1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Wosign gelobt…

Zu spät - schon zu Let's Encrypt gewechselt.

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: silentcreek 10.10.16 - 12:02

    Nachdem ich vergangene Woche auf die Berichte über die abenteuerlichen Vorgänge bei Wosign / StartCom aufmerksam wurde, habe ich kurzerhand beschlossen, alle meine privaten Domains auf Let's Encrypt zu migrieren. War super einfach, ist kostenlos und die Zertifikate lassen sich auch automatisch verlängern. Mehr brauch ich als Privatnutzer wirklich nicht. Insofern ist es für die Einsicht bei Wosign bereits zu spät.

  2. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 12:34

    Für XMPP, Mail und Co ists halt kacke.

    Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE auch nicht.

  3. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Apfelbrot 10.10.16 - 12:56

    silentcreek schrieb:
    --------------------------------------------------------------------------------

    > Insofern ist es für die Einsicht bei Wosign bereits zu spät.

    Mit Verlaub aber, glaubst du die interessiert ein "Kunde" der sowieso kein Geld für Zertifikate ausgibt?

  4. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 12:56

    Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    https://gethttpsforfree.com/

  5. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 12:58

    > Für XMPP, Mail und Co ists halt kacke.
    Wieso? Funktioniert bei mir super...

    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.
    Und wie hast du bisher Zertifikate dafür signiert bekommen?

  6. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: _BJ_ 10.10.16 - 13:09

    Nun Mail ist ohne Probleme möglich wird aber sofern man DANE benutzen möchte komplizierter mit Lets Encrypt da man bei jedem Update auch den Nameserver updaten muss. Klar gibt APIs dafür ich sag nur das es schwieriger wird als nur LE.

  7. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:12

    > Und wie hast du bisher Zertifikate dafür signiert bekommen?

    Habe ne echte Domain wo auf Internetseite ein postmaster@ Mail Account existiert. Validation durch Aktivierungscode per Email. Webserver ist hingegen nur lokal erreichbar.

  8. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:13

    heubergen schrieb:
    --------------------------------------------------------------------------------
    > Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    > gethttpsforfree.com

    Naja, das müsste ich dann ja alle drei Monate machen. Im Gegesatz dazu habe ich bei Wosign nen Cert das 2 Jahre gültig ist.

  9. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:16

    > Wieso? Funktioniert bei mir super...

    Naja, solange es das tut mag das sein. Man muss halt alles automatisieren. Und sobald eine komponente nur mehr korrekt läuft funktioniert die Verlängerung nicht mehr ordentlich und die Kommunikation ist bei Mail und XMPP hin.

    Bei Web ist das nicht weiter schlimm. Bei Mail und XMPP können Nachrichten verloren gehen. Finde ich n bisschen heikel alles.

    Da ist ein 2-Jahre-Cert nicht so Wartungsintensiv.

  10. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:24

    Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

  11. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:25

    > Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

    Das ist gefrickel.
    Größeres als der Trick mit dem Postfach.

  12. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:31

    Klar, denn genau deswegen ist man ja bemüht, möglichst wenig zu automatisieren weil wir ja alle wissen, dass das mit Abstand kleinste Risiko vom Menschen und seinen Fehler ausgeht...

    Ist natürlich Quatsch. Im Übrigen ist ein kaputtes Zertifikat bei HTTPS sehr viel kritischer als bei SMTP: Bei SMTP geht gar nichts verloren, niemals - kann sie nicht zugestellt werden landet sie im Queue, der Mailserver versucht es später nochmal und nach einer definierten Anzahl von Fehlschlägen wird der Absender darüber benachrichtigt, dass eine Zustellung nicht möglich war. Bei sowohl XMPP und HTTPS wird der Absender ebenfalls benachrichtigt, auch wenn es da keine Queues gibt. Verloren geht da nie irgendwas.

  13. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:35

    Ähm, ne, eher nicht so. Aber rede dir das ruhig ein, irgendwas braucht man ja um sich vor sich selbst zu rechtfertigen ;) Aber hey, Let's Encrypt ist ja nicht die einzige CA die DV-Zertifikate ausstellt, dich zwingt ja keiner dazu sie zu verwenden. Das Recht sich darüber zu beschweren, dass du dafür Geld in die Hand nehmen musst, hast du dann aber nicht.

  14. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 13:54

    Dann musst du halt deine Dienste aus dem Internet verfügbar machen und gut absichern :)

  15. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: dura 10.10.16 - 14:56

    Bei DANE muss man nur den Nameserver updaten, wenn man den privaten Key neu erstellt. Das ist zwar empfehlenswert, aber kann man eben auch lassen.

  16. Natürlich geht das.

    Autor: SJ 11.10.16 - 07:21

    perryflynn schrieb:
    --------------------------------------------------------------------------------
    > Für XMPP, Mail und Co ists halt kacke.
    >
    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.

    Natürlich geht das mit LE

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Project & Process Manager MDM (m/w/d)
    Fressnapf Holding SE, Krefeld
  2. Mitarbeiter IT-Support 1st Level (m/w/d)
    Raven51 AG, Frankfurt am Main
  3. PAS-X MBR Designer (Business Analyst) (m/w/d) im Bereich Pharma
    Rainer IT GmbH, Neu-Ulm
  4. Team Lead Cloud Power Solutions (w/m/d)
    SMF GmbH, Dortmund

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)
  2. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de