1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Wosign gelobt…

Zu spät - schon zu Let's Encrypt gewechselt.

  1. Thema

Neues Thema Ansicht wechseln


  1. Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: silentcreek 10.10.16 - 12:02

    Nachdem ich vergangene Woche auf die Berichte über die abenteuerlichen Vorgänge bei Wosign / StartCom aufmerksam wurde, habe ich kurzerhand beschlossen, alle meine privaten Domains auf Let's Encrypt zu migrieren. War super einfach, ist kostenlos und die Zertifikate lassen sich auch automatisch verlängern. Mehr brauch ich als Privatnutzer wirklich nicht. Insofern ist es für die Einsicht bei Wosign bereits zu spät.

  2. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 12:34

    Für XMPP, Mail und Co ists halt kacke.

    Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE auch nicht.

  3. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Apfelbrot 10.10.16 - 12:56

    silentcreek schrieb:
    --------------------------------------------------------------------------------

    > Insofern ist es für die Einsicht bei Wosign bereits zu spät.

    Mit Verlaub aber, glaubst du die interessiert ein "Kunde" der sowieso kein Geld für Zertifikate ausgibt?

  4. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 12:56

    Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    https://gethttpsforfree.com/

  5. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 12:58

    > Für XMPP, Mail und Co ists halt kacke.
    Wieso? Funktioniert bei mir super...

    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.
    Und wie hast du bisher Zertifikate dafür signiert bekommen?

  6. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: _BJ_ 10.10.16 - 13:09

    Nun Mail ist ohne Probleme möglich wird aber sofern man DANE benutzen möchte komplizierter mit Lets Encrypt da man bei jedem Update auch den Nameserver updaten muss. Klar gibt APIs dafür ich sag nur das es schwieriger wird als nur LE.

  7. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:12

    > Und wie hast du bisher Zertifikate dafür signiert bekommen?

    Habe ne echte Domain wo auf Internetseite ein postmaster@ Mail Account existiert. Validation durch Aktivierungscode per Email. Webserver ist hingegen nur lokal erreichbar.

  8. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:13

    heubergen schrieb:
    --------------------------------------------------------------------------------
    > Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    > gethttpsforfree.com

    Naja, das müsste ich dann ja alle drei Monate machen. Im Gegesatz dazu habe ich bei Wosign nen Cert das 2 Jahre gültig ist.

  9. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:16

    > Wieso? Funktioniert bei mir super...

    Naja, solange es das tut mag das sein. Man muss halt alles automatisieren. Und sobald eine komponente nur mehr korrekt läuft funktioniert die Verlängerung nicht mehr ordentlich und die Kommunikation ist bei Mail und XMPP hin.

    Bei Web ist das nicht weiter schlimm. Bei Mail und XMPP können Nachrichten verloren gehen. Finde ich n bisschen heikel alles.

    Da ist ein 2-Jahre-Cert nicht so Wartungsintensiv.

  10. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:24

    Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

  11. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:25

    > Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

    Das ist gefrickel.
    Größeres als der Trick mit dem Postfach.

  12. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:31

    Klar, denn genau deswegen ist man ja bemüht, möglichst wenig zu automatisieren weil wir ja alle wissen, dass das mit Abstand kleinste Risiko vom Menschen und seinen Fehler ausgeht...

    Ist natürlich Quatsch. Im Übrigen ist ein kaputtes Zertifikat bei HTTPS sehr viel kritischer als bei SMTP: Bei SMTP geht gar nichts verloren, niemals - kann sie nicht zugestellt werden landet sie im Queue, der Mailserver versucht es später nochmal und nach einer definierten Anzahl von Fehlschlägen wird der Absender darüber benachrichtigt, dass eine Zustellung nicht möglich war. Bei sowohl XMPP und HTTPS wird der Absender ebenfalls benachrichtigt, auch wenn es da keine Queues gibt. Verloren geht da nie irgendwas.

  13. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:35

    Ähm, ne, eher nicht so. Aber rede dir das ruhig ein, irgendwas braucht man ja um sich vor sich selbst zu rechtfertigen ;) Aber hey, Let's Encrypt ist ja nicht die einzige CA die DV-Zertifikate ausstellt, dich zwingt ja keiner dazu sie zu verwenden. Das Recht sich darüber zu beschweren, dass du dafür Geld in die Hand nehmen musst, hast du dann aber nicht.

  14. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 13:54

    Dann musst du halt deine Dienste aus dem Internet verfügbar machen und gut absichern :)

  15. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: dura 10.10.16 - 14:56

    Bei DANE muss man nur den Nameserver updaten, wenn man den privaten Key neu erstellt. Das ist zwar empfehlenswert, aber kann man eben auch lassen.

  16. Natürlich geht das.

    Autor: SJ 11.10.16 - 07:21

    perryflynn schrieb:
    --------------------------------------------------------------------------------
    > Für XMPP, Mail und Co ists halt kacke.
    >
    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.

    Natürlich geht das mit LE

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Interhyp Gruppe, München
  3. Stadt Ingolstadt, Ingolstadt
  4. Tapetenfabrik Gebr. Rasch GmbH & Co. KG, Bramsche

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
Pinephone im Test
Das etwas pineliche Linux-Phone für Bastler

Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
Ein Test von Sebastian Grüner

  1. Linux Mehr Multi-Touch-Support in Elementary OS 6
  2. Kernel Die Neuerungen im kommenden Linux 5.9
  3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11