[Freifunk-Bonn] SSL-Zertifikat ... mal wieder

[Jan Lühr]

Hallo folks,

ich wollt' nochmal um Feedback zum SSL-Zertifikat bitten. Insbesondere
zur Frage, ob / wie wir SSL auf kbu.freifunk.net
(register.kbu.freifunk.net, etc.) einsetzen möchten.

1. Aktuelle Situation:
Wir verwenden Zertifikate, signiert von CACert. Normale
Webseitenzugriffe sind unverschlüsselt - Zugangsdaten werden
verschlüsselt übertragen.

Problem hierbei ist, dass praktisch jedem Benutzer eine fiese
Sicherheitswarnung angezeigt wird, da das CACert-Root-Zertifikat
selten bei dem Nutzer Installiert ist.
Gleichzeitig ist nicht jeder Zugriff verschlüsselt, s.d. es einfach
ist, den Aufbau einer SSL-Verbindung zu unterbinden und Zugangsdaten
abzugreifen.
Leider gibt es bei CAcert zudem keine nutzerfreundliche Dokumentation,
wie das Zertifikat installiert sicher werden kann. Wir haben nichts,
was wir dem unbedarften Nutzer zur Hand geben können :-/

2. Mögliche Alternativen:
a) StartSSL-Zertifikat.
freifunk.net hat eine Organisations-Validierung durchlaufen und kann
nun kostenlos StartSSL-Zertifikate ausstellen. Hierbei können wir
SSL-Zertifikate für alle Domains erhalten, die keine Warnungen im
Browser auslösen.
Problem hierbei:
- freifunk.net reagierte in den letzten Monaten vergleichsweise träge.
Die Kommunikation war frustrierend und aufwändig. Es wäre denkbar,
dass unser Zertifikat ausläuft, bevor wie ein neues haben
- Im Rahmen von Heartbleed hat StartSSL viel Kritik einstecken müssen,
da der Rückruf von Zertifikaten nicht kostenfrei ist. Das bedeutet,
dass es für Webseiten verlockend ist, kompromittierte Zertifikate
nicht zurück zurufen. D.h. der Benutzer sieht möglicherweise nicht,
dass seine Daten abgefangen werden können.
Ich vertraue StartSSL-Zertifikaten daher nicht mehr.

b) PositiveSSL
PositiveSSL ist eine Sub-CA von commodo, die für 15€ im Jahr ein
Zertifikat für kbu.freifunk.net ausstellt. Das Root-Zertifikat ist in
vielen Browsern enthalten und bereitet keine Probleme.
Problem hierbei:
Es fallen 15€ Kosten pro Jahr an.

c) Weiterhin cacert-Zertifikat (Status-Quo)
Wir hoffen, dass sich die CAcert Probleme in den nächsten 5-10 Jahren
doch noch irgendwie lösen oder wirken aktiv an der Lösung mit (z.B.
durch Erstellung einer netten Doku. "Foto-Story", abh. vom User-Agent,
etc.)
Problem hierbei:
Siehe oben.

Mein persönlicher Favorit ist b). Ich wäre bereit 15€ für ein Jahr auf
den Tisch zu legen und zu hoffen, dass sich hoffentlich, irgendwann
die Probleme bei CAcert.org gelöst haben. c) hat einen gewissen
Charme, nur hab' ich leider nicht die Ressourcen hier in der nächsten
Zeit einen sinnvollen Beitrag leisten zu können.

Was meint Ihr?

Btw. da mich das Thema SSL inzwischen leider ziemlich nervt, fänd' ich
es cool, wenn mir jmd. dabei hilft. Insb. wenn jmd. (a) haben möchte
sollte er am besten bereit sein, die Kommunikation mit freifunk.net
und das Deployment der Zertifikate zu übernehmen :-).

Gruß, Jan