Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Let's Encrypt legt…

Hoffentlich....

  1. Thema

Neues Thema Ansicht wechseln


  1. Hoffentlich....

    Autor: blubberer 15.09.15 - 10:53

    ziehen da mal alle Browserhersteller an einem Strang.
    Und wenn es klappt werden die ganzen SSL Cert Geier heulen. Hoffentlich.

  2. Re: Hoffentlich....

    Autor: EQuatschBob 15.09.15 - 10:57

    Die verdienen weiterhin, z.B. an Wildcard-Certs, die meines Wissens von Let's Encrypt nicht erstellt werden.

  3. Re: Hoffentlich....

    Autor: Anonymer Nutzer 15.09.15 - 11:24

    Sollte doch möglich sein für jede Subdomain ein eigenes Zertifikat von Let's Encrypt zu bestellen und jeweils im Apache einzutragen.

    Oder sieht da jemand ein Problem?

  4. Re: Hoffentlich....

    Autor: fbfb 15.09.15 - 11:26

    Extended Validation ist ein Alleinstellungsmerkmal der teuren Anbieter. Damit werden die auch weiterhin Geld verdienen können. Wildcards werden hoffentlich auch von Let's Encrypt unterstützt. Das scheint aber noch nicht festzustehen.

  5. Re: Hoffentlich....

    Autor: ikhaya 15.09.15 - 11:27

    Ich sehe da keines, denn dank der Spezifikation und Software lässt sich das in wenigen Minuten erledigen.

  6. Re: Hoffentlich....

    Autor: tingelchen 15.09.15 - 13:47

    Wildcards sind nicht notwendig. Entweder nimmt man ein Multidomain Zertifikat, oder erzeugt für jede Domain (bzw. Sub-Domain) ein eigenes Zertifikat.

  7. Re: Hoffentlich....

    Autor: chefin 15.09.15 - 13:56

    ...passiert das nicht. Den es gibt nichts besseres für abhörende Spionagebehörden als wenn man nur noch eine Zertifizierungsstelle komprimittieren muss. Oder meint ihr wirklich, das da kein Masterkey rausgerückt wird.

    Heute ist das noch relativ schwierig, dank vieleier Anbieter und der Drohung für jeden Anbieter, das ein Fehler sie vom Markt fegt und somit der Masterkey hinfällig wird. Je stärker man konzentriert, desdo weniger ist die Gefahr, das deswegen die ganze Aktion hinfällig wird.

    Wenn sie "hypotetisch" die einzigen wären, dürfte man ruhig aufdecken, das eine Behörde den key hat. Entweder unverschlüsselt oder verschlüsselt behördlich belauscht surfen. Unterm Strich egal.

  8. Re: Hoffentlich....

    Autor: RipClaw 15.09.15 - 14:05

    chefin schrieb:
    --------------------------------------------------------------------------------
    > ...passiert das nicht. Den es gibt nichts besseres für abhörende
    > Spionagebehörden als wenn man nur noch eine Zertifizierungsstelle
    > komprimittieren muss. Oder meint ihr wirklich, das da kein Masterkey
    > rausgerückt wird.

    Ja ja, der berühmt berüchtigte Masterkey um alle Verschlüsselungen zu knacken. Nur blöd das es so nicht funktioniert. Du hast den Schlüssel auf dem Server und die CA kriegt ihn nie zu Gesicht.

    Das einzige was ein Geheimdienst machen könnte wäre es ein falsches Zertifikat auszustellen und einen "Man in the Middle" zu versuchen.
    Nur dummerweise du schon vorher via Public Key Pinning deinen Nutzern mitgeteilt hast wie ein öffentlicher Schlüssel aussieht, dann fliegt das ganze auf.

  9. Re: Hoffentlich....

    Autor: frustbox 15.09.15 - 14:10

    chefin schrieb:
    --------------------------------------------------------------------------------
    > ...passiert das nicht. Den es gibt nichts besseres für abhörende
    > Spionagebehörden als wenn man nur noch eine Zertifizierungsstelle
    > komprimittieren muss. Oder meint ihr wirklich, das da kein Masterkey
    > rausgerückt wird.
    Du solltest den Unterschied zwischen Private Key (dem Teil für die Verschlüsselung) und Certificate (dem Teil für die Beglaubigung) lernen.

    Verschlüsselt sicher™ bist du immer, wenn https eingesetzt wird. Auch mit einem selbst signierten Zertifikat. Letsencrypt wird auch die privaten Schlüssel der Server nicht haben, der für die Verschlüsselung genutzt wird. Das Einzige was man damit nicht beweisen kann ist, dass das Zertifikat/der Schlüssel wirklich zu DEM Server gehört. Also dass man mit dem richtigen Host kommuniziert.

    Was man mit dem Master-Key anstellen könnte wäre sich als ein anderer Host auszugeben indem man sich eine Zertifizierung für einen Domainnamen ausstellt der einem gar nicht gehört. Wenn man zusätzlich das Netzwerk kontrolliert und DNS verbiegen kann - Dann könnte man vielleicht Kommunikation abhören, wenn die Nutzer nicht merken, dass der private Key und das Zertifikat sich verändert haben. Aber dazu gibt es Gegenmaßnahmen: HTTP Public Key Pinning, DNSsec.

    Ich find zentralisierung ja auch nicht toll, aber bevor man sich aufregt sollte man vielleicht die Hintergründe verstehen.

  10. Re: Hoffentlich....

    Autor: nolonar 15.09.15 - 15:11

    Hoffentlich kann ich auf mein NAS ein gratis Zertifikat aufstellen, um per SPDY darauf zugreifen zu können, ohne dass mein Browser gleich meckert.

    Hoffentlich...

  11. Re: Hoffentlich....

    Autor: Anonymer Nutzer 15.09.15 - 17:28

    frustbox schrieb:
    > Das Einzige was man damit nicht beweisen kann ist, dass das Zertifikat/der
    > Schlüssel wirklich zu DEM Server gehört. Also dass man mit dem richtigen
    > Host kommuniziert.

    Wenn man jetzt ganz kleinlich sein möchte, stimmt das nicht ganz. Die Zertifikate beweisen nur, dass der gelieferte Content, zu der Domain gehört. Von welchem Server der Content kommt ist völlig egal. Solange er den Private Key hat ist einer so gut wie der andere.

    (Ja ok es gibt auch IP Zertifikate)

  12. Re: Hoffentlich....

    Autor: rldml 15.09.15 - 17:31

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Wildcards sind nicht notwendig. Entweder nimmt man ein Multidomain
    > Zertifikat, oder erzeugt für jede Domain (bzw. Sub-Domain) ein eigenes
    > Zertifikat.

    Außer du hast einen IIS - der kann leider nicht mit mehr als einem Zertifikat für alle umgehen :(

    Gruß...

  13. Re: Hoffentlich....

    Autor: RipClaw 15.09.15 - 17:36

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > frustbox schrieb:
    > > Das Einzige was man damit nicht beweisen kann ist, dass das
    > Zertifikat/der
    > > Schlüssel wirklich zu DEM Server gehört. Also dass man mit dem richtigen
    > > Host kommuniziert.
    >
    > Wenn man jetzt ganz kleinlich sein möchte, stimmt das nicht ganz. Die
    > Zertifikate beweisen nur, dass der gelieferte Content, zu der Domain
    > gehört. Von welchem Server der Content kommt ist völlig egal. Solange er
    > den Private Key hat ist einer so gut wie der andere.
    >
    > (Ja ok es gibt auch IP Zertifikate)

    Nur an den Private Key kommt er nur wenn er sich in den Server hackt. Und dann hat man sowieso ganz andere Probleme.

  14. Re: Hoffentlich....

    Autor: tingelchen 15.09.15 - 18:36

    Das ist dann deren Problem. Oder sie müssen einfach eine aktuelle Version nehmen.

    Bei z.B. Apache geht das auch erst seit den neueren Versionen... irgendwas um Version 2.3 oder so. Nicht genau im Kopf. Das gleiche gilt für die SSL/TLS libs (openssl unter Linux). Wer also noch z.B. Ubuntu 10.04 LTS hat, hat auch schlechte Karten.

  15. Re: Hoffentlich....

    Autor: tingelchen 15.09.15 - 18:47

    > HTTP Public Key Pinning,
    >
    Macht wer? Es geht hier ja nicht nur um spezielle Anwendungen mit einem festen Nutzerkreis.

    > DNSsec.
    >
    Hat sich nicht durch gesetzt und wird sich wohl auch nicht mehr durchsetzen.

  16. Re: Hoffentlich....

    Autor: RipClaw 15.09.15 - 18:52

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > HTTP Public Key Pinning,
    > >
    > Macht wer? Es geht hier ja nicht nur um spezielle Anwendungen mit einem
    > festen Nutzerkreis.

    Ich mache es und es geht nur um ein paar Webseiten die noch nicht mal wirklich wichtig sind. Public Key Pinning ist extrem einfach zu machen. Das sind paar Kommandos um den Hash für den Eintrag zu bekommen und eine Zeile in der Webserverkonfiguration.

    > > DNSsec.
    > >
    > Hat sich nicht durch gesetzt und wird sich wohl auch nicht mehr
    > durchsetzen.

    Das sieht die ICANN ganz anders. Alle neuen TLDs müssen von Anfang an DNSSEC unterstützen. Und so langsam kommen auch die Provider aus ihren Löchern und rüsten DNSSEC nach.

  17. Re: Hoffentlich....

    Autor: slashwalker 15.09.15 - 19:03

    fbfb schrieb:
    --------------------------------------------------------------------------------
    > Extended Validation ist ein Alleinstellungsmerkmal der teuren Anbieter.
    > Damit werden die auch weiterhin Geld verdienen können. Wildcards werden
    > hoffentlich auch von Let's Encrypt unterstützt. Das scheint aber noch nicht
    > festzustehen.


    Wildcards sind soweit ich weiß nicht vorgesehen.
    Du kannst ja beliebig viele SAN in ein Zertifikat packen.
    letsencrypt -d www.example.org -d www.example.com auth
    Erzeugt 1 Zertifikat das für www.example.org und www.example.com gilt.

    Ich teste https://github.com/letsencrypt/letsencrypt schon seit Wochen.
    Am Anfang war ich echt skeptisch was das automatische Editieren von Konfigurationsdateien angeht, aber letsencrypt kommt selbst mit meinen etwas komplexeren nginx Konfigs klar.

    Kann es kaum erwarten das die CA live geht.

  18. Re: Hoffentlich....

    Autor: Ninos 15.09.15 - 23:50

    Spricht ihr von SNI oder dem Hinzufügen von selbigen Zertifikaten zu unterschiedlichen vhosts? Beides ging bereits seit der Version 2.2 von apache2 (vielleicht sogar vorher).

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OSRAM GmbH, München
  2. Wirecard Technologies GmbH, Aschheim near Munich
  3. Allianz Private Krankenversicherungs-AG, München-Unterföhring
  4. ivv GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 529,00€
  3. 114,99€ (Release am 5. Dezember)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

  1. Digitale Souveränität: Bundesregierung treibt den Aufbau einer Europa-Cloud voran
    Digitale Souveränität
    Bundesregierung treibt den Aufbau einer Europa-Cloud voran

    Aus Angst vor Industriespionage will die Bundesregierung eine Europa-Cloud - in Abgrenzung zu Anbietern wie Amazon, Microsoft und Google, die nach dem CLOUD-Act, den US-Behörden weitreichende Zugriffe auf die Daten geben müssen, auch wenn sie nicht in den USA gespeichert sind.

  2. 3G: Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben
    3G
    Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben

    Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert.

  3. 5G-Media Initiative: Fernsehen über 5G geht nicht einfach über das Mobilfunknetz
    5G-Media Initiative
    Fernsehen über 5G geht nicht einfach über das Mobilfunknetz

    In einem Streit unter den Öffentlich-Rechtlichen wird dem Intendanten des Deutschlandradios erklärt, dass Rundfunk über 5G nicht einfach über die Netze der kommerziellen Betreiber ginge. Der Intendant hatte die Technik nicht ganz verstanden.


  1. 21:15

  2. 20:44

  3. 18:30

  4. 18:00

  5. 16:19

  6. 15:42

  7. 15:31

  8. 15:22