tirsales.de und SSL-Zertifikate

21. Oktober 2010 - 15:08 |

UPDATE: Okay, ich habe mir ein neues SSL-Zertifikat erstellt und via CaCert beglaubigt. Jetzt alle zufrieden?

---

Ja, mein Blog bringt eine Sicherheitswarnung, wenn ihr es via SSL aufruft. Das ist okay ;) (Das Zertifikat läuft auf bash.info).

Meine Domain liegt auf einem privaten kleinen Server, den ich zusammen mit ein paar Bekannten gemietet habe. Dieser Server heißt pippin.bash.info - und auf diesen läuft auch das SSL-Zertifikat.

Bis vor kurzem hatte ich keine eigene IP-Adresse - und SSL funktioniert grundlegend erstmal auf Basis der IP, nicht der Domain - und konnte daher kein eigenes (sinnvolles) Zertifikat für meine Webseite erstellen.

Mittlerweile habe ich zwar die IP - aber ich hatte noch keine Zeit mir ein eigenes Zertifikat zu erstellen. Abgesehen davon: Eine Sicherheitswarnung kriegt ihr dann auch noch .. weil ich mir die Gebühren für ein korrekt signiertes Zertifikat leider nicht leisten kann :/ (bzw. die 70€ im Jahr lieber anderweitig ausgebe)

Ihr könnt das Blog gerne ohne SSL aufrufen (http://www.tirsales.de/ funktioniert genauso gut wie https://www.tirsales.de/ ) oder eben mit SSL - aber dann leider nur mit SSL-Warnung. Tut mir ehrlich Leid - aber ich hielt bisher meine restliche Arbeit für wichtiger als mein SSL-Zertifikat ;) Versprochen - am WE spätestens schaue ich danach.

Blog reactions

No reactions yet.
Tags:

Flattr
  1. Sleeksorrow (nicht überprüft) on 21. Oktober 2010 - 15:52

    Na, das schreit doch förmlich nach einer Pirate Certificate Authority. Schön hierarchisch, die Root CA beim Bundesverband, die Landesverbände können dann Piraten Server und deren Betreiber beglaubigen oder evtl diese Funktion an Bezirksverbände abgeben, die nach der Beglaubigung die Certificate Signing Requests erstellen.

    Piraten-Surfer müssen dann nur noch das Piraten Root CA manuell installieren und alle Piraten Blogs laufen ohne Zertifikatswarnung :)

    Hach ja, träumen ist schön :)

  2. Hanno (nicht überprüft) on 21. Oktober 2010 - 16:01

    Hallo,

    Ich bin zwar kein Pirat, würde aber in so einer Aktion keinen Sinn sehen - denn es gibt bereits CAcert, was dem sehr nahe kommt. Community, frei, man muss nur ein root-Cert installieren.

    Ich würde einfach allen Piraten empfehlen, CAcert zu unterstützten. Es funktioniert nach einem Web-of-Trust-Prinzip, man muss sich von einigen anderen CAcert-Leuten assuren lassen.

  3. Sleeksorrow (nicht überprüft) on 21. Oktober 2010 - 16:10

    Technisch wäre das natürlich das selbe Prinzip, aber ich seh den Unterschied darin, daß ich mehr Stellen habe, bei denen ich mich beglaubigen lassen kann, womöglich in meinem eigenen Bezirk. Und es sind Leute dahinter, zu denen ich als Pirat eine Verbindung habe, nämlich die Piraten, denen ich mehr vertraue, daß sie die Beglaubigung nicht schleifen lassen. Piraten tendieren eher zu zuviel Paranoia als zuwenig :)

    Ein Web-of-Trust basiert ja auf dem Trust, und bei CaCert seh ich da jetzt spontan keinen Grund, daß die übermäßiges Vertrauen verdienen. Da kann ich mich aber täuschen, hab mich noch nicht tief genug damit beschäftigt.

    Eine Organisation unterstützen, der ich nicht mehr Vertrauen schenke als jeder normalen Person auf der Straße, ist dann im schlimmsten Fall gefährlich, wenn die Organisation Mist baut und Deine Partei, die das unterstützt hat, in Misskredit bringt.

  4. Gast (nicht überprüft) on 21. Oktober 2010 - 17:02

    „ich seh den Unterschied darin, daß ich mehr Stellen habe, bei denen ich mich beglaubigen lassen kann, womöglich in meinem eigenen Bezirk.“ - Das ist bei CAcert definitiv ebenfalls der Fall, eben weil es sich um ein Web-of-trust handelt - Assurer findet man einfach über eine dedizierte Plattform auf cacert.org sowie auf so gut wie jeder Piraten- oder Hackerveranstaltung. Abgesehen davon gibt es noch die (derzeit afaik eingefrorene) Trusted-Third-Party-assurance, sprich, du lässt dich von einem Notar oder Bürgeramt o.ä. assuren.

    „Piraten tendieren eher zu zuviel Paranoia als zuwenig :)“ - Offensichtlich nicht? Den allerwenigsten der Piraten trau ich zu, vernünftige Crypto zu betreiben und dieser Vorfall bestätigt das nur einmal mehr (nicht persönlich gemeint, tirsales ;) ). Die meisten (zumindest zu viele) Piraten sind eben tatsächlich eher Politiker, als Hacker.

    „Ein Web-of-Trust basiert ja auf dem Trust, und bei CaCert seh ich da jetzt spontan keinen Grund, daß die übermäßiges Vertrauen verdienen.“ - Der Organisation CAcert ist in jedem Fall mehr zu vertrauen, als dem SSL-Zertifikat deines Online-bankings, -shops o.ä. (und 98% der SSL-Vertrauensschenkung, die du tust bekommst du nicht mit), denn CAcert benutzt immerhin ein OpenSource-System und ist community getragen. Ausserdem kann dort (im Gegensatz zu PGP oder einem solchen Piraten-System) eben nicht jeder Hans-und-Franz einen Schlüssel bestätigen, sondern nur Leute, die hinreichend Erfahrung mit Assuring haben und eine extra Prüfung abgelegt.

    Insgesamt ist es DEUTLICH sinnvoller, CAcert zu unterstützen, als ne eigene CA aufzumachen, den SSL ist schlicht eine One-To-Many-Sache (für alles andere gibt es PGP) und eine obskure Piraten-CA ist wenig hilfreich, da einfach NIEMAND sie im Browser hat (dass DIE ihren Weg in moderne Browser findet, kann man vergessen). Jeder, der so ein Piraten-root-cert hinzufügen kann, ist über SSL auch gut genug aufgeklärt, um vernünftig mit der Fehlermeldung umzugehen. Es geht bei den kaputten Certs eben um Leute, die keine Ahnung haben, und sich dadurch angewöhnen, sie einfach weg zu klicken.

    In jedem Fall danke tirsales, für das CAcert-Zertifikat ;) Ich finde den Schritt sehr wertvoll ;)

  5. tirsales on 21. Oktober 2010 - 19:01

    Bitte ;)

    Und keine Angst – ich kenne mich mit Crypto gut genug aus. Mir war es nur schlicht sche** egal ob das SSL-Zertifikat meiner Webseite valide war (keine schützenswerten Daten im Stream) ;)

  6. Hanno (nicht überprüft) on 21. Oktober 2010 - 15:50

    "und SSL funktioniert grundlegend erstmal auf Basis der IP, nicht der Domain"

    Das ist aktuell nicht mehr ganz korrekt. Es gibt die Möglichkeit, auf Basis von Domains unterschiedliche Zertifikate auf der selben IP auszuliefern. Nennt sich SNI und wird zwischenzeitlich von praktisch allen Browsern und auch vom apache-Webserver unterstützt:

    http://de.wikipedia.org/wiki/Server_Name_Indication

    Und ansonsten ist die korrekte Empfehlung natürlich, dass möglichst viele sich das CAcert-Root-Zertifikat manuell installieren - dann käme - korrektes zertifikat vorausgesetzt - auch keine Warnung mehr.

    (im übrigen gibt es aber inzwischen auch einen Anbieter, der kostenlose Zertifikate ausstellt, die von den gängigen Browsern akzeptiert werden - StartSSL - aber ob man das unterstützen will oder lieber Community-feeling und CAcert ist dann halt geschmacksache)

  7. tirsales on 21. Oktober 2010 - 15:54

    Korrekt - nur läuft SNI eben nicht auf allen Browsern und mir war es bislang wichtig niemanden auszuschließen.

    Und ob ich nun eine mir unbekannte Firma mit der Validierung betraue oder das selbst mache ... für den Anwender ist es (im Endeffekt) die gleiche Unsicherheit.

    Und bei CaCERT brauchte man doch erstmal eine Bestätigung der eigenen Identität etc (50 Punkte IIRC, ist aber eine Weile her, dass ich geschaut hatte) ...