1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Wosign gelobt…

Zu spät - schon zu Let's Encrypt gewechselt.

  1. Thema

Neues Thema Ansicht wechseln


  1. Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: silentcreek 10.10.16 - 12:02

    Nachdem ich vergangene Woche auf die Berichte über die abenteuerlichen Vorgänge bei Wosign / StartCom aufmerksam wurde, habe ich kurzerhand beschlossen, alle meine privaten Domains auf Let's Encrypt zu migrieren. War super einfach, ist kostenlos und die Zertifikate lassen sich auch automatisch verlängern. Mehr brauch ich als Privatnutzer wirklich nicht. Insofern ist es für die Einsicht bei Wosign bereits zu spät.

  2. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 12:34

    Für XMPP, Mail und Co ists halt kacke.

    Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE auch nicht.

  3. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Apfelbrot 10.10.16 - 12:56

    silentcreek schrieb:
    --------------------------------------------------------------------------------

    > Insofern ist es für die Einsicht bei Wosign bereits zu spät.

    Mit Verlaub aber, glaubst du die interessiert ein "Kunde" der sowieso kein Geld für Zertifikate ausgibt?

  4. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 12:56

    Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    https://gethttpsforfree.com/

  5. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 12:58

    > Für XMPP, Mail und Co ists halt kacke.
    Wieso? Funktioniert bei mir super...

    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.
    Und wie hast du bisher Zertifikate dafür signiert bekommen?

  6. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: _BJ_ 10.10.16 - 13:09

    Nun Mail ist ohne Probleme möglich wird aber sofern man DANE benutzen möchte komplizierter mit Lets Encrypt da man bei jedem Update auch den Nameserver updaten muss. Klar gibt APIs dafür ich sag nur das es schwieriger wird als nur LE.

  7. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:12

    > Und wie hast du bisher Zertifikate dafür signiert bekommen?

    Habe ne echte Domain wo auf Internetseite ein postmaster@ Mail Account existiert. Validation durch Aktivierungscode per Email. Webserver ist hingegen nur lokal erreichbar.

  8. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:13

    heubergen schrieb:
    --------------------------------------------------------------------------------
    > Für deine Anliegen gibt es wahrscheinlich eine Lösung:
    > gethttpsforfree.com

    Naja, das müsste ich dann ja alle drei Monate machen. Im Gegesatz dazu habe ich bei Wosign nen Cert das 2 Jahre gültig ist.

  9. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:16

    > Wieso? Funktioniert bei mir super...

    Naja, solange es das tut mag das sein. Man muss halt alles automatisieren. Und sobald eine komponente nur mehr korrekt läuft funktioniert die Verlängerung nicht mehr ordentlich und die Kommunikation ist bei Mail und XMPP hin.

    Bei Web ist das nicht weiter schlimm. Bei Mail und XMPP können Nachrichten verloren gehen. Finde ich n bisschen heikel alles.

    Da ist ein 2-Jahre-Cert nicht so Wartungsintensiv.

  10. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:24

    Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

  11. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: perryflynn 10.10.16 - 13:25

    > Und das Problem einen temporären Webserver zu starten oder den Schlüssel ins DNS einzutragen liegt genau worin?

    Das ist gefrickel.
    Größeres als der Trick mit dem Postfach.

  12. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:31

    Klar, denn genau deswegen ist man ja bemüht, möglichst wenig zu automatisieren weil wir ja alle wissen, dass das mit Abstand kleinste Risiko vom Menschen und seinen Fehler ausgeht...

    Ist natürlich Quatsch. Im Übrigen ist ein kaputtes Zertifikat bei HTTPS sehr viel kritischer als bei SMTP: Bei SMTP geht gar nichts verloren, niemals - kann sie nicht zugestellt werden landet sie im Queue, der Mailserver versucht es später nochmal und nach einer definierten Anzahl von Fehlschlägen wird der Absender darüber benachrichtigt, dass eine Zustellung nicht möglich war. Bei sowohl XMPP und HTTPS wird der Absender ebenfalls benachrichtigt, auch wenn es da keine Queues gibt. Verloren geht da nie irgendwas.

  13. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: Vanger 10.10.16 - 13:35

    Ähm, ne, eher nicht so. Aber rede dir das ruhig ein, irgendwas braucht man ja um sich vor sich selbst zu rechtfertigen ;) Aber hey, Let's Encrypt ist ja nicht die einzige CA die DV-Zertifikate ausstellt, dich zwingt ja keiner dazu sie zu verwenden. Das Recht sich darüber zu beschweren, dass du dafür Geld in die Hand nehmen musst, hast du dann aber nicht.

  14. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: heubergen 10.10.16 - 13:54

    Dann musst du halt deine Dienste aus dem Internet verfügbar machen und gut absichern :)

  15. Re: Zu spät - schon zu Let's Encrypt gewechselt.

    Autor: dura 10.10.16 - 14:56

    Bei DANE muss man nur den Nameserver updaten, wenn man den privaten Key neu erstellt. Das ist zwar empfehlenswert, aber kann man eben auch lassen.

  16. Natürlich geht das.

    Autor: SJ 11.10.16 - 07:21

    perryflynn schrieb:
    --------------------------------------------------------------------------------
    > Für XMPP, Mail und Co ists halt kacke.
    >
    > Habe auch Zertifikate wo die Server nur lokal erreichbar sind. Geht mit LE
    > auch nicht.

    Natürlich geht das mit LE

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Eurowings Aviation GmbH, Köln
  3. R2 Consulting GmbH, Bayern
  4. ZALARIS Deutschland AG, Leipzig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 499,90€
  2. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 326,74€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen