[Freifunk-Bonn] SSL-Zertifikat ... mal wieder

Arpad arpad-mueller at t-online.de
So Mai 11 20:02:46 CEST 2014


Ist das PositiveSSL-Zertifikat für *.kbu.freifunk.net oder nur für die
Addresse ohne Stern?
Falls mit Stern, dann ist mittelfristig b) die beste Alternative. CACert
ist zwar mein Favorit, aber man sollte Benutzbarkeit vor Idealismus stellen.
Wenn CACert zum Firefox-Pool hinzugefügt wird, können wir dann immer
noch auf CACert umstellen.

Zu Startssl: Aus Vertrauensgründen sollte man meiner Ansicht nach keine
CA auswählen, denn welcher Besucher prüft schon die CA nach? Wenn ich
durch einen side-channel (z.B. Besuch bei einem Freifunkertreffen) den
Namen der CA erfahren habe, und wirklich sicher gehen möchte, dann kann
ich mir genausogut auch den Fingerprint des öffentlichen Schlüssels des
Servers aushändigen lassen.
Zudem ist meiner Ansicht nach das CA-System sowieso kaputt. Vertrauen so
stark zu zentralisieren, und es dann noch zu verodern (d.h. du vertraust
jeder CA absolut, und solltest streng genommen in keinem WLAN oder Netz
einer dieser CAs surfen), ist offensichtlich extrem unsicher. Deshalb
ist, wenn man schnell reagiert, ist ein nichtzurückgezogenes
Heartbleed-StartSSL-Zertifikat nicht so viel schlimmer als die jetzige
Situation mit den CAs.

Wenn StartSSL aber wirklich die Einstellung, kostenlose Zertifikate
anzubiete, überdenken solle, dann kommt es wohl nicht mehr in Frage.

Was gibt es auf kbu.freifunk.net kritischen content wie z.B.
firmware-images?

Ich bin auf jeden Fall für ein allgemein akzeptiertes Zertifikat, denn
dann können wir mit HSTS https default machen, und einen
Downgrade-Angriff verhindern: http://dev.chromium.org/sts

https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json&q=f-droid&sq=package:chromium&type=cs

Am 05.05.2014 11:48 schrieb Jan Lühr:
> Hallo folks,
>
> ich wollt' nochmal um Feedback zum SSL-Zertifikat bitten. Insbesondere
> zur Frage, ob / wie wir SSL auf kbu.freifunk.net
> (register.kbu.freifunk.net, etc.) einsetzen möchten.
>
> 1. Aktuelle Situation:
> Wir verwenden Zertifikate, signiert von CACert. Normale
> Webseitenzugriffe sind unverschlüsselt - Zugangsdaten werden
> verschlüsselt übertragen.
>
> Problem hierbei ist, dass praktisch jedem Benutzer eine fiese
> Sicherheitswarnung angezeigt wird, da das CACert-Root-Zertifikat
> selten bei dem Nutzer Installiert ist.
> Gleichzeitig ist nicht jeder Zugriff verschlüsselt, s.d. es einfach
> ist, den Aufbau einer SSL-Verbindung zu unterbinden und Zugangsdaten
> abzugreifen.
> Leider gibt es bei CAcert zudem keine nutzerfreundliche Dokumentation,
> wie das Zertifikat installiert sicher werden kann. Wir haben nichts,
> was wir dem unbedarften Nutzer zur Hand geben können :-/
>
> 2. Mögliche Alternativen:
> a) StartSSL-Zertifikat.
> freifunk.net hat eine Organisations-Validierung durchlaufen und kann
> nun kostenlos StartSSL-Zertifikate ausstellen. Hierbei können wir
> SSL-Zertifikate für alle Domains erhalten, die keine Warnungen im
> Browser auslösen.
> Problem hierbei:
> - freifunk.net reagierte in den letzten Monaten vergleichsweise träge.
> Die Kommunikation war frustrierend und aufwändig. Es wäre denkbar,
> dass unser Zertifikat ausläuft, bevor wie ein neues haben
> - Im Rahmen von Heartbleed hat StartSSL viel Kritik einstecken müssen,
> da der Rückruf von Zertifikaten nicht kostenfrei ist. Das bedeutet,
> dass es für Webseiten verlockend ist, kompromittierte Zertifikate
> nicht zurück zurufen. D.h. der Benutzer sieht möglicherweise nicht,
> dass seine Daten abgefangen werden können.
> Ich vertraue StartSSL-Zertifikaten daher nicht mehr.
>
> b) PositiveSSL
> PositiveSSL ist eine Sub-CA von commodo, die für 15€ im Jahr ein
> Zertifikat für kbu.freifunk.net ausstellt. Das Root-Zertifikat ist in
> vielen Browsern enthalten und bereitet keine Probleme.
> Problem hierbei:
> Es fallen 15€ Kosten pro Jahr an.
>
> c) Weiterhin cacert-Zertifikat (Status-Quo)
> Wir hoffen, dass sich die CAcert Probleme in den nächsten 5-10 Jahren
> doch noch irgendwie lösen oder wirken aktiv an der Lösung mit (z.B.
> durch Erstellung einer netten Doku. "Foto-Story", abh. vom User-Agent,
> etc.)
> Problem hierbei:
> Siehe oben.
>
> Mein persönlicher Favorit ist b). Ich wäre bereit 15€ für ein Jahr auf
> den Tisch zu legen und zu hoffen, dass sich hoffentlich, irgendwann
> die Probleme bei CAcert.org gelöst haben. c) hat einen gewissen
> Charme, nur hab' ich leider nicht die Ressourcen hier in der nächsten
> Zeit einen sinnvollen Beitrag leisten zu können.
>
> Was meint Ihr?
>
> Btw. da mich das Thema SSL inzwischen leider ziemlich nervt, fänd' ich
> es cool, wenn mir jmd. dabei hilft. Insb. wenn jmd. (a) haben möchte
> sollte er am besten bereit sein, die Kommunikation mit freifunk.net
> und das Deployment der Zertifikate zu übernehmen :-).
>
> Gruß, Jan



Mehr Informationen über die Mailingliste Freifunk-Bonn