Und was ist mit Wildcard? (kT)

kT

Das würde mich auch mal interessieren... für jede Subdomain ein eigenes Cert beantragen wäre doof.

Auf dem 31C3 Vortrag, wurden Wildcard Zertifikate verneint mit der begründung, das man die Subdomains ja mit einem eigenen Zertifikat sichern kann.

-MuhMuh

Hier gibt's ne Diskussion zu:
https://github.com/letsencrypt/acme-spec/issues/64

Ich hab das auch mehrere Leute von Let's encrypt gefragt. Sie haben schon Interesse Wildcards zu unterstützen, aber ich gehe davon aus dass es das nicht zum Start geben wird, vielleicht später.

Da du ein Zertifikat mit einem Befehl beantragen kannst ist das keine so große Hürde.

muhpirat schrieb:
--------------------------------------------------------------------------------
> Auf dem 31C3 Vortrag, wurden Wildcard Zertifikate verneint mit der
> begründung, das man die Subdomains ja mit einem eigenen Zertifikat sichern
> kann.
>
> -MuhMuh

Aha. Na klar. -.-

Das meinte der Sprecher anscheinend ernst^^

Wildcard hätte natürlich schon was. Allein für Dynamische Subdomains :D


-MuhMuh

Sofern der WebServer bei der gleichen IP Adresse auch mehrere Zertifikate zulässt. Wenn nicht, dann ist die Absicherung nur mit mehreren IP Adressen möglich. Bei IPv6 gibt es da weniger Probleme. Bei IPv4 allerdings schon. Die werden nämlich nicht mehr mal eben so raus gerückt.

tingelchen schrieb:
--------------------------------------------------------------------------------
> Sofern der WebServer bei der gleichen IP Adresse auch mehrere Zertifikate
> zulässt. Wenn nicht, dann ist die Absicherung nur mit mehreren IP Adressen
> möglich. Bei IPv6 gibt es da weniger Probleme. Bei IPv4 allerdings schon.
> Die werden nämlich nicht mehr mal eben so raus gerückt.

das ist schon lange üblich, nennt sich "Server Name Indication", es gibt auch keine browser mehr die das nicht können (also keine die noch supported werden)

stoneburner schrieb:
--------------------------------------------------------------------------------
> tingelchen schrieb:
> ---------------------------------------------------------------------------
> -----
> > Sofern der WebServer bei der gleichen IP Adresse auch mehrere
> Zertifikate
> > zulässt. Wenn nicht, dann ist die Absicherung nur mit mehreren IP
> Adressen
> > möglich. Bei IPv6 gibt es da weniger Probleme. Bei IPv4 allerdings
> schon.
> > Die werden nämlich nicht mehr mal eben so raus gerückt.
>
> das ist schon lange üblich, nennt sich "Server Name Indication", es gibt
> auch keine browser mehr die das nicht können (also keine die noch supported
> werden)

Bei Web ja. Bei Mail z.B. nicht ;)

Ein Wildcard-Zertifikat macht doch nur bei kostenpflichtigen Zertifikaten Sinn, damit man nicht für jede Subdomain extra blechen muss. Und, um den Verwaltungsaufwand bei der Zertifizierungsstelle einzugrenzen.

Bei kostenlosen Zertifikaten ist es zumutbar für jede Subdomain ein eigenes Zertifikat zu erzeugen.

> Will Let’s Encrypt issue wildcard certificates?
>
> We currently have no plans to do so, but it is a possibility in the future.
> Hopefully wildcards aren’t necessary for the vast majority of our
> potential subscribers because it should be easy to get and manage certificates
> for all subdomains.

https://letsencrypt.org/faq/

Bei Mail sieht die Sache wieder anders aus. Da das Zertifikat nicht die verwalteten Domains auflistet sondern den Mail Host. Und da gibt es pro Server üblicherweise immer nur einen laufenden Mail Server :) Man bestimmt hier welcher Mail Server sich um welche Domains kümmert. Must have Eintrag ist hier der MX Eintrag.

Mach mal eine DNS Abfrage :)
# dig MX google.com
z.B. Gibt da noch einige Erweiterungen die SPF oder DKIM.


Was SNI angeht. Die erste Erweiterung zum TLS gab es 2003. Die letzte Überarbeitung war 2011. Voraussetzung ist openssl 0.9.8f mit dem Compiler Flag enable-tlsext. Bei Apache2 findet die Unterstützung glaub erst ab 2.2.12 Einzug. Hilft ja nicht wenn die Browser das schon länger können, aber die Server nicht ^^ Bei anderen Servern sieht das gewiss anders aus :) Aber an sich muss ich sagen..ist tatsächlich an mir vorbei gegangen oO *shame on me*

Selbst noch so einfach ist mehr Aufwand im Gegensatz zu "gar nicht erst nötig, da Wildcard" :) WENN die Server-Admin Software das genutzt ACME Protokoll unterstützt, ist das sicherlich ne feine Sache.

Wird sich zeigen wie die Akzeptanz so wird, ansonsten ist dadurch auch nix gewonnen und ein Wildcard-Zertifikat wäre einfacher gewesen.

Zumutbar ja, aber warum sollte ich mir mehr Aufwand machen als nötig? Wildcard wäre "Set & forget". So müsste ich bei jeder Subdomain erst wieder Cert genieren, hochladen, in den Einstellungen hinterlegen...

Was ist wenn z.B. irgendjemand auf die Idee kommt 2048 Bit RSA reicht nu auch nicht mehr, weil wegen is halt so... Let's Encrypt bietet dann 4096 Bit an, muss ich x neue Zertifikate neu erstellen lassen anstatt nur Eins...

Das läuft mir jetzt ein einkalter Schauer über den Rücken. Hab ja voll ins Schwarze getroffen :)

Wenn das Erstellen und Einstellen eines Zertifikats nur ein Befehl ist, kann man das doch auch einfach in ein Skript eintragen und mit nur einem Befehl ALLEN Seiten auf einmal ein neues Zertifikat ausstellen.

Wüsste jetzt nicht, wo da das Problem wäre oder übersehe ich irgendwas?

Nicht wenn man die Verwaltung über z.B. Froxlor macht und Froxlor das nicht unterstützt. Dann wird die Konfiguration deines Script wieder gnadenlos überschrieben.

angrydanielnerd schrieb:
--------------------------------------------------------------------------------
> Nicht wenn man die Verwaltung über z.B. Froxlor macht und Froxlor das nicht
> unterstützt. Dann wird die Konfiguration deines Script wieder gnadenlos
> überschrieben.

Da ich selber Froxlor nutze werde ich mir bei passender Gelegenheit ein Skript schreiben das die Zertifikate beantragt und sie dann in die Datenbank schreibt. Dann ist alles zu Froxlor konform.

Mal sehen, wenn ich es für sicher halte, dann werde ich es wohl auch im Froxlor Forum oder im Wiki zur Verfügung stellen.

Offizielle Unterstützung seitens den gängigen Admin-Tools wäre natürlich die beste Lösung, hab mir das noch nicht angeschaut ob sich das so implementieren lässt das solche Änderungen auch ein Froxlor Update überleben.