht nicht mehr"...

  10. Re: Passiert überall

    Autor: johnripper 27.09.18 - 00:14

    Seismoid schrieb:
    --------------------------------------------------------------------------------
    > Elchinator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na ja, das BSI ist halt nicht irgendwer. Die geben mit dem
    > "IT-Grundschutz"
    > > einen wichtigen Standard zur Absicherung von IT-Systemen heraus. Zum
    > > Beispiel den hier:
    > > www.bsi.bund.de
    >
    > Ich hab mir das mal durchgelesen, aber nicht wirklich eine Stelle gefunden,
    > die gegen die Nutzung des Let's Encrypt Certbot o.ä. sprechen würde.

    Höchstens die kurze Zertifikatslaufzeit. Die Gegenargumente von früher wie keine Wildcard, kein Trust in alle Browsern (wobei das eh Schwachsinn war) usw gelten alle nicht mehr.

    Für mich aber durch Automatisierung kein Problem. Und LE informiert sogar bei Wunsch über den Ablauf dee Zertifikate.

  11. Re: Passiert überall

    Autor: Lemo 27.09.18 - 01:49

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Gerade auf "Popel"-Servern/Seiten wird nicht selten mit persönlichen Daten
    > um sich geschmissen, alles ungesichert, nicht verschlüsselt etc.
    >
    > Da kommt mir das Grausen. Durch den SSL Hype sind sie wenigstens gezwungen
    > eine sichere Übertragungsverbindung anzubieten.

    Deswegen sage ich ja, gibt es eben keinen Nutzerbereich oder persönliche Daten in Form von Logins oder Social Buttons, brauche ich kein SSL. Es ist dann einfach ein unnötiger Zusatzaufwand.

  12. Re: Passiert überall

    Autor: taschenorakel 27.09.18 - 07:26

    Aufwand? Welcher Aufwand? Sicher, der Umgang mit Zertifikaten von den üblichen Schlangenölverkäufer mit weit verbreiteten Root-Zertifikaten ist absurd umständlich. Muss er auch: Schließlich sollen die für dumm verkauften Opfer... eh Kunden das Gefühl haben, so richtig viel Gegenwert fürs Geld zu erhalten. Dass dies alles viel einfacher geht, beweist der Lets-Encrypt-Deamon: Auf Debian-basierten Systemen in der Tat ein triviales Install-and-Run. Wem das zu aufwändig ist, sollte ernsthaft in sich gehen und überlegen, ob es angesichts der eigenen Faulheit und Ahnungslosigkeit überhaupt vertretbar ist, IT-Dienstleistungen anzubieten. Und ja, ich träume immer noch von einer Welt, in der sämtliche TLS-fähige Server den ACME-Client einfach direkt integrieren.



    1 mal bearbeitet, zuletzt am 27.09.18 07:26 durch taschenorakel.

  13. Re: Passiert überall

    Autor: Nocta 27.09.18 - 07:53

    Auch für rein statische Webseiten ist es wünschenswert, die Verbindung zu authentisieren. Viele vergessen, dass Kryptographie dazu in der Lage ist andere Ziele als die der Vertraulichkeit ("Verschlüsselung") zu erreichen. Somit wäre der Inhalt gegen Manipulation geschützt und das ist IMO 2018 überfällig.

  14. Re: Passiert überall

    Autor: elgooG 27.09.18 - 08:03

    Nicht zuletzt kann einen Manipulation von Websites auch zur Verbreitung von Sicherheitslücken missbraucht werden. HTTPS ist kein allumfassender Schutz, aber es ist das allernötigste was eine Website bieten sollte, auch Infoseiten.

    Kritisch sehe ich das dagegen bei Intranetseiten und Weboberflächen von Geräten. Da ist das Verhalten aktueller Browser ein absolutes Unding. Ich werde wohl nie verstehen, warum es nicht möglich ist den lokalen IP-Adressen zumindest soweit zu vertrauen, dass ich ohne unnötige Warnung arbeiten kann.

    Auch extrem kritisch sehe ich bei Let's Encrypt, dass man unbedingt Port 80 und 443 freischalten muss. Will man nur ein NAS extern erreichen, müssen diese am Router freigegeben werden um die ACME-Challenges zu meistern. Das ist ein gutes Beispiel dafür, dass Sicherheitsfunktionen auch Unsicherheit produzieren können. NAS-/Router-Modelle sind schnell identifiziert. Alternative Ports könnten zumindest den Aufwand für Scans drastisch erhöhen, werden dadurch das Port 80/443 frei sein muss aber ausgehebelt.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  15. Re: Passiert überall

    Autor: ibsi 27.09.18 - 08:07

    Lemo schrieb:
    --------------------------------------------------------------------------------
    > Ich seh diesen SSL-Hype für Webseiten ohne Nutzerbereich, also reine
    > Infoseiten, übrigens als recht unnötig an, das schafft grade für kleinere
    > Webseiten nur unnötige Arbeit.
    Wenn Du in einem Fremden Netzwerk bist (ja ich weiß, das ist NIE irgendjemand), dann kann Dir jemand eine falsche Seite unterschieben. Mit HTTPs ist das nicht möglich.

  16. Re: Passiert überall

    Autor: robinx999 27.09.18 - 08:15

    Seismoid schrieb:
    --------------------------------------------------------------------------------
    > Gibt es einen nachvollziehbaren Grund warum man es nicht automatisch
    > erledigen lässt (per Bot bzw cronjob)? Das wird doch auch von Let's Encrypt
    > empfohlen.
    Es ist ein EV Zertifikat (die mit dem Grünen Text wie sie auch von Banken verwenden werden) https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat diese werden soweit mir bekannt nicht nicht automatisiert ausgegeben
    Man sieht es hier an einem Beispiel
    https://www.sslmarket.de/ssl/geotrust-true-businessid-ev/
    Das Zertifikat kostet 179¤ für ein Jahr bzw. 313¤ für Zwei Jahre
    Erneuerung kostet das selbe. Erneuerung ist 90 Tage vor Ablauf möglich und die Restlaufzeit wird dem neuen Zertifikat gut geschrieben, macht man es also 60 Tage vor Ablauf ist das neue Zertifikat 2 Jahre + 60 Tage gültig, so dass man nicht bis zum Ende warten muss.

    Hier ist also eigentlich nicht die Frage, warum ist das nicht automatisiert geschehen, sondern warum hat sich niemand im Kalender einen Termin / Firmentermin gesetzt, dies kann halt Typischerweise 90 Tage vor Ablauf geschehen und man hätte sich in ruhe drum kümmern können, wenn ich sehe das dass das Zertifikat hier 2 Tage ausgestellt wurde bevor das alte abgelaufen ist, zeigt doch dass hier nicht effektiv gearbeitet wurde

  17. Re: Passiert überall

    Autor: taschenorakel 27.09.18 - 08:33

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Höchstens die kurze Zertifikatslaufzeit.

    Gerade diese halte ich für ein Vorteil von Letsencrypt - so die automatische Aktualisierung funktioniert. Die Sicherheit von TLS-Zertifikaten basiert vor allem anderem darauf, dass es während der Laufzeit niemand gelingt, das Primzahlpaar zu erraten. Somit ist die Laufzeit neben Algorithmus und Schlüssellänge ein gewichtiges Qualitätskriterium. Je kürzer, desto besser. Dass die Schlangenölverkäufer bislang ausschließlich Zertifikate mit absurd langer Laufzeit verkaufen, ist schlicht ihrer Inkompetenz geschuldet, eine mit Letsencrypt vergleichbare Infrastruktur anzubieten.

  18. Re: Passiert überall

    Autor: ul mi 27.09.18 - 08:40

    taschenorakel schrieb:
    --------------------------------------------------------------------------------
    > fürs Geld zu erhalten. Dass dies alles viel einfacher geht, beweist der
    > Lets-Encrypt-Deamon: Auf Debian-basierten Systemen in der Tat ein triviales
    > Install-and-Run. Wem das zu aufwändig ist, sollte ernsthaft in sich gehen
    > und überlegen, ob es angesichts der eigenen Faulheit und Ahnungslosigkeit
    > überhaupt vertretbar ist, IT-Dienstleistungen anzubieten.

    Bwahahahaha! 'tschuldige. Weißt du, wer nämlich ca. letzte Woche ein paar Tage lang mit einem abgelaufenen LE-Zertifikat durch die Welt lief, obwohl schon mehrere Generationen Nachfolgezertifikate ausgestellt waren, also der automatische Austausch nicht funktionierte und das niemand geprüft hat?
    Keine Sorge, war ein vollkommen unwichtiges Randsystem einer unbedeutenden Klitsche: der Addon-Updateserver von Thunderbird.

  19. Re: Passiert überall

    Autor: David64Bit 27.09.18 - 08:55

    Seismoid schrieb:
    --------------------------------------------------------------------------------
    > Gibt es einen nachvollziehbaren Grund warum man es nicht automatisch
    > erledigen lässt (per Bot bzw cronjob)? Das wird doch auch von Let's Encrypt
    > empfohlen.

    Einige sogar. Setzt man z.B. einen Citrix Netscaler ein, ist so ein Cronjob extrem aufwendig. Oder auch EV Zertifikate kann man nicht automatisch verlängern und so weiter.

  20. Re: Passiert überall

    Autor: Lemo 27.09.18 - 12:14

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Lemo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich seh diesen SSL-Hype für Webseiten ohne Nutzerbereich, also reine
    > > Infoseiten, übrigens als recht unnötig an, das schafft grade für
    > kleinere
    > > Webseiten nur unnötige Arbeit.
    > Wenn Du in einem Fremden Netzwerk bist (ja ich weiß, das ist NIE
    > irgendjemand), dann kann Dir jemand eine falsche Seite unterschieben. Mit
    > HTTPs ist das nicht möglich.

    Für die Masse der Seiten trotzdem unnötiger Zusatzaufwand. Für das BSI, ok, lass ich mir eingehen, aber wenn zB Chefkoch.de keinen Benutzerlogin hätte, dann wärs egal

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Nürnberg
  2. Stadtwerke München GmbH, München
  3. DATA MODUL AG, München
  4. Deutsche Rentenversicherung Bund, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 3,99€
  3. (-80%) 7,99€
  4. 27,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  2. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10
  3. Vorinstallierte App Samsung-Smartphones schicken Daten an chinesische Firma

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

  1. Elenion Technologies: Nokia übernimmt US-Experten für Siliziumphotonik
    Elenion Technologies
    Nokia übernimmt US-Experten für Siliziumphotonik

    Nokia kauft ein New Yorker Unternehmen, das im Bereich Siliziumphotonik aktiv ist. Die Produkte sind für 5G-, Cloud- und Rechenzentrumsnetzwerke einsetzbar, es geht um die tiefere Integration bei der Umwandlung von Licht zu elektrischen Signalen.

  2. Spielestreaming: Google Stadia funktioniert auch mit Smartphones von Samsung
    Spielestreaming
    Google Stadia funktioniert auch mit Smartphones von Samsung

    Der Spielestreamingdienst Stadia von Google unterstützt künftig auch einige Smartphones von Razer und Asus, vor allem aber viele neuere Geräte von Samsung - inklusive der gerade erst vorgestellten Galaxy-S20-Reihe.

  3. EU-Kommission: Zehn Datenräume für die digitale Zukunft Europas
    EU-Kommission
    Zehn Datenräume für die digitale Zukunft Europas

    Die EU-Kommission unter Ursula von der Leyen will mit einer neuen Digitalstrategie europäische Daten besser nutzbar machen. Wie die vollmundigen Ankündigungen konkret umgesetzt werden, ist aber noch offen.


  1. 19:08

  2. 17:21

  3. 16:54

  4. 16:07

  5. 15:43

  6. 15:23

  7. 15:00

  8. 14:45