• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter https://letsencrypt.org/howitworks/ nachlesen.

Quelle: Golem.de und Letsencrypt.org
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Das Ding ist eben, dass es nur eine automatisierte Möglichkeit gibt, das Cert zu bekommen (u.A. um Betrug zu vermeiden) und die Certs nur wenige Wochen Laufzeit haben (iirc).

Im Moment wird anscheinend nur der Apache wirklich gut unterstützt. Das Projekt dann "let's encrypt" zu nennen, finde ich schon etwas großspurig. Vielleicht eher "let's encrypt Apache on Port 80" (letsencrypt-apacheonport80.website)?
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #23
Der Client hat meines Wissens nach einen manuellen Modus. Davon abgesehen ist der Client quelloffen so dass man nachvollziehen kann was er macht. Diese Schritte sollte man dann auch per Hand, einen nach den anderen abarbeiten können. Gültig sind die Zertifikate derzeit 90 Tage. Die Begründung kann man unter https://community.letsencrypt.org/t/maximum-and-minimum-certificate-lifetimes/264/7 nachlesen. Ebenso, dass dieser Zeitraum nicht in Stein gemeiselt ist (hoffe selbst dass man hier flexibler vorgehen kann).

Bei den Servern die z. B. Netcraft erfasst, kommt nginx im Oktober das erste mal über einen Anteil von 15 Prozent. Apache liegt bei 46 Prozent (http://news.netcraft.com/archives/2015/10/16/october-2015-web-server-survey.html). Lets's Encrypt hat sich zum Ziel gemacht, so viele Seiten wie möglich zu verschlüsseln. Von daher macht es meiner Meinung nach durchaus Sinn, wenn der Schwerpunkt erst einmal bei Apache liegt. Das nginx nicht links liegen gelassen wird, zeigen zudem auch die Commits. Letsencrypt-nginx wurde vor drei Tagen geändert. Letsencrypt-apache vor 7 Tagen (https://github.com/letsencrypt/letsencrypt).
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Davon abgesehen finde ich das Zertifikatshandlich bei nginx viel einfacher als z.B. bei apache - ist doch meist nur eine Zeile in der Config?
.

Es ist definitiv einfacher bei Apache, da man auch noch ein Chainfile benötigt. Dann wären es die üblichen 2 Zeilen für eine Grundkonfiguration von nginx (key und cert) und mit ssl on noch eine mehr. Davon aber mal abgesehen ist eine Konfiguration von nginx pro Host mit Sicherheit mit mehr Aufwand verbunden, als beim Standard-Apache prefork.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
nu ja mein Problem lag eher darin das ich bisher davon ausgegangen bin das ich mein Zertifikat bei LetsEncrypt "normal" beantrage und einbinde... da das nicht ganz so läuft erklärt das auch das *Problem* mit anderen Webservern :D
Da es noch nicht voll Lauffähig ist habe ich mir über die Art und Weise wie man es nutzt einfach noch keine genaueren Gedanken gemacht - wäre aber wohl besser gewesen... aber mal abwarten :D

@Eraser evtl. auch Geschmacksache, ich fand die Apache-Config mit ewig langen Einstellungsorgien und vHost dateien extrem umständlich und unübersichtlich...
Zumindest ich komme bei nginx nun mit sicher 1/10 der Zeilen aus und finde diese viel verständlicher und logischer aufgebaut.
 

Gelöschtes Mitglied 1550

Guest

G
Ich hab mich nun mal mit ein paar Domains für die Closed Beta angemeldet - bin mal gespannt, wie lange die Freischaltung dauert.

Für meine Kunden, bei denen ich teilweise auch LiveConfig einsetze, ist es auf jeden Fall sehr praktisch.
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #28
@Hank Moody:

Mit etwas "Glück" dauert es bis zum 03.12.15. :D

---

Mein "Webspace"-Anbieter Uberspace will Let's Encrypt auch offiziell unterstützen. :T
 

Gelöschtes Mitglied 1550

Guest

G
@mathmos: wäre auch okay, hab da jetzt keinen Zeitdruck. Scheinbar genehmigen die Jungs im Moment aber ordentlich Domains für die Closed Beta - wohl um die Server mal warmlaufen zu lassen. ;)
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Zumindest im Blog oder auf der Seite ist davon ja nix zu lesen.
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #34
Eventuell meint er die bisherigen Verschiebungen im Zeitplan. Ursprünglich war ja es ja geplant, dass ab Mitte September Zertifikate vergeben werden.
 

Gelöschtes Mitglied 1550

Guest

G
Ich habe gestern für einen Kunden die Freischaltung erhalten und direkt zwei Zertifikate im LiveConfig eingerichtet - alles bestens bisher!

Auch der "manuelle" Test mit dem Client hat funktioniert.
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775


Ich mag das hauseigene Tool nicht welches verwendet wird zum erstellen des Zertifikats. Damit das läuft, musste ich meine config eben erstmal 2 Stunden lang umstellen. Als nächstes ist natürlich nicht so toll, dass das Zertifikat gerade nur 90 Tage lang hält. Man soll das Tool alle 60 Tage neu aufrufen um das Zertifikat zu erneuern. Alternativ halt per Cronjob, aber dazu muss ich erstmal rausfinden wie ich das Tool ohne Abfragen laufen lassen kann, damit das auch funktioniert. Wenn es dann auch zuverlässig ist/war, werde ich es gerne weiterhin nutzen, wohl dann auch für andere Projekte. Beim alten Zertifikat musste ich einmal im Jahr ran, wenn ich hier dauerhaft nichts mehr machen muss, wäre das natürlich noch besser. ;)

Es macht bisher einen guten Eindruck. Werde meine alten Zertifikate und Serverconfigs trotzdem erstmal sicher aufbewahren. :)
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #39
Habe mir jetzt auch mal ein Zertifikat für meinen Sachen auf Uberspace erstellen lassen. Einfacher geht es eigentlich nicht mehr. :T
 

Gelöschtes Mitglied 1550

Guest

G
Ja, funktioniert wirklich toll.

Der Renewal-Prozess gefällt mir persönlich aber noch nicht wirklich - ein Daemon wäre schön, der das übernimmt, wenn ein Zertifikat ausläuft. Alternativ muss ich mir solange mal ein kleines Skript schreiben, dass die Expire-Dates ausliest und unter 7 Tagen ein Renewal für diese Domain auslöst...
 
Oben