[Netzwelt] SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

Jump to last post
Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter
You do not have permission to view link please Anmelden or Registrieren
nachlesen.

Quelle:
You do not have permission to view link please Anmelden or Registrieren
und
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
Teufelskreis schrieb:
Ein Server ohne PHP, ohne OpenSSH? Welche Software realisiert bei dir das TLS-Protokoll? Was verwendest du als Datenbankmanagementsystem? Was nutzt du statt Apache?

Und auf deinem heimischen Rechner: Wie entwickelst du Software für deine Server? Wie kompilierst du sie? Welchen Internetbroweser verwendest du? Wie hörst du deine Musik? Eine komplett Freeware-freies Setup am Client ist für mich unvorstellbar
Zum Vergrößern anklicken....

Es sind im Business und auch Privat reine M$ Umgebungen und wenn Linux dann RedHat Enterprise. Linux Server, Datenbank Server gehen mir aber am Arsch vorbei, da nicht mein Job. Entwickeln für was? Ist nicht mein Job.
Im Business haben wir 297 Windows Server und ganze 3 Linux Server aus dem Hause RedHat.... brauchen die Software Jungs zum Spielen und Ihre Schrottsoftware zu kreieren.
Wenn ich mal etwas testen will so fahre ich halt wohl oder übel eine RedHat Kiste in der VM hoch und voila.

Für was sollte ich eine Freeware nutzen wenn die Boardmittel mehr als ausreichen.
Windows Media Player mehr benötige ich nicht, da ich Music mit der HiHi Anlage höre und die holt sich die Tittel vom Storage.

Für den Job habe ich einen speziellen Notebook mit entsprechender Software drauf. (Solarwinds Engineer Editon, Kiwi CatTools, SecureCRT, SecureFX, Hyena)



Wenn der Hersteller Freeware einbaut ist nicht das selbe wie wenn ich Freeware als eigenständige Software oder um was es hier eigentlich geht als Zertifikat nutze.


Ich werde weiterhin meine Zertifikate kaufen und keine freien nutzen.
 
Zuletzt bearbeitet:
mighty night schrieb:
Wenn der Hersteller Freeware einbaut ist nicht das selbe wie wenn ich Freeware als eigenständige Software oder um was es hier eigentlich geht als Zertifikat nutze.
Zum Vergrößern anklicken....
Ich werde ja selten ausfallend, aber was du für eine Scheiße von dir gibst ist kaum zu glauben. Dummschwätzer... wow.

Ich brauche Schnaps... cheers!
 
Könnte vielleicht ein Mod mal durchwischen. Das ist doch Getrolle.
Ganz bestimmt schafft er es seine Systeme 100% frei von Freeware zu halten. Mal von den dafür nötigen Anstrengungen, die nötig sind, um erfolgreich an allen Enden Freeware zu vermeiden, widerspricht das jeglichen komerziellen/ wirtschaftlichen und logischen Überlegungen, die sich ein Mensch nur vorstellen kann.

Übrigens: https://ngb.to/threads/19953-Spiegel-online-zeigt-Werbung-trotz-Addblocker/page2?p=650219#post650219
uBlock Origin ist auch.... Freeware -.-"

https://ngb.to/threads/22070-Veracrypt-Stealth-USB-Stick-erstellen?p=648609#post648609
Und Veracrypt hatte er wohl auch schon im Einsatz.

Wenn schon Trollen, dann bitte auch konsistent.
 
Metal_Warrior schrieb:
Ich übersetze: "Ich bin blöd und wills auch weiterhin bleiben. Nervt mich nicht mit Wissen, das belastet nur die begrenzte Kapazität meines präfrontalen Cortex."


Wir habens kapiert, danke!
Zum Vergrößern anklicken....

Schön wie beleidgend die User sein können, mir geht dies aber am Arsch vorbei.... Ich nutze und verwende was ich will und zahle wie und was ich will dafür oder eben nicht. Aber von irgend welchen User lasse ich mir nichts aufschwätzen oder vorschreiben.

Nutz Du deine Software und deine Freeware Zertikate und habe spass daran, ich kaufe mir meine Zertifikate und werde dies weiterhin auch tun.
 
phre4k schrieb:
"aber du hast sie nicht gekauft, deswegen sind sie scheisse! Du kacknoob!"
Zum Vergrößern anklicken....
Primitivling

Wo liegt das Problem, dass ich lieber für ein Zertifikat zahle, anstelle irgendetwas namens Gratiszertifikat zu nutzen?
Ich kann tun und lassen was ich will und werde dies auch weiterhin machen.
 
Mädelz, ich komme nicht umhin ein wenig Contenance einzufordern.

Danke und Gruß
Baer
 
“We’re very proud to be a Gold Sponsor for Let’s Encrypt which leverages our industry-leading hardware security modules to protect their certificate authority system,” says Todd Moore, Vice President of Encryption Product Management at Gemalto. “Encryption by default is critical to privacy and security, and by working with Let’s Encrypt Gemalto is helping to deliver trust for the digital services that billions of people use every day.
Zum Vergrößern anklicken....
Ist das dieselbe Firma, die vor gar nicht all zu langer Zeit vollstaendig, auf allen Ebenen, gehackt worden ist? Und die sollen Vertrauen schaffen. Grosse Worte. :D

Ja, ich weiss, dass das damals mit hoechster Wahrscheinlichkeit ein Angriff durch staatliche Akteure war, und in dem abschliessenden Bericht zu dem Incident nichts darauf hingewiesen hat, dass Gemalto auch nur irgendeine Schuld an der Attacke hatte. Ich fand's nur witzig. ^^
 
mighty night schrieb:
Wenn der Hersteller Freeware einbaut ist nicht das selbe wie wenn ich Freeware als eigenständige Software oder um was es hier eigentlich geht als Zertifikat nutze.
Zum Vergrößern anklicken....

Also wenn ein kommerzieller Anbieter Freeware in seine Produkte einbaut, dann ist es in Ordnung. Aber Freeware selbst zu verwenden ist scheiße, weil Freeware prinzipiell immer scheiße ist. Das klingt sehr überzeugend. Und auf den Verweis auf die Beiträge, in denen du selbst angibst, dass du Freeware verwendest, bist du auch noch nicht eingegangen. Depp - mehr kann man dazu nicht sagen. Eine riesige Show um nichts, deine angebliche Einstellung zu Freeware. Man könnte fast meinen, du wärst von der Konkurrenz und seist jetzt angepisst, weil plötzlich ein Anbieter kostenlos macht, wofür du früher hunderte/ tausende Euro verlangen konntest. :rolleyes:
 
Nach dem
You do not have permission to view link please Anmelden or Registrieren
hat StartSSL seinen eigenen automatischen Client veröffentlicht:
You do not have permission to view link please Anmelden or Registrieren
.

StartSSL stellt auch Zertifikate aus, die bis zu drei Jahre gültig sind - wohl um dann die beliebte Revocation Fee abzurechnen, wenn in den drei Jahren was passiert...

Ich bleibe bei Let's Encrypt, zum Glück hab ich schon immer eigene Mailadressen für jeden Dienst in Gebrauch. :D
 
Ich hab jetzt seit einigen Monaten auf mehreren Sites Lets Encrypt Zertifikate installiert und muss sagen, dass bis jetzt alles einwandfrei funktioniert. Ich denke wir werden jetzt die Bezahl-Zertifikate auslaufen lassen und dann überall über die Zeit LE einsetzen. Meint ihr, die Zeit dafür ist schon reif, oder könnten da in ein paar Jahren irgendwelche unangenehmen Dinge auftreten?

Wirklich cool jedenfalls, dass man ein bisschen mehr Privacy jetzt auch ohne Kapital bekommt :) Klar, selfsigned gabs eh immer, aber mit Sicherheitswarnungen im Browser einfach irgendwie unschön.
 
Kann ich bestätigen. Seit März LE am laufen und keine Probleme soweit.
 
Es können immer mal Sicherheitslücken entdeckt werden. Es könnte theoretisch sein, dass sich irgendwo in den Tiefen des Verifizierungsprozesses ein Fehler befindet, der Angriffe möglich macht.. Ausschließen kann man das nie. Allerdings kannst du auch bei den kostenpflichtigen Zertifizierungsstellen keine Fehler ausschließen.
Ich denke du kannst LE verwenden, wenn du nicht gerade besondere Anforderungen ("grüne Adressleiste") hast.
 
  • Thread Starter Thread Starter
  • #97
@electric.larry:

Aus dem Bauch heraus fällt mir kein Grund ein, der zum aktuellen Zeitpunkt gegen den Einsatz von Let's Encrypt spricht. Zumindest keiner der nicht auch bei den kostenpflichtigen Anbietern möglich wäre. Das es Let's Encrypt in zwei Jahren nicht mehr gibt, dürfte bei den Beteiligten recht unwahrscheinlich sein. Alternativen zum offiziellen Client certbot gibt es inzwischen wie Sand am Meer. Bei Bedarf kann man sich auch etwas eigenes stricken.

Bisher hat bei mir auch noch jede automatisierte Aktualisierung des Zertifikats geklappt. Nur beim nächsten Mal werde ich wohl etwas aufpassen müssen, da ich ein neues Script nutze. Das macht unterm Strich zwar nichts anderes, aber es macht das Überprüfen auf die Gültigkeit einfach anders.

---

Warum die E-Mail-Adressen veröffentlicht wurden, ist übrigens nun auch geklärt. Layer 8 war mal wieder das Problem. Das selbst geschriebene Tool für den Versand der E-Mails wurde nicht ausreichend getestet und somit wurde ein Bug übersehen. Zukünftig wird alle Software die Zugriff auf die E-Mail-Adressen hat, "core CA software" sein. Was zur Folge hat, dass solche Software deutlich intensiver getestet wird.

You do not have permission to view link please Anmelden or Registrieren


Auch wenn ich es ziemlich unschön finde, dass solch ein Fehler passiert ist und ich mich ärgere keine extra E-Mail-Adresse für Let's Encrypt angelegt zu haben (darüber nachgedacht hatte ich :m), finde ich es dennoch gut, wie damit umgegangen wird. Kein Abschieben der Schuld auf andere oder sonstwas.
 
  • Thread Starter Thread Starter
  • #98
Das Let's Encrypt Subscriber Agreement wurde geändert (Gültigkeit ab 01. August 2016, zu finden unter
You do not have permission to view link please Anmelden or Registrieren
). Alle Nutzer eines Zertifikats sollten eine E-Mail erhalten haben.

Da sich die aktuelle und die zukünftige Version derzeit schlecht vergleichen lassen, hat Kenn White die beiden Dokumente verglichen und die Unterschiede als Diff
You do not have permission to view link please Anmelden or Registrieren
(rot markiert ist das was weggefallen ist, grün das was hinzugekommen ist). Zukünftig soll das offiziell wohl besser gelöst werden.
 
  • Thread Starter Thread Starter
  • #99
IPv6 wird nun komplett unterstützt. Das dürfte für den einen oder anderen durchaus von Interesse sein.

You do not have permission to view link please Anmelden or Registrieren
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben