Browser-Vertrauensenzug für StartSSL-Zertifikate

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von feltel » 03.11.2016 10:33:50

Wie es derzeit durch die Tech-Presse geht entzieht neben Mozilla und Apple wohl nun auch Google der StartSSL/StartCom-CA nach und nach das Vertrauen, d.h. Seiten, die ein StartSSL-Zertifikat nutzen werden dann als nicht mehr vertrauenswürdig gekennzeichnet.

Wir nutzen für das Forum und alle anhängigen Services dummerweise auch ein StartSSL-Zertifikat, so das wir spätestens mit deren Erneuerung im März kommenden Jahres vor dem Problem stehen, wo wir ein valides und auf breiter Front vertrauenswürdiges Zertifikat herbekommen.

Jetzt wird der eine oder andere sicher Let´s Encrypt einwerfen wollen. Ich habe den Aufbau dieser CA mitverfolgt und mir den ganzen Zertifizierungsprozess angeschaut. Ich muss sagen, das ich ein ungutes Gefühl dabei habe, wenn ein zwar sicher gut gemeintes Script an der Webserver-, Mailserver und in unserem Falle XMPP-Server-Konfiguration rumbaut, und das auch noch periodisch, da die Zertifikate jeweils nur 90 Tage Gültigkeit haben. Händisch gingen die Zertifikate zwar auch zu erneuern, aber den Aufwand will ich mir nicht alle 90 Tage ans Bein binden. Kurzum, ich schätze Let´s Encrypt zwar für das Ziel der breiten Verfügbarkeit von SSL-Zertifikaten, mag die Umsetzung aber nicht.

Über unseren DNS-Anbieter Regfish bekämen wir für die Stammdomain und www. ein "Gratiszertifikat", was 180 Tage Gültig wäre. Das fällt als Lösungsoption damit wohl auch raus.

Die einfachste, in Summe aber preiswerteste Variante wäre ein Thawte 123-Wildcard-Zertifikat mit drei Jahren Gültigkeit. Das käme bei Hetzner, unserem Serverhoster, EUR 272,51. Das hört sich jetzt erstmal viel an, aber die Laufzeit betrachtet relativiert sich das. Und drei Jahre lang wirds uns schon noch geben, schätze ich mal. Einzel-Zertifikate für http://www., wiki., planet. usw. kämen uns ins Summe deutlich teurer. Ein gänzlicher oder teilweiser Verzicht auf Verschlüsselung steht imho auch nicht zur Debatte, da nicht-SSL-Seiten bei Chrome wohl auch bald entsprechend gekennzeichnet werden sollen.

Wie seht ihr die Sache? Habt ihr vielleicht noch andere Ideen oder Quellen günstig an ein Zertifikat zu kommen.

owl102

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von owl102 » 03.11.2016 10:40:43

feltel hat geschrieben:EUR 272,51.
Das riecht nach einem Spendenaufruf. Wenn 14 Leute 20 Euro spenden, ist das Geld schon zusammen, und dann klingt es gar nicht mehr soviel.
Wie seht ihr die Sache?
Ich unterstütze (auch finanziell) die Lösung, zu der du erstens Vertrauen hast und zweitens am wenigsten Arbeit für dich macht. Irgendwas, wo du alle 90 oder 180 Tage frickeln mußt, klingt für mich nicht wirklich nach Lösung.

Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von feltel » 03.11.2016 10:43:43

Nee, ums Geld-einsammeln ging es jetzt wirklich nicht. Das reicht erstmal. Hier will ich einfach mal Ideen sammeln und ne Meinung einholen.

Benutzeravatar
heisenberg
Beiträge: 3438
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von heisenberg » 03.11.2016 10:48:11

Ich habe hier Letsencrypt mit der DNS-Challenge(mit PowerDNS als DNS-Server) am laufen. Die Zertifikate werden bei mir über das Managementsystem verteilt und einmal in der Woche werden kurz die Dienste per cron durchgestartet, damit die neuen Zertifikate aktiv werden(Das kann man auch noch optimieren, dass das wirklich nur alle ca. 90 Tage passiert). Das bedeutet, an den Konfigurationen der Dienste wird bei mir da gar nichts verändert. ACME braucht es nicht.

Ich würde mal vermuten Hetzner hat auch eine DNS-API, über das man ein Hook-Script für LetsEncrypt umsetzen kann. Ich habe mit dem Hook-Script für PowerDNS intensiver gearbeitet, so schwer ist das nicht(100 Zeilen Shell-Script: https://github.com/antoiner77/letsencrypt.sh-pdns).

Neben dem Hookscript braucht es noch das Letsencrypt-Hauptscript, was auch ein Shellscript mit ca. 1000 Zeilen ist. Also insgesamt ist LE im Gegensatz dazu was man am Anfang so gehört hat(Eigenen Docker-Container....), sehr schlank.
Zuletzt geändert von heisenberg am 03.11.2016 11:20:26, insgesamt 10-mal geändert.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Meillo
Moderator
Beiträge: 8765
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von Meillo » 03.11.2016 10:49:59

Was ist mit CAcert? Scheidet das aus, weil deren Root-Zertifikat von den Browsern nicht ausgeliefert wird?
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von feltel » 03.11.2016 10:51:40

Ja, wir waren "früher" ja bei CAcert. Ich denke nicht, das sich an der angesprochenen Root-Cert-Problematik etwas grundlegend geändert hat. Und wenn dies so ist, dann können wir genauso bei dem dann ebenfalls nicht vertrautem StartSSL bleiben. :P

Benutzeravatar
TBT
Beiträge: 923
Registriert: 18.06.2003 08:39:36
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von TBT » 03.11.2016 11:20:20

Hallo feltel,

ich selber habe letsencrypt mehrfach im Einsatz, da wird auch nichts an irgendwelchen Configs gefummelt.
Es gibt das Paket Debiancertbot, womit die Zertifikate automatisiert erstellt werden. Diesem kannst du
beim erstmaligen Erstellen auch gleich sagen "nur die Zertifikate bauen, sonst nichts". Der Certbot hat einen
Cronjob, der das Alter überwacht und bei Bedarf neue Zertifikate erzeugt. Du kannst auch mehrere Domains
in ein Zertifikat packen.

der erste Aufruf wäre dann

certbot certonly --webroot -rsa-key-size 4096 -w [webroot1] -d [domain1] -d [domain2imselbenwebroot] -w [webroot2] -d [domain3] ....

Einbinden in die Config vonApache & Co. musste dann selber ;)

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von catdog2 » 03.11.2016 14:27:26

Ich muss sagen, das ich ein ungutes Gefühl dabei habe, wenn ein zwar sicher gut gemeintes Script an der Webserver-, Mailserver und in unserem Falle XMPP-Server-Konfiguration rumbaut, und das auch noch periodisch, da die Zertifikate jeweils nur 90 Tage Gültigkeit haben. Händisch gingen die Zertifikate zwar auch zu erneuern, aber den Aufwand will ich mir nicht alle 90 Tage ans Bein binden. Kurzum, ich schätze Let´s Encrypt zwar für das Ziel der breiten Verfügbarkeit von SSL-Zertifikaten, mag die Umsetzung aber nicht.
Erst mal ist das völliger Quatsch, dass man irgendein Skript an der Serverkonfiguration basteln lassen müsste, auch wenn der offizielle Client so etwas anbietet. Mir gefällt der offizielle Client auch nicht, viel zu überladen und viel zu viele Abhängigkeiten für das was er tun soll.
Möglicherweise ist dir aber entgangen, dass das ganze auf einem offenen Protokoll aufsetzt. Besonders kompliziert ist das auch nicht, entsprechend gibt es eine fülle an Alternativen welche sich auf das wesentliche (ein neues Zertifikat abholen) beschränken und teilweise kurz genug sind, dass man sich den Code auch mal durchlesen kann:

https://letsencrypt.org/docs/client-options/
Die einfachste, in Summe aber preiswerteste Variante wäre ein Thawte 123-Wildcard-Zertifikat mit drei Jahren Gültigkeit. Das käme bei Hetzner, unserem Serverhoster, EUR 272,51. Das hört sich jetzt erstmal viel an, aber die Laufzeit betrachtet relativiert sich das. Und drei Jahre lang wirds uns schon noch geben, schätze ich mal. Einzel-Zertifikate für http://www., wiki., planet. usw. kämen uns ins Summe deutlich teurer. Ein gänzlicher oder teilweiser Verzicht auf Verschlüsselung steht imho auch nicht zur Debatte, da nicht-SSL-Seiten bei Chrome wohl auch bald entsprechend gekennzeichnet werden sollen.
Wenn du das Geld über hast spende es lieber an Let's encrypt anstatt es irgendeiner dieser Kommerziellen CAs in den Rachen zu werfen. https://www.generosity.com/community-fu ... -s-encrypt

//edit:
(Das kann man auch noch optimieren, dass das wirklich nur alle ca. 90 Tage passiert)
LE empfiehlt übrigens alle 60 Tage um genügend Überlappung zu haben.
Ich würde mal vermuten Hetzner hat auch eine DNS-API, über das man ein Hook-Script für LetsEncrypt umsetzen kann. Ich habe mit dem Hook-Script für PowerDNS intensiver gearbeitet, so schwer ist das nicht(100 Zeilen Shell-Script: https://github.com/antoiner77/letsencrypt.sh-pdns).
Das geht bei Hetzner leider eher schlecht. Würde die Webroot Methode verwenden: //edit2 ah hier wird regfish verwendet, dann keine Ahnung

Ich verwende btw. diesen Apache config schnipsel (/etc/apache2/conf-available/acme-webroot.conf) um alle Zugriffe auf /.well-known/acme-challenge/ umzulenken (redirects davor z.B. von http auf https sind übrigens auch kein Problem). Dann muss man dem client der Wahl nur noch sagen, dass er die challenges in das entsprechende Verzeichnis legen muss:

Code: Alles auswählen

<IfModule mod_headers.c>
                Alias "/.well-known/acme-challenge/" "/var/www/acme-challenge/.well-known/acme-challenge/"
                <IfModule mod_proxy.c>
                        ProxyPass  "/.well-known/acme-challenge/" !
                </IfModule>
                <Directory "/var/www/acme-challenge/">
                        AllowOverride None
                        Options FollowSymLinks
                </Directory>

</IfModule>
Einzel-Zertifikate für http://www., wiki., planet. usw.
LE unterstützt übrigens Multidomain Zertifikate, bis zu 100 (sub)domains pro Zertifikat, sollte man tendenziell auch nutzen um nicht in rate Limits zu rennen (die sollten aber hier kein Problem darstellen denke ich). https://letsencrypt.org/docs/rate-limits/
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von feltel » 07.01.2017 16:19:29

Ich hab heute mal ein bisschen mit Letsencrypt rumgespielt und ein paar alternative Clients ausprobiert. Doch nicht so schlimm, wie ich dachte. :) Ein paar offene Punkte hab ich zwar noch, aber das lässt sich sicher rausarbeiten. Quasi zum Test läuft jetzt meine Domain als auch das Forum mit einem Letsencrypt-Cert.

Benutzeravatar
Richti
Beiträge: 15
Registriert: 19.12.2008 07:31:48

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von Richti » 26.08.2017 06:33:11

Hallo zusammen,

wenn die Problematik noch bestehen sollte, können wir etwas anbieten... ;-)!

Da dieses Projekt uns bzw. mich immer tatkräftig unterstützt hat, können wir anbieten ein Wildcard-SSL-Cert für ein Jahr zu "spenden".

Die Voraussetzung ist, dass wir anonym bleiben und uns Feltel einen CSR bereitstellt.

Viele Grüße
Sascha
Peter Higgs hat geschrieben: "I didn't believe that this particle will be detected within my lifetime.... Well, now I can go home and drop dead!"

Benutzeravatar
feltel
Webmaster
Beiträge: 10362
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von feltel » 26.08.2017 13:39:32

Danke fürs Angebot aber wir haben uns hier denke ich recht gut mit Lets Encrypt-Zertifkaten arrangiert. Der Zertifikats-Rollover alle paar Wochen ist auch weniger aufwendig als ich befürchtete. Also alles im Lot mit den Certs. :-)

Benutzeravatar
heisenberg
Beiträge: 3438
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Browser-Vertrauensenzug für StartSSL-Zertifikate

Beitrag von heisenberg » 26.08.2017 16:32:41

Wie LE angekündigt, sollen ja auch bald Wildcardzertifikate möglich sein.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Antworten