[…] Eine echte Lösung wäre eine GUI zum Zusammenklicken der Optionen […] Dann kann es Jeder und Keiner muss in die Konsole Flags oder Manpages lesen.
Da ist natürlich die ideale Lösung für retardierte Mausschubser oder Nerds in fahlem Licht, das durch die kleine Scheibe aus Milchglas in ihrer Souterrain-Wohnung kommt. Nicht jeder muss alles können. Und wer alles können will, muss entsprechend lernfähig sein. m(
Wissen wächst exponentiell. In jedem Bereich. Insbesondere in der Informatik. Genau so schnell werden dort Dinge auch obsolet. Deswegen macht es kein Sinn ins Detail zu gehen solange du damit nicht Geld verdienst. Es gibt genügend andere Dinge mit denen man sich sonst nebenbei plagen muss.
Eigentlich wird mit der Aussage "Wer kein Geld ausgeben will für den macht es Sinn ins Detail zu gehen" ein Schuh draus.
Wenn man einen Server betreiben will aber sich nicht auskennt, dann muss man wohl oder übel jemanden dafür bezahlen der sich auskennt und das dann übernimmt. Einen Angreifer interessiert es nicht ob nur Hobby Admin bist oder nicht. Das ist die bittere Realität.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 07:03.
Mit certbot renew werden alle Zertifikat erneuert die in weniger als 30 Tagen ablaufen. Das in einem Cronjob und man hat hier keine Probleme.
Wer sich übrigens überhaupt nicht mit Serverkonfiguration auseinandersetzen will kann ja auch auf entsprechende Systemverwaltungen zurückgreifen die teilweise eine Let's Encrypt Unterstützung bereits in der Oberfläche integriert haben.
Beispiele hierfür wären Plesk, Froxlor oder Liveconfig.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 08:27.
Ist das bei ISPConfig inzwischen fest integriert ? Das letzte mal als ich nachgesehen habe musste man sich noch von Github ein Skript runterladen das ISPConfig um diese Funktion erweitert.
Was die Sache angeht das man sich das erst einrichten muss, ja das ist in der Regel so aber es gibt auch viele Hoster die Server mit diesen Oberflächen vorinstalliert anbieten.
Ich denke das wird soweit sein, wenn Android sich auf dem Desktop durchsetzt und dadurch alle frickel Distris statistisch gesehen ins Hintergrundrauschen schickt. Mich regt mein Debian von Zeit zu Zeit einfach nur auf.
Kannst dir ja ein Greasemonkey Script frickeln, dass solche Kommentare einfach ausblendet
So wertvoll kann sie ja nun nicht sein, wenn sie mit der Abfassung substanzloser Kommentare vergeudet wird. Das alles passt dann besser in ein Forum, das sich mit der ach so tollen Fensterwelt aus Redmond beschäftigt. m(
Naja ein Timer-Unit oder cronjob allein reicht ja nicht ganz aus, zumindest nicht wenn der eigentliche Webserver die Ports belegt welche cerbot benutzen möchte. Klar gibt es auch dafür eine mehr oder weniger offizielle Lösung aber auch die erhöht den Aufwand für das einrichten einer funktionierenden Automatisierung doch recht deutlich.
Also der Client certbot dürfte da schon noch etwas benutzerfreundlicher werden.
Du hast genau NICHTS verstanden - Die Gültigkeitsdauer wird sogar noch runter gehen und es spielt auch keine Rolle weil letsencrypt niemals dafür gedacht wurde dass du wie ein Trottel in den 1990ern alles manuell machst sondern vollautomatisiert für 100, 500, 1000 Zertifikate und das setzt man genau einmal ordentlich auf pro Server
Warum die kurze Dauer? Weil es durch die automatisierung keine Rolle spielt und der Verlust des private key damit weniger problematisch ist anstatt den für 5 Jahre missbrauchen zu können
Den Verlust des Private keys. Aha. Die Überlegung dahinter muss genau die selbe sein, wie: dass ich all zwei Monate Mein Passwort ändern muss. Wird es bekannt, ist es weniger schlimm.
Ich neme an, der Handwerker baut dir auch alle 2 Monate ein neues schloss in deine Tür? Weil der Verlust eines Schlüssels ist dann weniger schlimm.
Ich passe halt auf auf meine digitalen und realen schlüssel. Und meine Passwörter verrate ich auch keinem. Alles andere ist "Das Problem von der falschen Seite aufgewickelt".
Wie um alles in der Welt kann man nur einen private Key verlieren? hast du ihn auf Google drive gespeichert oder wie? Bei Dropbox?
Das ist völlig unverantwortlich. Dann reicht ein Einbruch in einen Webserver aus, um (kostenlos, und deshalb in großem Stil) sämtliche Systeme der gleichen Domain per Wildcard-Zertifikat zu kompromittieren.
Nein - wenn ein Webserver gehackt wird, können solche Wildcard-Zertifikate auch von einem Angreifer missbraucht werden.
Zum Beispiel kann der kompromittierte Webserver die IP-Adresse eines anderen Systems im gleichen DMZ-Subnetz übernehmen, beispielsweise eines Mailservers, und seine MITM-Position dank des Wildcard-Zertifikats trotzdem korrekt per SSL "authentifizieren". (Das andere System per Denial-of-Service, vorher lahmzulegen, ist keine unüberwindliche Hürde.)
Wir reden an einander vorbei. Kein Admin wird auf einem produktiv genutzen Server Wildcard Zertifikate erstellen. Diese Möglichkeit hilft eher Privatleuten. Hoffe ich zumindest.
Und wie will der "Admin" verhindern, dass über einen gehackten Webserver Wildcard-Zertifikate erstellt werden können, die dann den Einbruch in weitere (DMZ-)Server ermöglichen? Schließlich kann nicht nur der "legitime" Admin solche Zertifikate von "Let's Encrypt" ausstellen lassen, sobald er "root"-Zugriff hat...
Ich bleibe dabei: allein die Möglichkeit kostenloser Wildcard-Zertifikate macht völlig neue Szenarien von HTTPS-Kompromittierungen für ganze Domains erst möglich.
Okay, ich nehme alles zurück - so wie es aussieht, wird bei Wildcard-Zertifikaten der DNS-Eintrag zur Bestätigung des Domainbesitzes nicht mehr optional sein. Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen.
Ja Trottel kein admin wird im Kontext des public Webservers auch nur irgendwelche Zertifikate erzeugen und für den Homedeppen stellt sich das Problem sowieso nicht - Wo ist nun genau nochmal das Problem?
Je nach Architektur kann sich der pöse Cracker auf dem Webserver aber ggf. auch für jede zu missbrauchende Domain ein einzelnes Zertifikat ausstellen lassen – wahrscheinlich ist es eine gute Idee, sich seine Server nicht übernehmen zu lassen
Schön aber was bringt es aber mir, wenn mein Provider mir dies nicht zur Verfügung stellt. Nicht jeder betreibt einen eigenen Server. Die jetzig ausgestellten Zertifikate meines Providers sind nicht Domain bezogen, so dass ich meine Seiten wieder auf http umstellen kann oder mir wieder kostenpflichtige Zertifikate kaufen darf.
Die sollten entweder eine längere Gültigkeitsperiode anbieten oder ein Automatisierungskript für renewal bereitstellen.
Online gibt es wie immer nur Frickel-Lösungen. Die meisten haben bei mir nur in Ausnahmefällen zufriedenstellende Ergebnisse geliefert.
Mit systemd-timer geht das hier mittlerweile ganz gut
Ich möchte mir nichts selbst programmieren
Meine Zeit ist mir zu teuer zum Frickeln.
Mach dich mal kundig, bevor du einen "Ich bin ja kein Frickler" Kommentar los lässt.
wiki.archlinux.org/index.php/Let's_Encrypt
Ist ein guter Zwischenschritt. Danke für den Tipp.
Eine bessere Lösung wäre zumindest ein flag -auto-renew im Paket.
Eine echte Lösung wäre eine GUI zum Zusammenklicken der Optionen
Dann kann es Jeder und Keiner muss in die Konsole Flags oder Manpages lesen.
Da ist natürlich die ideale Lösung für retardierte Mausschubser oder Nerds in fahlem Licht, das durch die kleine Scheibe aus Milchglas in ihrer Souterrain-Wohnung kommt. Nicht jeder muss alles können. Und wer alles können will, muss entsprechend lernfähig sein. m(
Wissen wächst exponentiell. In jedem Bereich. Insbesondere in der Informatik. Genau so schnell werden dort Dinge auch obsolet. Deswegen macht es kein Sinn ins Detail zu gehen solange du damit nicht Geld verdienst. Es gibt genügend andere Dinge mit denen man sich sonst nebenbei plagen muss.
Eigentlich wird mit der Aussage "Wer kein Geld ausgeben will für den macht es Sinn ins Detail zu gehen" ein Schuh draus.
Wenn man einen Server betreiben will aber sich nicht auskennt, dann muss man wohl oder übel jemanden dafür bezahlen der sich auskennt und das dann übernimmt. Einen Angreifer interessiert es nicht ob nur Hobby Admin bist oder nicht. Das ist die bittere Realität.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 07:03.Mit certbot renew werden alle Zertifikat erneuert die in weniger als 30 Tagen ablaufen.
Das in einem Cronjob und man hat hier keine Probleme.
Wer sich übrigens überhaupt nicht mit Serverkonfiguration auseinandersetzen will kann ja auch auf entsprechende Systemverwaltungen zurückgreifen die teilweise eine Let's Encrypt Unterstützung bereits in der Oberfläche integriert haben.
Beispiele hierfür wären Plesk, Froxlor oder Liveconfig.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Jul 2017 um 08:27.Auch ISPConfig … aber die müssen ja auch erst mal eingerichtet sein …
Ist das bei ISPConfig inzwischen fest integriert ? Das letzte mal als ich nachgesehen habe musste man sich noch von Github ein Skript runterladen das ISPConfig um diese Funktion erweitert.
Was die Sache angeht das man sich das erst einrichten muss, ja das ist in der Regel so aber es gibt auch viele Hoster die Server mit diesen Oberflächen vorinstalliert anbieten.
Dafür gibts https://caddyserver.com/features
Ob es die Menschheit wohl noch erleben darf, einen Beitrag von Dir zu lesen, in dem nicht das Wort "frickel" vorkommt?
Ich frage mich, was Deine Zeit wert ist, wenn dich schon die einfachsten Dinge zu überfordern scheinen.
Ich denke das wird soweit sein, wenn Android sich auf dem Desktop durchsetzt und dadurch alle frickel Distris statistisch gesehen ins Hintergrundrauschen schickt. Mich regt mein Debian von Zeit zu Zeit einfach nur auf.
Kannst dir ja ein Greasemonkey Script frickeln, dass solche Kommentare einfach ausblendet
So wertvoll kann sie ja nun nicht sein, wenn sie mit der Abfassung substanzloser Kommentare vergeudet wird. Das alles passt dann besser in ein Forum, das sich mit der ach so tollen Fensterwelt aus Redmond beschäftigt. m(
Zieh bitte ins Computerbild Forum um.
Dort ist deine wertvolle Zeit viel besser investiert
Für dämliche posts hast du offenbar genug Zeit...
Naja ein Timer-Unit oder cronjob allein reicht ja nicht ganz aus, zumindest nicht wenn der eigentliche Webserver die Ports belegt welche cerbot benutzen möchte. Klar gibt es auch dafür eine mehr oder weniger offizielle Lösung aber auch die erhöht den Aufwand für das einrichten einer funktionierenden Automatisierung doch recht deutlich.
Also der Client certbot dürfte da schon noch etwas benutzerfreundlicher werden.
Wird er bestimmt noch werden. Die entwickeln halt nach dem Prinzip "first things first"
Also wenn man nicht mal einen Croneintrag anlegen kann, dann soll man es mal ganz lassen.
Du hast genau NICHTS verstanden - Die Gültigkeitsdauer wird sogar noch runter gehen und es spielt auch keine Rolle weil letsencrypt niemals dafür gedacht wurde dass du wie ein Trottel in den 1990ern alles manuell machst sondern vollautomatisiert für 100, 500, 1000 Zertifikate und das setzt man genau einmal ordentlich auf pro Server
Warum die kurze Dauer? Weil es durch die automatisierung keine Rolle spielt und der Verlust des private key damit weniger problematisch ist anstatt den für 5 Jahre missbrauchen zu können
Den Verlust des Private keys. Aha. Die Überlegung dahinter muss genau die selbe sein, wie: dass ich all zwei Monate Mein Passwort ändern muss. Wird es bekannt, ist es weniger schlimm.
Ich neme an, der Handwerker baut dir auch alle 2 Monate ein neues schloss in deine Tür? Weil der Verlust eines Schlüssels ist dann weniger schlimm.
Ich passe halt auf auf meine digitalen und realen schlüssel. Und meine Passwörter verrate ich auch keinem. Alles andere ist "Das Problem von der falschen Seite aufgewickelt".
Wie um alles in der Welt kann man nur einen private Key verlieren? hast du ihn auf Google drive gespeichert oder wie? Bei Dropbox?
Das ist völlig unverantwortlich. Dann reicht ein Einbruch in einen Webserver aus, um (kostenlos, und deshalb in großem Stil) sämtliche Systeme der gleichen Domain per Wildcard-Zertifikat zu kompromittieren.
Liegt doch am Admin ob er das nutzt oder nicht?
Nein - wenn ein Webserver gehackt wird, können solche Wildcard-Zertifikate auch von einem Angreifer missbraucht werden.
Zum Beispiel kann der kompromittierte Webserver die IP-Adresse eines anderen Systems im gleichen DMZ-Subnetz übernehmen, beispielsweise eines Mailservers, und seine MITM-Position dank des Wildcard-Zertifikats trotzdem korrekt per SSL "authentifizieren". (Das andere System per Denial-of-Service, vorher lahmzulegen, ist keine unüberwindliche Hürde.)
Wir reden an einander vorbei. Kein Admin wird auf einem produktiv genutzen Server Wildcard Zertifikate erstellen. Diese Möglichkeit hilft eher Privatleuten. Hoffe ich zumindest.
Kein Admin niemals nicht!
:huh:
Und wie will der "Admin" verhindern, dass über einen gehackten Webserver Wildcard-Zertifikate erstellt werden können, die dann den Einbruch in weitere (DMZ-)Server ermöglichen? Schließlich kann nicht nur der "legitime" Admin solche Zertifikate von "Let's Encrypt" ausstellen lassen, sobald er "root"-Zugriff hat...
Ich bleibe dabei: allein die Möglichkeit kostenloser Wildcard-Zertifikate macht völlig neue Szenarien von HTTPS-Kompromittierungen für ganze Domains erst möglich.
Okay, ich nehme alles zurück - so wie es aussieht, wird bei Wildcard-Zertifikaten der DNS-Eintrag zur Bestätigung des Domainbesitzes nicht mehr optional sein. Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen.
" Allerdings ist die Beantragung dann auch nicht mehr komplett automatisierbar, sondern die initialen DNS-Einträge müssen manuell erfolgen."
Ich nehm an, dass ändert sich vielleicht noch?
Ja Trottel kein admin wird im Kontext des public Webservers auch nur irgendwelche Zertifikate erzeugen und für den Homedeppen stellt sich das Problem sowieso nicht - Wo ist nun genau nochmal das Problem?
Je nach Architektur kann sich der pöse Cracker auf dem Webserver aber ggf. auch für jede zu missbrauchende Domain ein einzelnes Zertifikat ausstellen lassen – wahrscheinlich ist es eine gute Idee, sich seine Server nicht übernehmen zu lassen
Schön aber was bringt es aber mir, wenn mein Provider mir dies nicht zur Verfügung stellt. Nicht jeder betreibt einen eigenen Server. Die jetzig ausgestellten Zertifikate meines Providers sind nicht Domain bezogen, so dass ich meine Seiten wieder auf http umstellen kann oder mir wieder kostenpflichtige Zertifikate kaufen darf.
Auf Vultr kannst du deinen eigenen Server betreiben und dann: https://caddyserver.com/features installieren.