... Auf einem Debian-System etwa sollen die beiden Befehle apt-get install lets-encrypt und lets-encrypt your_server.com zur Erstellung und Installation ausreichen. Die jährlichen Aktualisierungen sollen sogar automatisch im Hintergrund ablaufen...
^^ Ich hoffe doch inständig, dass man dies auch manuell durchführen kann!
Die haben noch nie über diesen Einwand nachgedacht, sämtliche an dem Projekt beteiligten Personen sind nämlich völlig verblödet.
(Ja, natürlich kann man das alles auch zu Fuß machen. Nur schaltet die Hauptzielgruppe bei "führe openssl -req ..." mental ab und sucht sich einen SSL-Anbieter, der den Private Key für einen generiert und zusammen mit dem Zertifikat per Mail zuschickt. Deshalb der Fokus auf "guck mal, wie einfach das geht").
...Die ISRG ist eine gemeinnützige Organisation aus Kalifornien, die sich das Ziel gesetzt hat, eine sichere Kommunikation im Internet zu erleichtern...
Ehrlich, wirklich jetzt! Wer vertraut dennoch irgendwelchen Sachen in Punkto Sicherheit den US Amerikanern? Die mögen bestimmt tolle arbeit leisten, aber nach allem was man so weiß vertraue ich denen nicht, denn die können nicht nachweisen das die NSA und Konsorten nicht auch inside sind. Amerikaner können nicht Teil der Lösung sein sind sind nur Teil des Problems! Die einzigen die einen (noch) Vertrauensvorschuß haben sind die von der EFF!
Du musst einer CA nicht unbedingt vertrauen aber sie bekommen auch nichts in die Hand das irgendwie interessant sein könnte.
Das einzige was eine CA macht ist meinen Zertifikatsantrag zu unterschreiben. Sowohl im Zertifikat als auch im Antrag ist nichts vorhanden das privat bleiben sollte. Das einzige was bei einer Verschlüsselung geheim bleiben muss ist der Schlüssel und dieser verlässt niemals den Server.
Wenn du dich mal etwas damit beschäftigen würdest statt gleich den Aluhut rauszuholen würdest du vielleicht mal lernen wie so eine Verschlüsselung funktioniert.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 17. Jun 2015 um 18:10.
Doch doch, als Nutzer muss man einer CA schon vertrauen, denn wenn man ihr einmal traut, kann sie Zertifikate für jede Domain ausstellen und so den Mann-in-der-Mitte spielen.
Wenn anti also alle amerikanischen CAs aus seinem System gelöscht hat, ist sein/ihr Einwand durchaus berechtigt.
Mir wäre der Komfort-Verlust sicher zu hoch, aber jeder hat halt andere Sicherheitsbedürfnisse.
Für einmal Mann-in-der-Mitte spielen braucht ein Geheimdienst keine unabhängige CA um ihnen die Zertifikate auszustellen. Es gibt genug staatliche Stellen die als Root CA in den Browsern eingetragen sind.
Es wurde sogar mal eine westliche Behörde beim Schnüffeln erwischt aber es waren nicht die USA:
Im Grunde müsste man alle Stellen rauswerfen aber dann darfst du jedes Zertifikat einzeln bestätigen und ich möchte den mal sehen der auf einen Blick weiß ob das Zertifikat für die Seite echt ist oder nicht.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 18. Jun 2015 um 16:30.
Von kamome umidori am Mi, 17. Juni 2015 um 15:57 #
Hi anti,
verrat doch mal, welches Betriebssystem Du verwendest, Du wirst ja wohl keins verwenden, an dem US-Amerikaner mitarbeiten - oder gar eins, das einen US-Amerikaner Hauptentwickler hat (wie Linux).
... Auf einem Debian-System etwa sollen die beiden Befehle apt-get install lets-encrypt und lets-encrypt your_server.com zur Erstellung und Installation ausreichen. Die jährlichen Aktualisierungen sollen sogar automatisch im Hintergrund ablaufen...
^^ Ich hoffe doch inständig, dass man dies auch manuell durchführen kann!
Die haben noch nie über diesen Einwand nachgedacht, sämtliche an dem Projekt beteiligten Personen sind nämlich völlig verblödet.
(Ja, natürlich kann man das alles auch zu Fuß machen. Nur schaltet die Hauptzielgruppe bei "führe openssl -req ..." mental ab und sucht sich einen SSL-Anbieter, der den Private Key für einen generiert und zusammen mit dem Zertifikat per Mail zuschickt. Deshalb der Fokus auf "guck mal, wie einfach das geht").
So wie der momentane Stand des Client-Previews ist, kann mittels
ein Zertifikat generiert werden ohne dass es automatisch auch installiert wird.@PG
ECHT jetzt? WOW
@Miko
Danke
...Die ISRG ist eine gemeinnützige Organisation aus Kalifornien, die sich das Ziel gesetzt hat, eine sichere Kommunikation im Internet zu erleichtern...
Ehrlich, wirklich jetzt! Wer vertraut dennoch irgendwelchen Sachen in Punkto Sicherheit den US Amerikanern?
Die mögen bestimmt tolle arbeit leisten, aber nach allem was man so weiß vertraue ich denen nicht, denn die können nicht nachweisen das die NSA und Konsorten nicht auch inside sind.
Amerikaner können nicht Teil der Lösung sein sind sind nur Teil des Problems!
Die einzigen die einen (noch) Vertrauensvorschuß haben sind die von der EFF!
Die Nichtexistenz von etwas zu beweisen ist nicht möglich.
In der Mathematik schon. Man kann zB zeigen, dass eine Gleichung keine Lösung hat.
Du kannst den Kalifornianern in so weit vertrauen, dass deine kompletten Adresssaetze etc. bei der NSA landen.
Dafuer bekommst du den Siegel "trusted" und deine Besucher brauchen keine "unsicheren" Zertifikatie in ihren Browser importieren
btw ich brauch noch eine Meinung zu dem Thema
Du musst einer CA nicht unbedingt vertrauen aber sie bekommen auch nichts in die Hand das irgendwie interessant sein könnte.
Das einzige was eine CA macht ist meinen Zertifikatsantrag zu unterschreiben. Sowohl im Zertifikat als auch im Antrag ist nichts vorhanden das privat bleiben sollte. Das einzige was bei einer Verschlüsselung geheim bleiben muss ist der Schlüssel und dieser verlässt niemals den Server.
Wenn du dich mal etwas damit beschäftigen würdest statt gleich den Aluhut rauszuholen würdest du vielleicht mal lernen wie so eine Verschlüsselung funktioniert.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 17. Jun 2015 um 18:10.Doch doch, als Nutzer muss man einer CA schon vertrauen, denn wenn man ihr einmal traut, kann sie Zertifikate für jede Domain ausstellen und so den Mann-in-der-Mitte spielen.
Wenn anti also alle amerikanischen CAs aus seinem System gelöscht hat, ist sein/ihr Einwand durchaus berechtigt.
Mir wäre der Komfort-Verlust sicher zu hoch, aber jeder hat halt andere Sicherheitsbedürfnisse.
Für einmal Mann-in-der-Mitte spielen braucht ein Geheimdienst keine unabhängige CA um ihnen die Zertifikate auszustellen.
Es gibt genug staatliche Stellen die als Root CA in den Browsern eingetragen sind.
Es wurde sogar mal eine westliche Behörde beim Schnüffeln erwischt aber es waren nicht die USA:
http://www.heise.de/security/meldung/Google-erwischt-franzoesische-Behoerde-beim-Schnueffeln-2062479.html
Im Grunde müsste man alle Stellen rauswerfen aber dann darfst du jedes Zertifikat einzeln bestätigen und ich möchte den mal sehen der auf einen Blick weiß ob das Zertifikat für die Seite echt ist oder nicht.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 18. Jun 2015 um 16:30.Ja, sag ich doch.
Hi anti,
verrat doch mal, welches Betriebssystem Du verwendest, Du wirst ja wohl keins verwenden, an dem US-Amerikaner mitarbeiten - oder gar eins, das einen US-Amerikaner Hauptentwickler hat (wie Linux).