Ankündigung

Einklappen
Keine Ankündigung bisher.

Laufzeit SSL & Sicherheit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Laufzeit SSL & Sicherheit

    Hallo in die Runde,

    Zertifikate von Lets Encrypt haben ja nur eine Laufzeit von 3 Monaten, Google propagiert 1 Jahr und generell wird es wohl drarauf hinauslaufen, dass SSL-Zertifikate nicht mehr 2 Jahre gültig sein sollen

    https://www.security-insider.de/ssl-...ende-a-617190/
    https://www.zdnet.com/article/google...s-to-one-year/
    https://sectigo.com/blog/be-prepared...icate-duration

    Ich selber mag LE (nicht nur) weil es kostenlos ist sondern wegen der kurzen Laufzeit, da ich der Meinung bin je öfter ein Zertifikat ausgetauscht wird desto sicherer. Das wird auch in obigen Artikeln so dargestellt.

    Um so mehr wundert es mich, dass DF jetzt uns SSL mit einer Laufzeit von 2 Jahren aufdrücken möchte. Das konterkariert die Politik der Sicherheit. Wie seht ihr das? Wie steht DF dazu?
    Markus
    ---
    https://www.facebook.com/markus.weber.180410

    #2
    Wenns Sicherheitsprobleme gibt, kannst Du während der Laufzeit eine kostenfreie Neuausstellung veranlassen.

    Kommentar


      #3
      Zitat von [headcrash] Beitrag anzeigen
      Wenns Sicherheitsprobleme gibt, kannst Du während der Laufzeit eine kostenfreie Neuausstellung veranlassen.
      Wie bemerke ich solche Probleme und macht DF da mit?

      Ich vermute dass es schwierig wird zu merken wann ein Zertifkat missbraucht wird. Dann wäre es auch im Sinne der Sicherheit die Laufzeit so kurz wie möglich zu halten....
      Zuletzt geändert von wecotec; 07.12.2019, 12:26.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #4
        Die Option ist eher für die Fälle gedacht, dass ein verwendetes Zwischenzertifikat etc. nicht mehr vertrauenswürdig ist, auslösen kannst Du die Neuausstellung ganz einfach über den DF-Kundenlogin (mußt nur dafür kurz die RP2-Zuordnung entfernen).

        Kommentar


          #5
          Zitat von [headcrash] Beitrag anzeigen
          Die Option ist eher für die Fälle gedacht, dass ein verwendetes Zwischenzertifikat etc. nicht mehr vertrauenswürdig ist, auslösen kannst Du die Neuausstellung ganz einfach über den DF-Kundenlogin (mußt nur dafür kurz die RP2-Zuordnung entfernen).
          Gut, das ist der DF-Aspekt. Um den geht es mir nur sekundär.

          Mich interessiert es eher wie das Thema Sicherheit und Laufzeit der Zertifikate zu bewerten sind. Ich bin, wie oben geschrieben, eher die Meinung dass kürzere Laufzeit für mehr Sicherheit sorgen. Und es hat ja auch Gründe warum wohl selbst 2 Jahre Laufzeit irgendwann mal nicht mehr akzeptiert werden.....

          Und da landen wir ja wieder bei DF, wo man ja auf Sicherheit Wert legt. Das passt aber nicht mit der SSL-Laufzeit zusammen.....
          Zuletzt geändert von wecotec; 07.12.2019, 14:31.
          Markus
          ---
          https://www.facebook.com/markus.weber.180410

          Kommentar


            #6
            Jenseits des Standardprotokolls https ist Brain 2.0 weit wichtiger und wird immer wieder gerne unterschätzt. Na nützt das teuerste und sicherste https nichts, wenn Brain 2.0 nicht installiert ist.

            Kommentar


              #7
              Eine kürzere Laufzeit ist in der Tat ein Sicherheitsvorteil - aber erst mal nur ein theoretischer Vorteil. Genauso wie eine kürzere Session- oder Auth-Token-Gültigkeit bei einer Web-Applikation theoretisch auch das Risiko für bestimmte Missbrauchsszenarien reduziert. Wenn z.B. ein SSL-Zertifikat in irgendeiner Weise 60 Tage nach Ausstellung kompromittiert wurde, dann kann es bei Lets Ecrypt maximal noch 30 Tage missbraucht werden, bei 2jährigen Zertifikaten dagegen noch 670 Tage. Das ist aber eher eine theoretische Diskussion. Wer viele Tage lang nicht bemerkt, dass sein Zertifikat kompromittiert ist, hat ganz andere Probleme. In der Praxis - und da hat Rainer recht - sind andere Aspekte 1000 mal wichtiger. Was bringt ein valides 90-Tage-SSL-Zertifikat, wenn die Web-Applikation schreiende Sicherheitslücken hat? Dann kann man die Sicherheitslücke SSL-geschützt ausnutzen. Toll. Wordpress, Joomla, SQL-Injection, XSS, usw. sind zigtausendfach häufiger das Einfallstor für erfolgreiche Angriffe als kompromittierte SSL-Zertifikate.


              Kommentar


                #8
                Etwas OT:
                Wir hatten bei einem Online-Portal einen Nutzer, der seinen Nutzern Mailadressen unter seiner Domain anbot. Für ihn war natürlich alles vollkommen sicher, ich dürfte mir das auch gerne anschauen.
                Blöd war halt: Die Mailadressen "hostmaster" und "webmaster" waren auch frei registrierbar.
                Also konnte ich über StartSSL ein Zertifikat für die Domain registriert.

                Kommentar


                  #9
                  Zitat von wecotec Beitrag anzeigen
                  Um so mehr wundert es mich, dass DF jetzt uns SSL mit einer Laufzeit von 2 Jahren aufdrücken möchte.
                  Wir möchten diesbezüglich Ihnen keine Vorschriften machen. Insgesamt machen wir Angebote und diese können Sie nutzen oder auch nicht. Natürlich sind wir an der Nutzung interessiert und eine Laufzeit von 2 Jahren hat für uns eine gewisse Sicherheit. Auch klar ist es, dass Funktionen oder auch der Preis sich auf die Attraktivität für Sie auswirkt. Im Falle von SSL verlängert sich aktuell auch nichts automatisch, wie Sie wissen. Es gibt da also auch kein Hintertürchen oder eine versteckte Absicht.

                  Bezüglich Sicherheit der SSL-Zertifikate sind sie bei uns sicherlich in guten Händen und bei irgendwelchen Problematiken werden wir sicherlich Lösungen finden, damit Ihre bei uns gekauften Zertifikate über die gesamte Laufzeit auch sicher bleiben.

                  Mit freundlichen Grüßen

                  Nils Dornblut

                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar


                    #10
                    Zitat von Nils Dornblut Beitrag anzeigen
                    Natürlich sind wir an der Nutzung interessiert und eine Laufzeit von 2 Jahren hat für uns eine gewisse Sicherheit.
                    Welche Unischerheit bringen Ihnen 1Jahres-Zertifkate?

                    Und wenn man bedenkt, dass der Wert Ihres günstigsten Webpaketes mit SSL exakt dem Preis für ein 1jahres-Zertifikat entspricht fühle ich mich als Reseller"partner" von DF hinters Licht geführt.

                    Ihnen ist schon bewusst, dass Firmen wie google gerade daran arbeiten die Laufzeit von SSL von 2 auf 1 Jahr zu beschränken? Wie passt dies zur Sicherheitsstrategie ihres Hauses?

                    Zitat von Nils Dornblut Beitrag anzeigen
                    Auch klar ist es, dass Funktionen oder auch der Preis sich auf die Attraktivität für Sie auswirkt.
                    Richtig. Ihr Produkt ist leider noch unattraktiver geworden und wird dafür sorgen dass der nächste Schwung von Kunden auf andere Server zieht.

                    Zitat von Nils Dornblut Beitrag anzeigen
                    Im Falle von SSL verlängert sich aktuell auch nichts automatisch, wie Sie wissen. Es gibt da also auch kein Hintertürchen oder eine versteckte Absicht.
                    Wenn mit der Preiserhöhung wenigstens die Leistung besser geworden wäre. Bei jedem anderen Hoster kriege ich Leistung *und* bessere Konditionen. Und ja, dies nehmen wir inzwischen schon fleissig wahr. Wenn dies das Ziel ist hab ich nichts geschrieben und alles ist gut.

                    Zitat von Nils Dornblut Beitrag anzeigen
                    Bezüglich Sicherheit der SSL-Zertifikate sind sie bei uns sicherlich in guten Händen und bei irgendwelchen Problematiken werden wir sicherlich Lösungen finden, damit Ihre bei uns gekauften Zertifikate über die gesamte Laufzeit auch sicher bleiben.
                    Schade, schon wieder ein Textbaustein. Haben diese Bausteine eigentlich bestimmte IDs?
                    Zuletzt geändert von wecotec; 10.12.2019, 08:03.
                    Markus
                    ---
                    https://www.facebook.com/markus.weber.180410

                    Kommentar


                      #11
                      Zitat von wecotec Beitrag anzeigen
                      ... dass Firmen wie google gerade daran arbeiten die Laufzeit von SSL von 2 auf 1 Jahr zu beschränken? Wie passt dies zur Sicherheitsstrategie ihres Hauses?
                      Na, dann wird die 2-Jahres-Option wohl irgendwann entfallen ... zwecks Erhöhung der Sicherheit. Ist doch ganz einfach.
                      Allerdings dürfte das Deine Stimmung kaum heben ...

                      Grüße
                      fp
                      2002: RP10 > 2011: RS XL4 > 2019: DomainManager

                      Kommentar


                        #12
                        Zitat von fpielage Beitrag anzeigen
                        Na, dann wird die 2-Jahres-Option wohl irgendwann entfallen ... zwecks Erhöhung der Sicherheit. Ist doch ganz einfach.
                        Eigentlich wünsche ich mir, dass meine Dienstleister in die Zukunft schauen und nicht ihre Kunden ausnehmen

                        Es läuft doch darauf hinaus, dass es irgendwann die 2-Jahres-zertifkate nicht mehr gibt und dann seitens DF kommt "schade, wir können das Produkt nicht mehr anbieten, Sie müssen die teure Variante nehmen.....aber wir können nichts dazu".

                        Aber auch das ist nicht der Kern warum ich sauer bin. Im Kern geht es darum, dass man als Reseller keine Konditionen mehr bekommt die man benötigt um DF-produkte marktfähig und auf technischen hohem Niveau anbieten zu können.

                        Zitat von fpielage Beitrag anzeigen
                        Allerdings dürfte das Deine Stimmung kaum heben ...
                        Meine Stimmung ist gar nicht so schlecht wie es scheint....dank DF hab ich jetzt Möglichkeiten gefunden für richtiges Reselling
                        Zuletzt geändert von wecotec; 10.12.2019, 12:05.
                        Markus
                        ---
                        https://www.facebook.com/markus.weber.180410

                        Kommentar


                          #13
                          Zitat von wecotec Beitrag anzeigen

                          Welche Unischerheit bringen Ihnen 1Jahres-Zertifkate?
                          Längere Verträge sind aus Sicht eines Anbieters besser und erhalten daher meist bessere Preise. Unsicher ist wohl das falsche Wort in dem Zusammenhang.

                          Ihnen ist schon bewusst, dass Firmen wie google gerade daran arbeiten die Laufzeit von SSL von 2 auf 1 Jahr zu beschränken? Wie passt dies zur Sicherheitsstrategie ihres Hauses?
                          Aktuell gibt es eine solche Entscheidung ja noch nicht. Man wird sehen, was die Zukunft bringt. Sozusagen ungelegte Eier zu kommentieren ist müssig.

                          Schade, schon wieder ein Textbaustein. Haben diese Bausteine eigentlich bestimmte IDs?
                          Wo hat denn jemals jemand das geschrieben von uns und was ist an der Aussage auszusetzen?

                          Mit freundlichen Grüßen

                          Nils Dornblut

                          Blog - Facebook - Twitter
                          Communitybetreiber: domainfactory GmbH
                          Impressum / Pflichtangaben

                          Kommentar


                            #14
                            Zitat von fpielage Beitrag anzeigen
                            Na, dann wird die 2-Jahres-Option wohl irgendwann entfallen ... zwecks Erhöhung der Sicherheit. Ist doch ganz einfach.
                            Allerdings dürfte das Deine Stimmung kaum heben ...
                            Meine Glaskugel ist leider in Reparatur (das war wirklich mal ein Textbaustein von mehreren Usern vor vielen Jahren hier). Wenn es neue Situationen gibt, gibt es auch insgesamt eine neue Bewertung. Wie die dann aussieht, siehe Anfang, man wir das dann sehen.

                            Mit freundlichen Grüßen

                            Nils Dornblut

                            Blog - Facebook - Twitter
                            Communitybetreiber: domainfactory GmbH
                            Impressum / Pflichtangaben

                            Kommentar


                              #15
                              Zitat von Nils Dornblut Beitrag anzeigen
                              Längere Verträge sind aus Sicht eines Anbieters besser und erhalten daher meist bessere Preise. Unsicher ist wohl das falsche Wort in dem Zusammenhang.

                              ...
                              Wo wir schon mal dabei sind: „bessere Preise“ ist bei einer Preiserhöhung (für die Zertifikate mit 1-jähriger Laufzeit) für mich auch eine unglücklich gewählte Formulierung.

                              Kommentar

                              Lädt...
                              X