ComputerBase Menü
Aktuelles

Bericht Let's Encrypt: Erste Erfahrungen mit dem HTTPS für jedermann

Der Client spuckt auch reine Zertifikate aus auf Wunsch. Denn nicht für jede Software steht schon ein Plugin zur Verfügung was die Konfiguration passend abändern kann.

If you want to use a webserver that doesn't have full plugin support yet, you can still use "standalone" or "webroot" plugins to obtain a certificate:

./letsencrypt-auto certonly --standalone --email admin >thing.com> -d <thing.com> -d <www.thing.com> -d otherthing.net
Zum Vergrößern anklicken....
 
Siemens-Nixdorf schrieb:
Ist mir immer noch zu kompliziert. Sehe eh keinen richtigen Vorteil mit HTTPS für meine Website. Man wird vielleicht besser von den Suchmaschinen gefunden, aber das ist es mir dann doch nicht Wert. ;)

Aber schön zu sehen, dass sich da was in die richtige Richtung bewegt.
Zum Vergrößern anklicken....

Du hast genau den richtigen Benutzernamen und Avatar für diesen Kommentar.
 
Gibt es eigentlich Zeitpläne für die Verteilung der Zertifikatslisten seitens der Browserhersteller?
Im Firefox scheint es schon angekommen zu sein. Im Internet Explorer aber noch nicht.

Möchte gerne sicher gehen, dass ich möglichst zeitnah die Lets Encrypt-Einträge löschen oder zumindest auf nicht vertrauenswürdig setzen kann.
 
Bzgl shared Webspace und geht nicht.... Bei All-Inkl hat man ab einem bestimmten Paket durchaus die Möglichkeit ohne SSH sich ein SSL-Zertifikat einzurichten. (Gemütlich über das Webinterface) Hab ich auch schon mit einem Start-SSL Zertifikat gemacht für meine ownCloud Installation.
 
DocWindows schrieb:
Möchte gerne sicher gehen, dass ich möglichst zeitnah die Lets Encrypt-Einträge löschen oder zumindest auf nicht vertrauenswürdig setzen kann.
Zum Vergrößern anklicken....

LetsEncrypt macht DV Zertifikate und ist kein bisschen weniger vertrauenswürdig wie all die China Network Information Centre und Türktrust die du sonst so drin hast.
 
Mich würde an dieser Stelle zwei Dinge interessieren.

a.) Gibt es für DIE einen wirtschaftlichen Aspekt, wird das durch Sponsoring finanziert oder hab ich da etwas übersehen?
b.) Wenn ich nun selbst auf meinem Server ein CA erstelle, wem muss ich denn erklären das meine eigenen Zertifikate vertrauenswürdig sind und in den gängigen Browsern akzeptiert werden?

Ich hatte mal das Thema bei Google gesucht, da mein Chef wissen wollte wie das abläuft und ob wir uns nicht selbst Zertifikate für die Domains erstellen können. Aber in erster Linie habe ich gefunden wie ich die Ausnahmen hinzufügen kann und das hat mir nicht wirklich weiter geholfen.

Gruß, Domi
 
DocWindows schrieb:
Gibt es eigentlich Zeitpläne für die Verteilung der Zertifikatslisten seitens der Browserhersteller?
Im Firefox scheint es schon angekommen zu sein. Im Internet Explorer aber noch nicht.

Möchte gerne sicher gehen, dass ich möglichst zeitnah die Lets Encrypt-Einträge löschen oder zumindest auf nicht vertrauenswürdig setzen kann.
Zum Vergrößern anklicken....

Das LE Zwischenzertifikat ist crosssigned von IdenTrust, dass heißt jeder Browser, der IdenTrust vertraut, vertraut auch LE.
Im Firefox scheint das LE Root noch nicht enthalten zu sein, nach diesem Bugzillaeintrag

Wieso du LE nun nicht als vertrauenswürdig ansiehst wüsste ich btw schon gerne.

Edit: @Domi83:
a) Ja, LE hat Sponsorewn und auch du kannst din Geld da lassen.
b) Du müsstest mit deiner CA die Anforderungen der Browserhersteller für neue CAs erfüllen. Das wäre aber bestimmt ein höherer Aufwand als ihr wollt ;)
Wenn das aber nur für interne Seiten bei euch sein soll, soll dein Chef einfach eine Anweisung raus geben, das jeder Mitarbeiter, der auf entsprechenden Seiten euer Root als vertrauenswürdig markieren soll. Für externe wäre der Aufwand aber wohl zu hoch.
 
Zuletzt bearbeitet:
Der-Orden-Xar schrieb:
Wieso du LE nun nicht als vertrauenswürdig ansiehst wüsste ich btw schon gerne.
Zum Vergrößern anklicken....

Gegenfrage warum sollte man LE als Vertrauenswüdig ansehen? Was hebt LE von Comodo, Thawte, Certum oder anderen CAs ab?
 
Zuletzt bearbeitet: (es sollte LE sein)
Domi83 schrieb:
Mich würde an dieser Stelle zwei Dinge interessieren.

a.) Gibt es für DIE einen wirtschaftlichen Aspekt, wird das durch Sponsoring finanziert oder hab ich da etwas übersehen?
b.) Wenn ich nun selbst auf meinem Server ein CA erstelle, wem muss ich denn erklären das meine eigenen Zertifikate vertrauenswürdig sind und in den gängigen Browsern akzeptiert werden?
Zum Vergrößern anklicken....
a.) Die Internet Security Research Group, die hinter Let's Encrypt steht, ist eine gemeinnützige Organisation, die von mehreren Unternehmen untetstützt wird und unter dem Schirm der Linux Foundation operiert(siehe Bericht). Wirtschaftliche Interessen existieren nicht.
b.) du musst gar nichts tun. Wenn du den Client die Konfiguration des Apachen überlässt, erhälst Du hinterher einen Link zur Überprüfung der Gültigkeit deines Zertifikats. Du kannst sofort Deine Seite per HTTPS aufrufen
Steht aber eigentlich allles im Detail im Bericht.
 
Sehr cooles Projekt! Danke für den Artikel.

fethomm schrieb:
Zudem musst Du Mail empfangen können, die an Deine Domain geschickt wird.
Zum Vergrößern anklicken....
Wie genau muss ich das verstehen? Ich benutze einen privaten Homeserver, der per Dynamic DNS erreichbar ist, Mail habe ich nicht eingerichtet (muss mal beim Anbieter nachgucken, ob Mails dann dort auflaufen). Warum braucht man das?
 
Cool Master schrieb:
Gegenfrage warum sollte man es als Vertrauenswüdig ansehen? Was hebt LE von Comodo, Thawte, Certum oder anderen CAs ab?
Zum Vergrößern anklicken....

Es wird unter anderem von Mozilla und der EFF getragen und hat, anders als die von Dir genannten keine wirtschaftlichen Interessen.
 
Cool Master schrieb:
Alleine schon das man eine Software installieren muss hält mich davon ab auf Let's Encrypt zu setzen.
Zum Vergrößern anklicken....

Das ist nur eine Möglichkeit das Zertifikat von denen einzuspielen. Du kannst dir per Client auch einfach ein Zertifikat generieren lassen und es dann selber auf deinem Server eintragen.
 
Also ich finds cool, dass man kostenlos an HTTPS ran kommt.

Ich hab nur für meine Website ein kleines Problem, nämlich Domain und WebServer sind getrennt. Heißt, ich hab eine Domain bei godaddy und einen Root Server, der mit IP erreichbar ist. Ich hab zwar bei godaddy die Zone Records konfiguriert, so dass meine 3 Subdomains und die Hauptdomain funktionieren (ohne www), aber hab z.B. kein Email-Empfang.

Ist Let's encrypt trotzdem was für mich? Und wie funktioniert das dann?

Greetz,
GHad
 
@fethomm

Also ich vertraue eher denen die Geld damit verdienen wollen. Warum? Na ja die wollen damit Geld machen und ihr essen bezahlen.

@GHad

Domain und Webserver sind immer getrennt ;)

Trage für den A Record das ein:

*.deinedomain.de TTL 3600 IP: IP des Servers

MX Record: mail.deinedomain.de Prio: 10

Damit sollte alles klappen :) Damit klappt auch das www und kein www, dass macht dein Webserver und nicht die Domain.
 
Cool Master schrieb:
Alle drei Jahre mal eine Stunde investieren ist kein Arbeitsaufwand ;)
Zum Vergrößern anklicken....
Doch, und zwar genau eine Stunde alle drei Jahre. ;) ;)

BTT: Danke für den Artikel, endlich ist es so weit, werde das heute gleich mal austesten. :)
 
Der-Orden-Xar schrieb:
Das LE Zwischenzertifikat ist crosssigned von IdenTrust, dass heißt jeder Browser, der IdenTrust vertraut, vertraut auch LE.

Wieso du LE nun nicht als vertrauenswürdig ansiehst wüsste ich btw schon gerne.
Zum Vergrößern anklicken....

Wenn ich das Zwischenzertifikat lösche wird ihm nicht vertraut, so wie ich das verstanden habe. Schließlich wird die Zertifizierungskette unterbrochen. Daher müsste zumindest ne Warnung kommen.

Verschlüsselung ist das Eine, Vertrauen das Andere. Wüßte nicht warum ich einer Skriptsammlung, die größtenteils ungeprüft Zertifikate in die Welt schleudert, vertrauen sollte. Hauptpunkt ist ja nach meinem Verstädnis eh die Verschlüsselung unn nicht das Vertrauen. Es heißt ja auch Lets Encrypt und nicht Lets Trust ;). Und diesen Verschlüsselungsaspekt nehme ich auch gerne mit. Hätte aber auch gern ne Warnung bei solchen Seiten, damit ich dann entsprechend vorsichtig mit meinen Daten umgehe.

EDIT: Hab im Firefox ein bißchen rumgespielt. Man kann die Lets Encrypt zwar aus der Zertifkatsliste löschen und ihm so das Vertrauen entziehen, weil es aber durch eine vertrauenswürdige Stammzertifizierungsstelle signiert wurde, wird ihm beim Besuch einer Webseite die ein Lets Encrypt Zertifikat nutzt, wieder automatisch das Vertrauen geschenkt. So sieht es zumindest für mich aus.

Könnte auch sein dass Firefox beim Fehlen des Zertifikats mit den Mozillaservern spricht und es nachlädt. Weiß nicht.
 
Zuletzt bearbeitet:
Bei https brauchst du immer von vorne herein Vertrauen.

Das worum es bei https /TLS geht ist, das es genau 2 Stellen gibt, an dem man die transportierten Daten im Klartext lesen kann: Sender und Empfänger. Da soll der Zertifikat nur bei der Einschätzung helfen, ob am anderen ende der richtige Server ist. Und simple Domain validierung bekommt man sogar bei den eher teuren CAs für wenig Geld - oder bei StartCom und Wogin (oder wie die sich schreiben9 sogar kostenlos. Dafür musst du einer israelischen bzw chinesischen Firma vertrauen, dass die nicht für jeden Zertifikate für jede Domain raushauen. StartCom verdient aber durchaus auch an kostenlosen Zertifikaten - z.B. beim revoken (ich denke, am heartbleed haben die gut verdient).

LE macht die Sache nur komfortable, ist aber mMn nicht weniger oder mehr vertrauenswürdig als andere auch.
 
"Für im Forum eingebundene externe Inhalte hat ComputerBase mittlerweile eine technische Lösung implementiert"
wie sieht diese aus?
 
Ich würde gerne ein Zertifikat in meine DiskStation einbinden. Ich nehme an, dass der Weg über die automatische Client-Software hier nicht funktioniert, oder?
 
@GinoBambino

Wenn du per SSH auf die Diskstation kommst geht das natürlich. Kann aber sein, dass du es neu kompilieren musst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Fedora 34 mit Gnome 40: Öffentliche Beta für jedermann gestartet
2
Antworten
22
Aufrufe
7.802
Hibbelharry
H
SVΞN
News Fedora 33: Entwickler geben erste Beta für jedermann frei
2 3
Antworten
44
Aufrufe
13.978
Ice-Lord
Ice-Lord
merlin123
Leserartikel PinePhone manjaro - Erste Eindrücke und Erfahrungen
7 8 9
Antworten
163
Aufrufe
54.741
Linuxfreakgraz
Linuxfreakgraz
T
Projekt: Erste Erfahrungen mit Raspberry Pi und Homeserver - Rückfragen zum Konzept
2 3
Antworten
47
Aufrufe
10.020
AT3TB
AT3TB
fethomm
News Verschlüsselung: Let's Encrypt beendet Beta-Phase
2
Antworten
28
Aufrufe
11.758
Kontrollfreak
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz