Let’s Encrypt: Öffentliche Beta für alle
Let’s Encrypt macht kostenlose Zertifikate für alle möglich. Über die Initiative hatten wir ja schon diverse Male berichtet. Unterstützt wird man unter anderem von Facebook, Cisco, Mozilla und Akmai. Jetzt startet die öffentliche Betaphase, in der jedermann zuschlagen kann und so seine Seiten und Server mit einem Zertifikat ausstatten kann – bislang konnten nur ausgewählte Testwütige das Ganze ausprobieren. Neben den finanziellen Aspekten will die Initiative auch für eine möglichst „einfache“ Einbindung für die Nutzer sorgen. Das ist dahingehend wichtig, da die Zertifikate nur 90 Tage gültig sind und dann erneuert werden müssen.
In der geschlossenen Betaphase hat man nach eigenen Aussagen mehr als 26.000 Zertifikate ausgestellt. Wichtige Links für Interessierte findet man im Blogbeitrag von Let’s Encrypt, wer sich vielleicht tiefer in die Materie einlesen möchte, der findet dort einen guten Einstieg, Kollege Christoph Langer hat zudem einen Beitrag auf den Weg gebracht, wie sich die Let’s Encrypt-Zertifikate auf einem Synology-NAS nutzen lassen.
Funktioniert wunderbar. Obwohl nginx noch nicht automatisch konfiguriert wird, ist das Erstellen eines Zertifikats eine Sache von 3 Minuten. Die Zertifikate sind nicht personalisiert (d.h. steht keine Name drin), werden aber von Chrome, Firefox und IE akzeptiert. Wer mal sehen will, wie das im Browser aussieht, auf den Namen hier im Kommentar klicken.
Wo bleibt die Glaubwürdigkeit so eines Zertifikates wenn sich jeder Hans ganz einfach eins erstellen kann?
@Pete:
Es geht um SSL Zertifikate. Nicht um Inhaberüberprüfung. Man benötigt die Zertifkate um verschlüsselt mit den Seiten zu kommunizieren. Das die Seite die ist, auf die man wirklich will, dafür muß man selber sorgen. In Zeiten, in denen Politiker zur totalen Überwachung ausrufen ist die Verschlüsselung zur Wahrung der Freiheitsrechte wichtiger.
Klappt übrigens auch mit der Synology NAS und DynDNS Domain (***.selfip.com = dyn.com). Endlich keine lästigen Sicherheitsmeldungen mehr beim Zugriff von extern 🙂
Es konnte sich schon immer jeder ein Zertifikat erstellen („openssl req -new -key server.key -out server.csr“ oder http://www.selfsignedcertificate.com/ für Faule). Natürlich kannst Du auch ein Zertifikat für google.com erstellen, das ging auch schon immer. Nützt nur nichts, wenn Du nicht Eigentümer der Domain google.com bist.
Wichtig ist nur die Glaubwürdigkeit der Zertifizierungsstelle. LE wird von der ISRG betrieben (https://letsencrypt.org/isrg/) und ich glaube nicht, daß deren Glaubwürdigkeit ein Problem darstellt.
@escuco: Ja, das Zertifikat ist auch schon auf meiner Diskstation drauf. Es geht übrigens auch problemlos auf der Fritzbox. Wichtig ist hier nur, das man der Fritzbox das Zertifikat und den Private Key als eine Datei liefern muß.
cat privkey.pem cert.pem > fritzbox.pem
Die Datei fritzbix,pem dann in der Fritzbox (Internet -> Fritzbox-Dienste) als Zertifikat importieren (Passwort bleibt frei).
Dann warte ich mal auf eine Anleitung mit MacOS oder Windows 🙂
Einige OpenSoruce Präsentations Sheets zum Thema:
https://bifurcation.github.io/letsencrypt-overview/index-de.html#/
@Fraggle:
Eben genau das ist *falsch*! Bei SSL geht es um die Verschlüsselung, bei Zertifikaten geht es um die Authentifizierung. Dass man auf der richtigen Seite ist, *genau das* soll(t)en eigentlich Zertifikate sicherstellen. In Zeiten, in denen Politiker zur totalen Überwachung ausrufen, sollte die Vertrauenswürdigkeit im Internet untergraben und https ausgehöhlt werden, damit wir Cyberkriminellen und Terroristen mehr Schlupflöcher bieten, um sich ungeniert im Netz zu verstecken oder ihren Machenschaften nachzugehen, genau. Sowas nennt man blinden Aktionismus! Wozu er geführt hat, sehen wir ja überall.
@Klaus:
Der ISRG mag man vertrauen, aber nicht den Seiten, die durch sie authentifiziert wurden, denn diese Authentifizierung ist nichts wert. Sie sagt aus, dass jemand die Kontrolle über die Domain hat. Wer das ist, ob ein Cyberkrimineller, der einen Onlineshop auf einen Fremden angemeldet hat und darüber gestohlene oder gar nicht existente Güter verkauft, ein Phisher, der eine Website nachmacht, … kann mir ein solches schwach validiertes Zertifikat nicht sagen. Dazu gibt es bessere Validierungen und bisher war Domainvalidierung eine unangenehme Randerscheinung, die mit Flaggins und manuellen Eingriffen der Zertifizierungsstellen sowie Garantien für ausgestellte Zertifikate versucht wurde, im Zaum zu halten. Jetzt soll diese schwache Validierung aber zum Standard erkoren werden und am besten das ganze Internet damit beglückt werden. Genau hier liegt der Fehler. Die Macher von SSL bzw. TLS haben sich schon was dabei gedacht, die Authentifizierung und die Verschlüsselung voneinander zu trennen. Diese Trennung wird hier nun ausgehebelt. Dabei ist eine generelle Verschlüsselung gar nicht unbedingt wünschenswert. Es gibt Regionen, da sind die Datentarife eingeschränkt und die Bandbreiten gering, da würde man sich über Proxies freuen, kann man mit https vergessen. Es gibt Bereiche, in denen ist Sicherheit wichtig und man möchte Anomalien im Datenstrom analysieren, das ist aber nicht möglich, wenn er generell verschlüsselt ist. Wenn man sich Entwicklungen wie Tor anschaut, dann haben sie wohl wenig Anklang im Einsatz in der Allgemeinheit gefunden und die wirkliche Privatsphäre beim Surfen über Tor ist auch nicht 100%ig geklärt, aber es hat Marktplätze für Drogen, Mordaufträge usw. hervorgebracht, die es ohne Tor schwer hätten. Manchmal tut es doch gut, erst mal nachzudenken und dann etwas zu tun und nicht blind drauf loszugehen.
@Negecy:
Damit magst Du Recht heben. Aber ich erwarte auch nicht, daß meine Hausbank in Zukunft auf ein solches Zertifikat setzen wird. Ich hoffe, daß bei größerer Verbreitung der LE-Zertifikate die Browser-Hersteller ein solches Zertifikat klar erkennbar machen, ohne das man es sich erst genau anschauen muß. Im Moment sehen mein Zertifikat und das von Google auf den ersten Blick im Browser gleich aus – ein grünes Schloß in den Adresszeile. Das ist nicht gut.
Mir persönlich geht es darum, daß ich mein Diskstation und meine Fritzbox verschlüsselt erreichen kann und das geht mit der LE-Lösung einfach und schnell. Mit StartSSL ging das auch schon, aber mit einem wahrlich grauenhaften Prozedere.
Genau für diesen Zweck gibt es ja noch die erweiterte Identität bei Zertifikaten. Eine Bank, wie in eurem Beispiel, sollte immer auf solche art der erweiterten Authentifizierung setzen. Dies ist dann auch einfach im Browser erkennbar, Beispiel Screenshot meiner Bank + Let’s Encrypt:
https://imgur.com/fIuTLaJ
Na dolle Python auf dem WebServer laufen lassen, natürlich -.-
Naja, mit dem einfach erkennen ist es eben gerade so ein Problem. Die einfachen Zertifikate waren ja mal grau bspw. im Firefox, hier wurde aber mal wieder verfehlbessert, nun sind sie auch grün und eben kein Unterschied erkennbar. Auf den Namen alleine zu achten, ich weiß nicht, ob das auch Otto-Normal-Anwender versteht. Rot, gelb, grün, das versteht er vielleicht noch.
Ich finde auch den Client kritisch, und alle 90 Tage mein Zertifikat auszutauschen, finde ich auch nicht praktikabel, zumal der Zeitraum ja noch kürzer werden soll.
@namerp kann man doch sicher auf einem linux genereieren und dan die Zertifikate auf den Server verschieben?
@Mick: So ist es. letsencrypt-auto certonly –manual und man kann die Dateien auf einer beliebigen Linux-Kiste erstellen. Bei all-inkl.com kann man das Zertifikat dann ganz bequem über das KAS für seine Domain(s) eintragen.
@Negecy Ich verstehe nicht warum Proxies was gegen geringe Bandbreiten bringen sollen. Nur weil ich über einen Proxy auf ein Netz zugreife wird dessen Bandbreite doch keine andere – oder verstehe ich da was falsch?
Und ja, ich halte eine generelle Verschlüsselung meines Datenverkehrs für wünschenswert – das ist meine Kommunikation, da hat niemand hineinzugucken. Und wenn die Bandbreite zu gering ist weil da nur Kupfer oder ein nasser Schnürsenkel liegt, dann soll da ne Glasfaser hin.
@stefan: Proxy – Als einzelbenutzer mag deine Gleichung aufgehen, aber gerade auf Events oder in Büros die über keine „Dicke Leitung“ verfügen können Proxys deutlich entlasten.
Die Zeiten in denen sich 50 Mitarbeiter eine 2Mbit Leitung teilen sind aber zum Glück in den meisten Unternehmen vorbei. Dennoch ist mit mehr und mehr SSL auch eine Verantwortung und Eigeninteresse bei den Webseitenbetreibern ordendliche Browser-Cache Regeln einzurichten.
@Klaus, Negecy: Bei mir gibts da einen Unterschied. Zertifikate, die ich gratis bei StartSSL oder LetsEncrypt erstellt habe, haben nur ein grünes Schloss. Bei meiner Bank, oder anderen größeren Sites wird zusätzlich noch der Name der Site (also wahrscheinlich der Cert-Inhaber) angezeigt.
Es geht doch bei Certs darum, dass ich sicher sein kann, dass die Daten auch wirklich von der aufgerufenen Site stammen. Wenn ich ein solches signiertes Cert habe, kann ich auch einen Man-In-The-Middle-Angriff ausschließen.
Die 90d finde ich nicht schlimm. Da das Tool ja alles automatisiert, kann man das problemlos via cron lösen. Mein Hoster denkt auch schon über eine Automation nach.
Caschy, warum setzt du noch nicht auf https? Mittlerweile sollte es doch möglich sein, die Werbung auch via https einzubinden. Ist das nicht für Google Ads sogar Pflicht, um aufgenommen zu werden?