1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

https mit Let's encrypt

Dieses Thema im Forum "Boardangelegenheiten" wurde erstellt von aligator, 7. Dezember 2015.

  1. aligator

    aligator New Member

    Hi

    Was haltet ihr davon, https mit dem kostenlosen Let's encrypt zertifikat zu nutzen?

    Schließlich werden hier ja auch Passwörter und private Daten übertragen. Und leztendlich sollte meiner Meinung nach https Standard sein sobald dies der Fall ist.
    Durch Let's Encrypt entstehen dabei ja nichtmal Kosten...
  2. mrBean45

    mrBean45 Member

  3. aligator

    aligator New Member

    Ganz falsch lingst du mit deiner meinung ja nicht... aber ich finde es besser überhaupt zu verschlüsselt als garnicht.
    Und wenn jemand das Problem, dass du angesprochen hast, hat , kann man ja immernoch ein normales Zertifikat kaufen.

    Insgesammt gesehen, denke ich, dass die Let's Encrypt-Software weniger Sicherheitslücken hat, als die gefahren die beim Surfen ganz ohne https bestehen. Das kann nämlich eder mitlesen.
    Ich weiß ja nicht Wie es dir geht, aber ich will nicht dass jeder mein zeug mitlesen kann.

    Klar ist es von Serversicht aus ein weiterer Dienst, der im hintergrund läuft, und angreifbar ist. Aber wenn man seinen Server gut absichert, kann man auch das beachten.

    Aber ich verstehe nicht, wieso es heutzutage noch so viele Server ohne https gibt (dieses board eingeschlossen).
    (Bzw. Ich verstehe es schon, denn es kostet manchen einfach zu viel. Und genau an dem Punkt ist Let's Encrypt ein guter Ansatz, wenn er auch, wie du beschrieben hast sicher nicht der beste ist.)

    Natürlich würde ich auch ein anderes Zertifikat bevorzugen, aber dies ist manchmal einfach nicht möglich, sei es aus Kostengründen oder wegen was anderem...
  4. -AB-

    -AB- Well-Known Member c-b Team

    Hm. Klingt eigentlich zu gut, um wahr zu sein.

    Wie wollen die Leute sicher stellen, ob die Vergabe des Zertifikats sicher ist? Diesen Schritt zu automatisieren scheint mir ein Angriffspunkt zu sein.
  5. aligator

    aligator New Member

    Ich kenn mich zwar nich so gut mit cryptographie aus, aber man könnte das ja zum beispiel mit ssl machen (dem vertraust du zwangsläufig wenn du https nuzt.)

    Ich weis zwar nicht was in dem fall verwendet wird, aber so könnte es ja sein...
  6. asc

    asc Active Member c-b Experte

    Naja, der Server unterstützt bereits https. Ist zwar ein selbst-signiertes Zertifikat (aber dafür ein ziemlich netter Cipher), aber wer in nem offenen W-Lan ist o.ä. kann damit jetzt schon MitM verhindern. Die Forensoftware ist dann auch so schlau und stellt alle Links (bis auf die Verlinkung im Logo) auf https um.
  7. -AB-

    -AB- Well-Known Member c-b Team

    Jaa, aber wer vertraut schon einem selbst-signiertem Zertifikat? Da popt doch gleich eine Warn/Fehlermeldung auf.

    Stimmt schon, an sich sollte der Standard sein, dass *jede* Website über https zu erreichen ist. Nur...... zertifizierte ...? Zertifikate bekommen dann den "grünen Hintergrund" in der Adresszeile, self-signed nicht. Und bei einer *unverschlüsselten* Verbindung sollten die Warnmeldungen auftauchen.

    Aaaaahhhrg. FAST perfekt :)
  8. aligator

    aligator New Member

    Das Problem bei nicht zertifizierten ist, sollte man Opfer einer mim atacke sein, und vorher nicht schon dem richtigen Zeertifikat vertrauen, und dann kommt die Meldung, dann kann man nicht ohne weiteres feststellen, ob es sich um das Zertifikat des Servers oder des mim handelt. Insofern halte ich es auch für gefährlich bei selbstsignierten Zertifikaten keine deutliche Meldung zu geben.

    Ich bin auc der Meinung, dass http-Verbindungen eigendlich gut sichtbar als unsicher markiert werden sollten. Ich meine irgendwo gelesen zu haben, dass zumindest Mozilla das auch plant irgendwann die nächsten Jahre einzuführen.

    Aber zum Thema: Wie du schon sagtest, werden die wenigsten https überhaupt nutzen, solange es selbstsigniert ist...
  9. lano

    lano Well-Known Member c-b Experte

    Worum geht es hier eigentlich?
    Ihr solltet eh für das Forum ein anderes Password verwenden als für eure anderen Accounts.
    Das was ihr hier schreibt kann eh von jedem gelesen werden. Dazu ist so ein Forum ja da.
    Ausnahmen bilden PMs und ggf die Email Adresse die Ihr bei der Anmeldung angegeben habt.
    Wenn ihr keine Lußt habt das die bekannt wird, nutzt sie nicht. Es gibt auch einmal Adressen.
    Wenn ihr schiss habt das euer chef feststellt das ihr hier wärend der Arbeit rumpostet, sucht euch nen anderen job oder lasst das posten während der Arbeit sein.
  10. -AB-

    -AB- Well-Known Member c-b Team

    Ja, aber wenn jemand meine Logindaten mitliest, kann er auch unter meinem Namen Beiträge verfassen. Oder andere Beiträge moderieren. ;)
  11. lano

    lano Well-Known Member c-b Experte

    Siehst du das wirklich als Gefahr?
    Ist bisher wie oft vorgekommen ?
  12. -AB-

    -AB- Well-Known Member c-b Team

    Ich behaupte mal: Jedes Mal, wenn ich was dummes geschrieben habe. :)

    Die Gefahr ist minimal - sonst würde ich mich hier ja nicht rumtreiben. Schon klar. Aber sie könnte auch inexistent sein. Und der Mehraufwand? Eine Adresse, die ein Zeichen länger ist - wenn https der default ist, fällt auch das weg - und minimal höhere Rechenlast durch die Verschlüsselung.
    Firefall gefällt das.
  13. lano

    lano Well-Known Member c-b Experte

    Ok.
    Tendierst du zu einer https only Lösung?
    Das Argument administrative Berechtigungen zu erlangen und damit Schaden anzustellen lass ich mal gelten.
    Für Leute mit erweiterten Rechten im Forum besteht die Möglichkeit die Seite über https anzusteuern.
    Für "normale" Nutzer finde ich es unnötig. Postet jemand anderes unter meinem Account, schreib ich dir halt ne mail.
    Ruck zuck ist das Password geändert und die Posts gelöscht.
    Wenn du die Möglichkeit https zu nutzen nicht wahrnimmst, dann hilft es auch nix wenn da irgend ne Schmiede das Zertifikat beglaubigt.

    Mich würde es aber auch nicht stören wenn die Seite nur über https erreichbar wäre. Auch wenn ich die wirkliche Notwendigkeit nicht so sehe.
  14. Jan Krüger

    Jan Krüger Well-Known Member c-b Team

    Das coding-board liegt, wie man aus den WHOIS-Daten sehen kann, bei domainfactory, als Shared Hosting (das ist wahrscheinlich eins der Webhosting-Pakete). Soweit ich sehen kann, lassen die einen da nicht beliebige eigene Zertifikate reinpacken, die wollen lieber Geld haben. Man müsste dann vielleicht noch ein bisschen warten, bis die ganzen Webhoster auch Let's Encrypt anbieten...

    Zu den Beschwerden zum offiziellen Client: ich bastle an einem eigenen, geschrieben in Perl, der mit Standardpaketen aus den meisten Distributionen problemlos läuft. Kein virtualenv oder so erforderlich, und läuft auch super ohne root-Rechte. Das Interface wird aber sicher noch ein paar Iterationen verpasst kriegen... im momentan muss man die Autorisierungsphase und das Abholen des Zertifikats in zwei separaten Schritten machen.
    https://github.com/jast/placme
    Firefall und -AB- gefällt das.
  15. Spanier

    Spanier New Member

    Ich möchte keine "Leichenschändung" betreiben, aber das Thema ist noch immer aktuell.
    Gibt es mittlerweile Neuigkeiten?

    Ich persönlich würde mich sehr über eine SSL Verbindung zu dieser Seite freuen.
    Ascendancer gefällt das.
  16. koopa

    koopa Member

    Was eine Paranoia. Bist du zufällig Linux-User?

    Aber ja, SSL sollte mittlerweile Standard sein. Das Verhalten von Domain-Factory ist aber leider auch Standard.
  17. Ascendancer

    Ascendancer New Member

    Hallo Leute,
    bin neu hier, bitte nicht hauen, aber:

    Ich habe eine Spezifische Frage und werde dazu einen eigenen Fred aufmachen, dazu habe ich nach einem Forum gegoogelt, das hier gfunden und mir einen Account gemacht.

    Dabei ist mir sofort aufgefallen, dass hier plain http am Werk ist. Ok, manche machens optional, ohne redirect. OK, Certificate issue warning im Browser. WAS? Ein Selfsigned?

    Dass das für ein Forum wo es ums Coding geht, also ausschließlich versierte Computeruser unterwegs sind ist ein Armutszeugnis. Hätte @Spanier den Thread nicht hervorgeholt, so dass ich ihn finde, hätte ich wohl ein eigenes Thema erstellt. Ich würde sogar soweit gehen und HSTS implementieren. Ist nicht viel dabei. Und wie vorher festgestellt wurde, da kreigt man schon ein offizelles Cert rein, bin selbst bei der domainfactory, und wie das ein Problem darstellt kann ich mir nicht vorstellen.

    Und Zwecks Paranoia @koopa : Bau dir bitte mal bei Auto und Wohnung/Haus alle deine Türschlösser aus. Was soll schon sein,... o_O
  18. Mat

    Mat Active Member c-b Experte

    Etwas lästig, weil ich da immer raufklicke. :D

    Hab mir das hier in TamperMonkey reingeklatscht, damit ich nicht immer auf HTTP lande:
    Code:
    jQuery('a[href^="http://www.coding-board.de"]').each(function() {
            this.href = this.href.replace('http:', 'https:');
        });
  19. dominikb

    dominikb Member

    Mal davon abgesehen, dass ich eine Webseite von und für Entwickler ohne TLS eigentlich peinlich finde:

    Ich habe heute in einer Besprechung erfahren, dass die DSGVO eine TLS-Verschlüsselung fordert, wenn personenbezogene - also eigentlich alle - Daten übertragen werden. Neben Registrierung und Login betrifft das auch Kontaktformulare auf einer Webseite. In diesem Zusammenhang wäre doch ein Forum erst recht betroffen, oder?
    Zuletzt bearbeitet: 3. Mai 2018
  20. asc

    asc Active Member c-b Experte

    Naja, vielleicht lässt es das Hostingpaket auch nicht zu ein Lets-Encrypt Zertifikat zu integrieren.

    Forum ist 4 Jahre alt, PHP-Version ist EOL. Es scheint so als hätte der Serveradministrator keine Zeit/Lust in dieses Forum weiter zu investieren. Aber übel-nehmen kann man es ihm nicht, sehr viel los ist hier aktuell ja nicht mehr. Entsprechend wird die Priorität hier etwas zu ändern, was (inkl. Update) recht viel Zeit beansprucht, wohl nicht sehr hoch sein. Zumal alles für uns unentgeltlich ist.

    Aber peinlich ist es schon, da gebe ich dir recht.