Browser-Vertrauensenzug für StartSSL-Zertifikate
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Browser-Vertrauensenzug für StartSSL-Zertifikate
Wie es derzeit durch die Tech-Presse geht entzieht neben Mozilla und Apple wohl nun auch Google der StartSSL/StartCom-CA nach und nach das Vertrauen, d.h. Seiten, die ein StartSSL-Zertifikat nutzen werden dann als nicht mehr vertrauenswürdig gekennzeichnet.
Wir nutzen für das Forum und alle anhängigen Services dummerweise auch ein StartSSL-Zertifikat, so das wir spätestens mit deren Erneuerung im März kommenden Jahres vor dem Problem stehen, wo wir ein valides und auf breiter Front vertrauenswürdiges Zertifikat herbekommen.
Jetzt wird der eine oder andere sicher Let´s Encrypt einwerfen wollen. Ich habe den Aufbau dieser CA mitverfolgt und mir den ganzen Zertifizierungsprozess angeschaut. Ich muss sagen, das ich ein ungutes Gefühl dabei habe, wenn ein zwar sicher gut gemeintes Script an der Webserver-, Mailserver und in unserem Falle XMPP-Server-Konfiguration rumbaut, und das auch noch periodisch, da die Zertifikate jeweils nur 90 Tage Gültigkeit haben. Händisch gingen die Zertifikate zwar auch zu erneuern, aber den Aufwand will ich mir nicht alle 90 Tage ans Bein binden. Kurzum, ich schätze Let´s Encrypt zwar für das Ziel der breiten Verfügbarkeit von SSL-Zertifikaten, mag die Umsetzung aber nicht.
Über unseren DNS-Anbieter Regfish bekämen wir für die Stammdomain und www. ein "Gratiszertifikat", was 180 Tage Gültig wäre. Das fällt als Lösungsoption damit wohl auch raus.
Die einfachste, in Summe aber preiswerteste Variante wäre ein Thawte 123-Wildcard-Zertifikat mit drei Jahren Gültigkeit. Das käme bei Hetzner, unserem Serverhoster, EUR 272,51. Das hört sich jetzt erstmal viel an, aber die Laufzeit betrachtet relativiert sich das. Und drei Jahre lang wirds uns schon noch geben, schätze ich mal. Einzel-Zertifikate für http://www., wiki., planet. usw. kämen uns ins Summe deutlich teurer. Ein gänzlicher oder teilweiser Verzicht auf Verschlüsselung steht imho auch nicht zur Debatte, da nicht-SSL-Seiten bei Chrome wohl auch bald entsprechend gekennzeichnet werden sollen.
Wie seht ihr die Sache? Habt ihr vielleicht noch andere Ideen oder Quellen günstig an ein Zertifikat zu kommen.
Wir nutzen für das Forum und alle anhängigen Services dummerweise auch ein StartSSL-Zertifikat, so das wir spätestens mit deren Erneuerung im März kommenden Jahres vor dem Problem stehen, wo wir ein valides und auf breiter Front vertrauenswürdiges Zertifikat herbekommen.
Jetzt wird der eine oder andere sicher Let´s Encrypt einwerfen wollen. Ich habe den Aufbau dieser CA mitverfolgt und mir den ganzen Zertifizierungsprozess angeschaut. Ich muss sagen, das ich ein ungutes Gefühl dabei habe, wenn ein zwar sicher gut gemeintes Script an der Webserver-, Mailserver und in unserem Falle XMPP-Server-Konfiguration rumbaut, und das auch noch periodisch, da die Zertifikate jeweils nur 90 Tage Gültigkeit haben. Händisch gingen die Zertifikate zwar auch zu erneuern, aber den Aufwand will ich mir nicht alle 90 Tage ans Bein binden. Kurzum, ich schätze Let´s Encrypt zwar für das Ziel der breiten Verfügbarkeit von SSL-Zertifikaten, mag die Umsetzung aber nicht.
Über unseren DNS-Anbieter Regfish bekämen wir für die Stammdomain und www. ein "Gratiszertifikat", was 180 Tage Gültig wäre. Das fällt als Lösungsoption damit wohl auch raus.
Die einfachste, in Summe aber preiswerteste Variante wäre ein Thawte 123-Wildcard-Zertifikat mit drei Jahren Gültigkeit. Das käme bei Hetzner, unserem Serverhoster, EUR 272,51. Das hört sich jetzt erstmal viel an, aber die Laufzeit betrachtet relativiert sich das. Und drei Jahre lang wirds uns schon noch geben, schätze ich mal. Einzel-Zertifikate für http://www., wiki., planet. usw. kämen uns ins Summe deutlich teurer. Ein gänzlicher oder teilweiser Verzicht auf Verschlüsselung steht imho auch nicht zur Debatte, da nicht-SSL-Seiten bei Chrome wohl auch bald entsprechend gekennzeichnet werden sollen.
Wie seht ihr die Sache? Habt ihr vielleicht noch andere Ideen oder Quellen günstig an ein Zertifikat zu kommen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Das riecht nach einem Spendenaufruf. Wenn 14 Leute 20 Euro spenden, ist das Geld schon zusammen, und dann klingt es gar nicht mehr soviel.feltel hat geschrieben:EUR 272,51.
Ich unterstütze (auch finanziell) die Lösung, zu der du erstens Vertrauen hast und zweitens am wenigsten Arbeit für dich macht. Irgendwas, wo du alle 90 oder 180 Tage frickeln mußt, klingt für mich nicht wirklich nach Lösung.Wie seht ihr die Sache?
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Nee, ums Geld-einsammeln ging es jetzt wirklich nicht. Das reicht erstmal. Hier will ich einfach mal Ideen sammeln und ne Meinung einholen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- heisenberg
- Beiträge: 3556
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Ich habe hier Letsencrypt mit der DNS-Challenge(mit PowerDNS als DNS-Server) am laufen. Die Zertifikate werden bei mir über das Managementsystem verteilt und einmal in der Woche werden kurz die Dienste per cron durchgestartet, damit die neuen Zertifikate aktiv werden(Das kann man auch noch optimieren, dass das wirklich nur alle ca. 90 Tage passiert). Das bedeutet, an den Konfigurationen der Dienste wird bei mir da gar nichts verändert. ACME braucht es nicht.
Ich würde mal vermuten Hetzner hat auch eine DNS-API, über das man ein Hook-Script für LetsEncrypt umsetzen kann. Ich habe mit dem Hook-Script für PowerDNS intensiver gearbeitet, so schwer ist das nicht(100 Zeilen Shell-Script: https://github.com/antoiner77/letsencrypt.sh-pdns).
Neben dem Hookscript braucht es noch das Letsencrypt-Hauptscript, was auch ein Shellscript mit ca. 1000 Zeilen ist. Also insgesamt ist LE im Gegensatz dazu was man am Anfang so gehört hat(Eigenen Docker-Container....), sehr schlank.
Ich würde mal vermuten Hetzner hat auch eine DNS-API, über das man ein Hook-Script für LetsEncrypt umsetzen kann. Ich habe mit dem Hook-Script für PowerDNS intensiver gearbeitet, so schwer ist das nicht(100 Zeilen Shell-Script: https://github.com/antoiner77/letsencrypt.sh-pdns).
Neben dem Hookscript braucht es noch das Letsencrypt-Hauptscript, was auch ein Shellscript mit ca. 1000 Zeilen ist. Also insgesamt ist LE im Gegensatz dazu was man am Anfang so gehört hat(Eigenen Docker-Container....), sehr schlank.
Zuletzt geändert von heisenberg am 03.11.2016 11:20:26, insgesamt 10-mal geändert.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Was ist mit CAcert? Scheidet das aus, weil deren Root-Zertifikat von den Browsern nicht ausgeliefert wird?
Use ed once in a while!
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Ja, wir waren "früher" ja bei CAcert. Ich denke nicht, das sich an der angesprochenen Root-Cert-Problematik etwas grundlegend geändert hat. Und wenn dies so ist, dann können wir genauso bei dem dann ebenfalls nicht vertrautem StartSSL bleiben.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Hallo feltel,
ich selber habe letsencrypt mehrfach im Einsatz, da wird auch nichts an irgendwelchen Configs gefummelt.
Es gibt das Paket certbot, womit die Zertifikate automatisiert erstellt werden. Diesem kannst du
beim erstmaligen Erstellen auch gleich sagen "nur die Zertifikate bauen, sonst nichts". Der Certbot hat einen
Cronjob, der das Alter überwacht und bei Bedarf neue Zertifikate erzeugt. Du kannst auch mehrere Domains
in ein Zertifikat packen.
der erste Aufruf wäre dann
certbot certonly --webroot -rsa-key-size 4096 -w [webroot1] -d [domain1] -d [domain2imselbenwebroot] -w [webroot2] -d [domain3] ....
Einbinden in die Config vonApache & Co. musste dann selber
ich selber habe letsencrypt mehrfach im Einsatz, da wird auch nichts an irgendwelchen Configs gefummelt.
Es gibt das Paket certbot, womit die Zertifikate automatisiert erstellt werden. Diesem kannst du
beim erstmaligen Erstellen auch gleich sagen "nur die Zertifikate bauen, sonst nichts". Der Certbot hat einen
Cronjob, der das Alter überwacht und bei Bedarf neue Zertifikate erzeugt. Du kannst auch mehrere Domains
in ein Zertifikat packen.
der erste Aufruf wäre dann
certbot certonly --webroot -rsa-key-size 4096 -w [webroot1] -d [domain1] -d [domain2imselbenwebroot] -w [webroot2] -d [domain3] ....
Einbinden in die Config vonApache & Co. musste dann selber
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Erst mal ist das völliger Quatsch, dass man irgendein Skript an der Serverkonfiguration basteln lassen müsste, auch wenn der offizielle Client so etwas anbietet. Mir gefällt der offizielle Client auch nicht, viel zu überladen und viel zu viele Abhängigkeiten für das was er tun soll.Ich muss sagen, das ich ein ungutes Gefühl dabei habe, wenn ein zwar sicher gut gemeintes Script an der Webserver-, Mailserver und in unserem Falle XMPP-Server-Konfiguration rumbaut, und das auch noch periodisch, da die Zertifikate jeweils nur 90 Tage Gültigkeit haben. Händisch gingen die Zertifikate zwar auch zu erneuern, aber den Aufwand will ich mir nicht alle 90 Tage ans Bein binden. Kurzum, ich schätze Let´s Encrypt zwar für das Ziel der breiten Verfügbarkeit von SSL-Zertifikaten, mag die Umsetzung aber nicht.
Möglicherweise ist dir aber entgangen, dass das ganze auf einem offenen Protokoll aufsetzt. Besonders kompliziert ist das auch nicht, entsprechend gibt es eine fülle an Alternativen welche sich auf das wesentliche (ein neues Zertifikat abholen) beschränken und teilweise kurz genug sind, dass man sich den Code auch mal durchlesen kann:
https://letsencrypt.org/docs/client-options/
Wenn du das Geld über hast spende es lieber an Let's encrypt anstatt es irgendeiner dieser Kommerziellen CAs in den Rachen zu werfen. https://www.generosity.com/community-fu ... -s-encryptDie einfachste, in Summe aber preiswerteste Variante wäre ein Thawte 123-Wildcard-Zertifikat mit drei Jahren Gültigkeit. Das käme bei Hetzner, unserem Serverhoster, EUR 272,51. Das hört sich jetzt erstmal viel an, aber die Laufzeit betrachtet relativiert sich das. Und drei Jahre lang wirds uns schon noch geben, schätze ich mal. Einzel-Zertifikate für http://www., wiki., planet. usw. kämen uns ins Summe deutlich teurer. Ein gänzlicher oder teilweiser Verzicht auf Verschlüsselung steht imho auch nicht zur Debatte, da nicht-SSL-Seiten bei Chrome wohl auch bald entsprechend gekennzeichnet werden sollen.
//edit:
LE empfiehlt übrigens alle 60 Tage um genügend Überlappung zu haben.(Das kann man auch noch optimieren, dass das wirklich nur alle ca. 90 Tage passiert)
Das geht bei Hetzner leider eher schlecht. Würde die Webroot Methode verwenden: //edit2 ah hier wird regfish verwendet, dann keine AhnungIch würde mal vermuten Hetzner hat auch eine DNS-API, über das man ein Hook-Script für LetsEncrypt umsetzen kann. Ich habe mit dem Hook-Script für PowerDNS intensiver gearbeitet, so schwer ist das nicht(100 Zeilen Shell-Script: https://github.com/antoiner77/letsencrypt.sh-pdns).
Ich verwende btw. diesen Apache config schnipsel (/etc/apache2/conf-available/acme-webroot.conf) um alle Zugriffe auf /.well-known/acme-challenge/ umzulenken (redirects davor z.B. von http auf https sind übrigens auch kein Problem). Dann muss man dem client der Wahl nur noch sagen, dass er die challenges in das entsprechende Verzeichnis legen muss:
Code: Alles auswählen
<IfModule mod_headers.c>
Alias "/.well-known/acme-challenge/" "/var/www/acme-challenge/.well-known/acme-challenge/"
<IfModule mod_proxy.c>
ProxyPass "/.well-known/acme-challenge/" !
</IfModule>
<Directory "/var/www/acme-challenge/">
AllowOverride None
Options FollowSymLinks
</Directory>
</IfModule>
LE unterstützt übrigens Multidomain Zertifikate, bis zu 100 (sub)domains pro Zertifikat, sollte man tendenziell auch nutzen um nicht in rate Limits zu rennen (die sollten aber hier kein Problem darstellen denke ich). https://letsencrypt.org/docs/rate-limits/Einzel-Zertifikate für http://www., wiki., planet. usw.
Unix is user-friendly; it's just picky about who its friends are.
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Ich hab heute mal ein bisschen mit Letsencrypt rumgespielt und ein paar alternative Clients ausprobiert. Doch nicht so schlimm, wie ich dachte. Ein paar offene Punkte hab ich zwar noch, aber das lässt sich sicher rausarbeiten. Quasi zum Test läuft jetzt meine Domain als auch das Forum mit einem Letsencrypt-Cert.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Hallo zusammen,
wenn die Problematik noch bestehen sollte, können wir etwas anbieten... !
Da dieses Projekt uns bzw. mich immer tatkräftig unterstützt hat, können wir anbieten ein Wildcard-SSL-Cert für ein Jahr zu "spenden".
Die Voraussetzung ist, dass wir anonym bleiben und uns Feltel einen CSR bereitstellt.
Viele Grüße
Sascha
wenn die Problematik noch bestehen sollte, können wir etwas anbieten... !
Da dieses Projekt uns bzw. mich immer tatkräftig unterstützt hat, können wir anbieten ein Wildcard-SSL-Cert für ein Jahr zu "spenden".
Die Voraussetzung ist, dass wir anonym bleiben und uns Feltel einen CSR bereitstellt.
Viele Grüße
Sascha
Peter Higgs hat geschrieben: "I didn't believe that this particle will be detected within my lifetime.... Well, now I can go home and drop dead!"
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Danke fürs Angebot aber wir haben uns hier denke ich recht gut mit Lets Encrypt-Zertifkaten arrangiert. Der Zertifikats-Rollover alle paar Wochen ist auch weniger aufwendig als ich befürchtete. Also alles im Lot mit den Certs.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- heisenberg
- Beiträge: 3556
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Browser-Vertrauensenzug für StartSSL-Zertifikate
Wie LE angekündigt, sollen ja auch bald Wildcardzertifikate möglich sein.
Jede Rohheit hat ihren Ursprung in einer Schwäche.