Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Let’s Encrypt gibt bald auch Wildcard-Zertifikate aus

47 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von asdassadsa am Fr, 7. Juli 2017 um 09:30 #

Die sollten entweder eine längere Gültigkeitsperiode anbieten oder ein Automatisierungskript für renewal bereitstellen.

Online gibt es wie immer nur Frickel-Lösungen. Die meisten haben bei mir nur in Ausnahmefällen zufriedenstellende Ergebnisse geliefert.

  • 1
    Von devil am Fr, 7. Juli 2017 um 09:42 #

    Mit systemd-timer geht das hier mittlerweile ganz gut

    • 1
      Von asdassadsa am Fr, 7. Juli 2017 um 09:57 #

      Ich möchte mir nichts selbst programmieren :? Meine Zeit ist mir zu teuer zum Frickeln.

      • 1
        Von asdasdasd am Fr, 7. Juli 2017 um 10:06 #

        Mach dich mal kundig, bevor du einen "Ich bin ja kein Frickler" Kommentar los lässt.

        wiki.archlinux.org/index.php/Let's_Encrypt

        • 1
          Von asdassadsa am Fr, 7. Juli 2017 um 10:34 #

          Ist ein guter Zwischenschritt. Danke für den Tipp.

          Eine bessere Lösung wäre zumindest ein flag -auto-renew im Paket.

          Eine echte Lösung wäre eine GUI zum Zusammenklicken der Optionen :-) Dann kann es Jeder und Keiner muss in die Konsole Flags oder Manpages lesen.

          • 1
            Von Ermittler am Fr, 7. Juli 2017 um 10:45 #

            […] Eine echte Lösung wäre eine GUI zum Zusammenklicken der Optionen […] Dann kann es Jeder und Keiner muss in die Konsole Flags oder Manpages lesen.

            Da ist natürlich die ideale Lösung für retardierte Mausschubser oder Nerds in fahlem Licht, das durch die kleine Scheibe aus Milchglas in ihrer Souterrain-Wohnung kommt. Nicht jeder muss alles können. Und wer alles können will, muss entsprechend lernfähig sein. m(

            • 1
              Von asdassadsa am Fr, 7. Juli 2017 um 10:48 #

              Wissen wächst exponentiell. In jedem Bereich. Insbesondere in der Informatik. Genau so schnell werden dort Dinge auch obsolet. Deswegen macht es kein Sinn ins Detail zu gehen solange du damit nicht Geld verdienst. Es gibt genügend andere Dinge mit denen man sich sonst nebenbei plagen muss.

              • 0
                Von RipClaw am Sa, 8. Juli 2017 um 07:01 #

                Eigentlich wird mit der Aussage "Wer kein Geld ausgeben will für den macht es Sinn ins Detail zu gehen" ein Schuh draus.

                Wenn man einen Server betreiben will aber sich nicht auskennt, dann muss man wohl oder übel jemanden dafür bezahlen der sich auskennt und das dann übernimmt. Einen Angreifer interessiert es nicht ob nur Hobby Admin bist oder nicht. Das ist die bittere Realität.

                Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 07:03.
            0
            Von RipClaw am Sa, 8. Juli 2017 um 05:39 #

            Mit certbot renew werden alle Zertifikat erneuert die in weniger als 30 Tagen ablaufen.
            Das in einem Cronjob und man hat hier keine Probleme.

            Wer sich übrigens überhaupt nicht mit Serverkonfiguration auseinandersetzen will kann ja auch auf entsprechende Systemverwaltungen zurückgreifen die teilweise eine Let's Encrypt Unterstützung bereits in der Oberfläche integriert haben.

            Beispiele hierfür wären Plesk, Froxlor oder Liveconfig.

            Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 08:27.
        1
        Von Kay am Fr, 7. Juli 2017 um 10:06 #

        Ob es die Menschheit wohl noch erleben darf, einen Beitrag von Dir zu lesen, in dem nicht das Wort "frickel" vorkommt?

        Ich frage mich, was Deine Zeit wert ist, wenn dich schon die einfachsten Dinge zu überfordern scheinen.

        • 1
          Von asdassadsa am Fr, 7. Juli 2017 um 10:37 #

          Ich denke das wird soweit sein, wenn Android sich auf dem Desktop durchsetzt und dadurch alle frickel Distris statistisch gesehen ins Hintergrundrauschen schickt. Mich regt mein Debian von Zeit zu Zeit einfach nur auf.

          Kannst dir ja ein Greasemonkey Script frickeln, dass solche Kommentare einfach ausblendet :D

        1
        Von Ermittler am Fr, 7. Juli 2017 um 10:39 #

        […] Meine Zeit ist mir zu teuer zum Frickeln.

        So wertvoll kann sie ja nun nicht sein, wenn sie mit der Abfassung substanzloser Kommentare vergeudet wird. Das alles passt dann besser in ein Forum, das sich mit der ach so tollen Fensterwelt aus Redmond beschäftigt. m(

        0
        Von TheMiddle am Fr, 7. Juli 2017 um 15:10 #

        Zieh bitte ins Computerbild Forum um.
        Dort ist deine wertvolle Zeit viel besser investiert ;-)

        0
        Von Verflucht am Fr, 7. Juli 2017 um 22:03 #

        Für dämliche posts hast du offenbar genug Zeit...

      0
      Von schmidicom am Fr, 7. Juli 2017 um 11:37 #

      Naja ein Timer-Unit oder cronjob allein reicht ja nicht ganz aus, zumindest nicht wenn der eigentliche Webserver die Ports belegt welche cerbot benutzen möchte. Klar gibt es auch dafür eine mehr oder weniger offizielle Lösung aber auch die erhöht den Aufwand für das einrichten einer funktionierenden Automatisierung doch recht deutlich.

      Also der Client certbot dürfte da schon noch etwas benutzerfreundlicher werden.

    1
    Von Gast am Fr, 7. Juli 2017 um 10:11 #

    Also wenn man nicht mal einen Croneintrag anlegen kann, dann soll man es mal ganz lassen.

    0
    Von Verflucht am Fr, 7. Juli 2017 um 21:05 #

    Du hast genau NICHTS verstanden - Die Gültigkeitsdauer wird sogar noch runter gehen und es spielt auch keine Rolle weil letsencrypt niemals dafür gedacht wurde dass du wie ein Trottel in den 1990ern alles manuell machst sondern vollautomatisiert für 100, 500, 1000 Zertifikate und das setzt man genau einmal ordentlich auf pro Server

    Warum die kurze Dauer? Weil es durch die automatisierung keine Rolle spielt und der Verlust des private key damit weniger problematisch ist anstatt den für 5 Jahre missbrauchen zu können

    • 0
      Von BB am Mo, 10. Juli 2017 um 15:30 #

      Den Verlust des Private keys. Aha. Die Überlegung dahinter muss genau die selbe sein, wie: dass ich all zwei Monate Mein Passwort ändern muss. Wird es bekannt, ist es weniger schlimm.

      Ich neme an, der Handwerker baut dir auch alle 2 Monate ein neues schloss in deine Tür? Weil der Verlust eines Schlüssels ist dann weniger schlimm.

      Ich passe halt auf auf meine digitalen und realen schlüssel. Und meine Passwörter verrate ich auch keinem. Alles andere ist "Das Problem von der falschen Seite aufgewickelt".

      Wie um alles in der Welt kann man nur einen private Key verlieren? hast du ihn auf Google drive gespeichert oder wie? Bei Dropbox?

1
Von Verschlüsselt am Fr, 7. Juli 2017 um 10:15 #

Das ist völlig unverantwortlich. Dann reicht ein Einbruch in einen Webserver aus, um (kostenlos, und deshalb in großem Stil) sämtliche Systeme der gleichen Domain per Wildcard-Zertifikat zu kompromittieren.

  • 1
    Von asdassadsa am Fr, 7. Juli 2017 um 10:28 #

    Liegt doch am Admin ob er das nutzt oder nicht?

    • 1
      Von Verschlüsselt am Fr, 7. Juli 2017 um 11:35 #

      Nein - wenn ein Webserver gehackt wird, können solche Wildcard-Zertifikate auch von einem Angreifer missbraucht werden.

      Zum Beispiel kann der kompromittierte Webserver die IP-Adresse eines anderen Systems im gleichen DMZ-Subnetz übernehmen, beispielsweise eines Mailservers, und seine MITM-Position dank des Wildcard-Zertifikats trotzdem korrekt per SSL "authentifizieren". (Das andere System per Denial-of-Service, vorher lahmzulegen, ist keine unüberwindliche Hürde.)

      • 0
        Von asdassadsa am Fr, 7. Juli 2017 um 13:02 #

        Wir reden an einander vorbei. Kein Admin wird auf einem produktiv genutzen Server Wildcard Zertifikate erstellen. Diese Möglichkeit hilft eher Privatleuten. Hoffe ich zumindest.

        • 0
          Von kamome umidori am Fr, 7. Juli 2017 um 13:30 #
          0
          Von Verschlüsselt am Fr, 7. Juli 2017 um 21:06 #

          Und wie will der "Admin" verhindern, dass über einen gehackten Webserver Wildcard-Zertifikate erstellt werden können, die dann den Einbruch in weitere (DMZ-)Server ermöglichen? Schließlich kann nicht nur der "legitime" Admin solche Zertifikate von "Let's Encrypt" ausstellen lassen, sobald er "root"-Zugriff hat...

          Ich bleibe dabei: allein die Möglichkeit kostenloser Wildcard-Zertifikate macht völlig neue Szenarien von HTTPS-Kompromittierungen für ganze Domains erst möglich.

          • 0
            Von Verschlüsselt am Sa, 8. Juli 2017 um 00:21 #

            Okay, ich nehme alles zurück - so wie es aussieht, wird bei Wildcard-Zertifikaten der DNS-Eintrag zur Bestätigung des Domainbesitzes nicht mehr optional sein. Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen.

            • 0
              Von Shalok Shalom am Mi, 12. Juli 2017 um 08:38 #

              " Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen."

              Ich nehm an, dass ändert sich vielleicht noch?

          1
          Von Verflucht am Fr, 7. Juli 2017 um 22:13 #

          Ja Trottel kein admin wird im Kontext des public Webservers auch nur irgendwelche Zertifikate erzeugen und für den Homedeppen stellt sich das Problem sowieso nicht - Wo ist nun genau nochmal das Problem?

    0
    Von kamome umidori am Fr, 7. Juli 2017 um 13:36 #

    Je nach Architektur kann sich der pöse Cracker auf dem Webserver aber ggf. auch für jede zu missbrauchende Domain ein einzelnes Zertifikat ausstellen lassen – wahrscheinlich ist es eine gute Idee, sich seine Server nicht übernehmen zu lassen ;)

0
Von doggy29 am Mo, 10. Juli 2017 um 14:48 #

Schön aber was bringt es aber mir, wenn mein Provider mir dies nicht zur Verfügung stellt. Nicht jeder betreibt einen eigenen Server. Die jetzig ausgestellten Zertifikate meines Providers sind nicht Domain bezogen, so dass ich meine Seiten wieder auf http umstellen kann oder mir wieder kostenpflichtige Zertifikate kaufen darf.

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung