[Freifunk-Bonn] SSL-Zertifikat ... mal wieder
dschuwa at posteo.de
dschuwa at posteo.de
Mo Mai 5 14:06:26 CEST 2014
Hallo Jan,
ich wäre auch für b)
An den 15 Euro pro Jahr soll es nicht scheitern, sprich ich würde auch
15 Euro für ein Jahr dazu tun.
Viele Grüße
Dirk
Username: dschuwa
Am 05.05.2014 11:48 schrieb Jan Lühr:
> Hallo folks,
>
> ich wollt' nochmal um Feedback zum SSL-Zertifikat bitten. Insbesondere
> zur Frage, ob / wie wir SSL auf kbu.freifunk.net
> (register.kbu.freifunk.net, etc.) einsetzen möchten.
>
> 1. Aktuelle Situation:
> Wir verwenden Zertifikate, signiert von CACert. Normale
> Webseitenzugriffe sind unverschlüsselt - Zugangsdaten werden
> verschlüsselt übertragen.
>
> Problem hierbei ist, dass praktisch jedem Benutzer eine fiese
> Sicherheitswarnung angezeigt wird, da das CACert-Root-Zertifikat
> selten bei dem Nutzer Installiert ist.
> Gleichzeitig ist nicht jeder Zugriff verschlüsselt, s.d. es einfach
> ist, den Aufbau einer SSL-Verbindung zu unterbinden und Zugangsdaten
> abzugreifen.
> Leider gibt es bei CAcert zudem keine nutzerfreundliche Dokumentation,
> wie das Zertifikat installiert sicher werden kann. Wir haben nichts,
> was wir dem unbedarften Nutzer zur Hand geben können :-/
>
> 2. Mögliche Alternativen:
> a) StartSSL-Zertifikat.
> freifunk.net hat eine Organisations-Validierung durchlaufen und kann
> nun kostenlos StartSSL-Zertifikate ausstellen. Hierbei können wir
> SSL-Zertifikate für alle Domains erhalten, die keine Warnungen im
> Browser auslösen.
> Problem hierbei:
> - freifunk.net reagierte in den letzten Monaten vergleichsweise träge.
> Die Kommunikation war frustrierend und aufwändig. Es wäre denkbar,
> dass unser Zertifikat ausläuft, bevor wie ein neues haben
> - Im Rahmen von Heartbleed hat StartSSL viel Kritik einstecken müssen,
> da der Rückruf von Zertifikaten nicht kostenfrei ist. Das bedeutet,
> dass es für Webseiten verlockend ist, kompromittierte Zertifikate
> nicht zurück zurufen. D.h. der Benutzer sieht möglicherweise nicht,
> dass seine Daten abgefangen werden können.
> Ich vertraue StartSSL-Zertifikaten daher nicht mehr.
>
> b) PositiveSSL
> PositiveSSL ist eine Sub-CA von commodo, die für 15€ im Jahr ein
> Zertifikat für kbu.freifunk.net ausstellt. Das Root-Zertifikat ist in
> vielen Browsern enthalten und bereitet keine Probleme.
> Problem hierbei:
> Es fallen 15€ Kosten pro Jahr an.
>
> c) Weiterhin cacert-Zertifikat (Status-Quo)
> Wir hoffen, dass sich die CAcert Probleme in den nächsten 5-10 Jahren
> doch noch irgendwie lösen oder wirken aktiv an der Lösung mit (z.B.
> durch Erstellung einer netten Doku. "Foto-Story", abh. vom User-Agent,
> etc.)
> Problem hierbei:
> Siehe oben.
>
> Mein persönlicher Favorit ist b). Ich wäre bereit 15€ für ein Jahr auf
> den Tisch zu legen und zu hoffen, dass sich hoffentlich, irgendwann
> die Probleme bei CAcert.org gelöst haben. c) hat einen gewissen
> Charme, nur hab' ich leider nicht die Ressourcen hier in der nächsten
> Zeit einen sinnvollen Beitrag leisten zu können.
>
> Was meint Ihr?
>
> Btw. da mich das Thema SSL inzwischen leider ziemlich nervt, fänd' ich
> es cool, wenn mir jmd. dabei hilft. Insb. wenn jmd. (a) haben möchte
> sollte er am besten bereit sein, die Kommunikation mit freifunk.net
> und das Deployment der Zertifikate zu übernehmen :-).
>
> Gruß, Jan
Mehr Informationen über die Mailingliste Freifunk-Bonn