Ankündigung

Einklappen
Keine Ankündigung bisher.

Noch immer kein Let's Encrypt?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #46
    Zitat von DavidB Beitrag anzeigen
    Der "trusted" Status wird anders eingeordnet (teilweise auch schlechter als bei letsencrypt, normalerweise aber besser).
    Technisch gibt es kein Ranking zum "trusted-Status". Nur "Vertrauenswürdig" oder eben nicht.
    Nur EV/DV/... was für den Kunden ggf. anders dargestellt wird. Technisch macht das aber auch keinen wirklichen Unterschied. Es ist nur eine OID die im Zertifikat hinterlegt wird und im Browser pro Aussteller fest einprogrammiert ist.

    Zitat von DavidB Beitrag anzeigen
    Ausserdem gibt es Anwendungsfälle, wo letsencrypt sich nicht einsetzen läßt, z.B. bei Emails.
    Natürlich kannst du ein LE-Zertifikat auch für Mailserver einsetzen.
    Oder meinst du S/MIME? Da verstehe ich dann aber nicht warum ein SSL/TLS-Zertifkat schlechter sein soll, nur weil der Anbieter keine Mailadressen zertifiziert.

    Zitat von DavidB Beitrag anzeigen
    Sofern DF kostenlos Zertifikate in ausreichender Anzahl ausliefert ist mein Posting möglicherweise überflüssig, aber das wäre dann der gesamte Thread.
    Da ich kein DF Kunde bin, sondern wegen eines Kunden hier reingeschaut habe, bin ich über Vertragsmodalitäten nicht informiert.
    Bei Domainfactory ist 1 (!) Zertifikat dabei. So weit ich mich erinnere handelt es sich auch _nicht_ um ein Wildcard-Cert. Heißt also: Für jede Domain oder Subdomain zahlst du ab 3 €/Monat zusätzlich.
    Zuletzt geändert von Lukas M.; 16.11.2019, 15:36.

    Kommentar


      #47
      Zitat von Lukas M. Beitrag anzeigen
      Technisch gibt es kein Ranking zum "trusted-Status". Nur "Vertrauenswürdig" oder eben nicht.
      Das stimmt nicht.
      Bei einigen Zertifikaten werden Adresse und Erreichbakeit kontrolliert, bei anderen lediglich die serverspezifischen Notwendigkeiten und evtl. Email-Adresse (wie bei letsencrypt).
      Es gibt da ein breiteres Spektrum und eine Bank mit letsencrypt-Zertifkat für Onlinebanking wäre mir sehr suspekt.

      Zitat von Lukas M. Beitrag anzeigen
      Natürlich kannst du ein LE-Zertifikat auch für Mailserver einsetzen.
      Oder meinst du S/MIME? Da verstehe ich dann aber nicht warum ein SSL/TLS-Zertifkat schlechter sein soll, nur weil der Anbieter keine Mailadressen zertifiziert.
      Ich empfehle die Webseite von letsencrypt zu studieren, da werden alle Möglichkeiten und Einschränkungen aufgeführt.

      Ich bin kein Fachmann für Zertifikate, auch wenn ich mir einmal die Mühe gemacht hatte meine Webseite mit letsencrypt Zertifikat in einem Ranking auf "A+" anzuheben.
      Das Zertifikat selbst ist somit sicherheitstechnisch bei Weitem nicht ausreichend, aber schon mal ein guter Schritt.
      Man kann noch serverseitig noch sehr viele Einstellungen vornehmen, die die Sicherheit wesentlich erhöhen.

      Bezüglich Mails oder Datenbanken habe ich noch kein Zertifikat eingesetzt (außer bei Gmail wo ich es standardmäßig bekomme, allerdings betrifft das nur die Verbindung und nicht die Mails selbst), daher kann ich dort kaum was zu sagen, auch nicht im Hinblick auf letsencrypt.

      Von der webseite letsencrypt.org/docs/faq/ :
      What services does Let’s Encrypt offer?

      Let’s Encrypt is a global Certificate Authority (CA). We let people and organizations around the world obtain, renew, and manage SSL/TLS certificates. Our certificates can be used by websites to enable secure HTTPS connections.
      Let’s Encrypt offers Domain Validation (DV) certificates. We do not offer Organization Validation (OV) or Extended Validation (EV) primarily because we cannot automate issuance for those types of certificates.
      Es lohnt sich also, die Details einmal anzusehen.
      Zuletzt geändert von DavidB; 16.11.2019, 16:24.

      Kommentar


        #48
        Bezüglich Einsatzgebieten habe ich dies gefunden:
        Does Let’s Encrypt issue certificates for anything other than SSL/TLS for websites?

        Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.
        Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.

        Kommentar


          #49
          Zitat von DavidB Beitrag anzeigen
          Bei einigen Zertifikaten werden Adresse und Erreichbakeit kontrolliert, bei anderen lediglich die serverspezifischen Notwendigkeiten und evtl. Email-Adresse (wie bei letsencrypt).
          Es gibt da ein breiteres Spektrum und eine Bank mit letsencrypt-Zertifkat für Onlinebanking wäre mir sehr suspekt.
          Schon klar, aber eine Bank mit einen kostenpflichtigen Basiszertifikat fändest Du doch auch nicht in Ordnung, oder? Wer ein Zertifikat benötigt, das auch den Domaineigentümer verifiziert, kann natürlich nur ein Zertifikat wählen, das eine solche Prüfung auch beinhaltet.

          Wer eine Website mit einem domainvalidierenden SSL-Zertifikat absichern möchte, für den sind die LetsEncrypt-Zertifikate eine gute Alternative zu kostenpflichtigen Zertifikaten. Wer mehr als das benötigt, muss sich nach anderen Zertifikaten umsehen. Das macht die LetsEncrypt-Zertifikate für den vom Aussteller vorgesehenen Einsatzzweck aber nicht schlechter.

          Grüße
          fp
          2002: RP10 > 2011: RS XL4 > 2019: DomainManager

          Kommentar


            #50
            Sorry, du wirfst wild das Zertfikat, den Aussteller, die Verifizierung und serverseitige Einstellungen durcheinander. Seriös und fachlich kompetent ist das nicht.
            Deine EV-Zertifikate von denen du dauernd redest (Die technisch eben 0 Unterschied in der Verschlüsselung machen) sind übrigens eh so gut wie tot: https://www.troyhunt.com/extended-va...y-really-dead/
            Es hat den Anschein als willst du ums Verrecken Let's Encrypt schlecht reden.

            Bitte beantworte doch einfach mal direkt die Frage von wecotec: Was kann ein bezahltes Zertifikat technisch mehr als ein kostenfreies?

            Zitat von DavidB Beitrag anzeigen
            Das stimmt nicht.
            Bei einigen Zertifikaten werden Adresse und Erreichbakeit kontrolliert, bei anderen lediglich die serverspezifischen Notwendigkeiten und evtl. Email-Adresse (wie bei letsencrypt).
            Es gibt da ein breiteres Spektrum und eine Bank mit letsencrypt-Zertifkat für Onlinebanking wäre mir sehr suspekt.
            Du redest hier von der Art der Prüfung. Die hat aber mit dem fertigen Zertifikat 0 zu tun. Für die Verschlüsselung ist es - salopp gesagt - egal ob du ein Zertifikat für 99 € kaufst, für 0 € oder sogar selbst signierst.
            Wie ich bereits oben ausgeführt hatte: Sogar der Unterschied zwischen DV und EV besteht am Ende nur aus einer OID im Zertfikat. (Bei Globalsign z.B. "2.23.140.1.1")
            LE prüft übrigens auch weder Mailadresse (die gibst du zwar an, validiert wird sie nicht) noch "serverspezifische Notwendigkeiten". Sondern einfach nur ob der entsprechende Key via HTTP oder DNS auffindbar ist.

            Zitat von DavidB Beitrag anzeigen
            Ich bin kein Fachmann für Zertifikate, auch wenn ich mir einmal die Mühe gemacht hatte meine Webseite mit letsencrypt Zertifikat in einem Ranking auf "A+" anzuheben.
            Das Zertifikat selbst ist somit sicherheitstechnisch bei Weitem nicht ausreichend, aber schon mal ein guter Schritt.
            Man kann noch serverseitig noch sehr viele Einstellungen vornehmen, die die Sicherheit wesentlich erhöhen.
            Auch die serverseitigen Einstellungen sind unabhängig vom Aussteller oder ob es ein DV oder EV-Cert ist. Um die Servereinstellungen geht es hier im Thread übrigens auch nicht.
            Zitat von DavidB Beitrag anzeigen
            Bezüglich Mails oder Datenbanken habe ich noch kein Zertifikat eingesetzt (außer bei Gmail wo ich es standardmäßig bekomme, allerdings betrifft das nur die Verbindung und nicht die Mails selbst), daher kann ich dort kaum was zu sagen, auch nicht im Hinblick auf letsencrypt.
            Du konntest mir leider die Frage ob du S/MIME meinst leider nicht beantworten. Falls ja: Das bietet LE nicht an, richtig. Ist aber im ACME-Protokoll auch nicht spezifiziert.
            Ebenso wie viele andere Firmen, die eben keine Mailadressen verifizieren. Auch die, die ihre anderen Zertifikate kostenpflichtig anbieten. Was ein nicht angebotenes Produkt jetzt für technische Auswirkungen auf ein komplett anderes Produkt haben ist mir allerdings auch nicht so wirklich klar.
            Übrigens: Auch die Zertifikate die du von dF bekommst kannst du nicht für S/MIME nutzen.

            Solltest du nur von der Transportverschlüsselung reden:
            Wie du ja schon sagtest: Gmail bietet auch nur eine Transportsicherung. Und dafür kannst du natürlich auch auf dem eigenen Server die LE-Zertfikate nutzen. Das ist nicht auf HTTPS beschränkt. Auch einen vorhandenen Mumble-, Mail- oder XMPP-Server z.B. kannst du problemlos damit absichern.

            Zitat von DavidB Beitrag anzeigen
            Von der webseite letsencrypt.org/docs/faq/ :
            Es lohnt sich also, die Details einmal anzusehen.
            Dein Zitat hat technisch 0 Bedeutung weil es dort nur um die Validierung geht.
            Was technisch der Unterschied zwischen DV und EV ist hatte ich ja bereits mehrfach ausgeführt.

            Kommentar


              #51
              Du hast Dich im Ton vergriffen, und zwar mächtig.
              Wieso fragst Du eigentlich so viel wenn Du eh Alles besser weist?

              Kommentar


                #52
                Zitat von DavidB Beitrag anzeigen
                Das stimmt nicht.
                Bei einigen Zertifikaten werden Adresse und Erreichbakeit kontrolliert, bei anderen lediglich die serverspezifischen Notwendigkeiten und evtl. Email-Adresse (wie bei letsencrypt).
                Es gibt da ein breiteres Spektrum und eine Bank mit letsencrypt-Zertifkat für Onlinebanking wäre mir sehr suspekt.
                DV = Domainvalidiert. Das sind die Starfield-Zertifkate genauso wie die LE-Zertifikate. Nur DV-Zertifikate kann man innerhalb weniger Minuten (oder im Fall von DF in 30-40 Minuten) ausstellen. Das sind die, die Du meinst. Technisch wird nur geprüft ob der Server, auf den die Zertifikate ausgestellt werden sollen, auch den Webspace verwaltet bzw. die Domain dazu gehört.

                EV = Erweitert validiert. Da gibt es diverse Anforderungen an die ausstellende Stelle und ich meine man muss dafür schriftlich nachweisen dass man der Inhaber ist. Das sind die Zertifikate die Banken wegen des Vertrauens einsetzen und die auch anzeigen auf wen sie ausgestellt sind.

                Zitat von DavidB Beitrag anzeigen
                Ich empfehle die Webseite von letsencrypt zu studieren, da werden alle Möglichkeiten und Einschränkungen aufgeführt.
                Rein technisch kann man auch LE-Zertifikate für Email-Server einsetzen, Zertifikate lassen sich in die verschiedene Formate konvertieren. Die Frage ist nur der Aufwand, ich weiss nicht wie eine Validierung für Mailserver aussieht.

                Das besondere bei LE ist der hohe Automatisierungsgrad und dass die Zertifikate nur 3 Monate gültig sind (was aber wegen der Automatisierung egal ist). Im Gegensatz zu dem, was wir bei DF gewohnt sind bestellt man LE einmal und das wars dann. Nie wieder klicken, nie wieder drauf achten ob ein Zertifikat abläuft. Wenn man von DF zu einem LE-Anbieter kommt weiss man das sehr zu schätzen

                Zitat von DavidB Beitrag anzeigen
                Ich bin kein Fachmann für Zertifikate, auch wenn ich mir einmal die Mühe gemacht hatte meine Webseite mit letsencrypt Zertifikat in einem Ranking auf "A+" anzuheben.
                Das Zertifikat selbst ist somit sicherheitstechnisch bei Weitem nicht ausreichend, aber schon mal ein guter Schritt.
                Jeder Hoster, der etwas Ahnung hat wird Dir in der Tat empfehlen für bestimmte Seiten kein LE einzusetzen. Das hat aber nichts mit den Suchmaschinen zu tun, sondern mit der Anzeige, die der User bekommt wenn er mehr Informationen über das Zertifikat abruft.

                Gute Hoster bieten LE und kostenpflichtige Zertifikate an um für jeden Zweck den Kunden was zu bieten.
                Zuletzt geändert von wecotec; 16.11.2019, 18:40.
                Markus
                ---
                https://www.facebook.com/markus.weber.180410

                Kommentar


                  #53
                  Zitat von DavidB Beitrag anzeigen
                  Du hast Dich im Ton vergriffen, und zwar mächtig.
                  Wieso fragst Du eigentlich so viel wenn Du eh Alles besser weist?
                  Sorry, wenn das "böse" rüber kam.
                  Wenn man mir sinngemäß mit "Deine Aussagen sind falsch, informiere dich besser" antwortet und selbst lauter nachweißlich falsche Behauptungen aufstellt sollte man allerdings auch nicht erwarten mit Samthandschuhen angefasst zu werden.

                  Kommentar


                    #54
                    Zitat von wecotec Beitrag anzeigen
                    Die Frage ist nur der Aufwand, ich weiss nicht wie eine Validierung für Mailserver aussieht.
                    Kommt natürlich drauf an ob der Mail- und Webserver auf einem Server liegen. In dem Falle reicht es das über den Indianer oder via standalone-certbot zu machen.
                    Ansonsten via DNS. Was aber bei dF kaum klappen wird, weil es für den Endkunden ja afair keine API gibt um die Einträge selbst anzulegen. :/

                    Kommentar


                      #55
                      Zitat von DavidB Beitrag anzeigen
                      Du hast Dich im Ton vergriffen, und zwar mächtig.
                      Nein, Lukas hat nur aufgezeigt, dass Du Dinge behauptest, die jeglicher Grundlage entbehren. Das kannst Du unangenehm finden - oder Dich freuen, dass jemand, der sich mit der Materie auskennt, soeben Deinen Horizont erweitert hat. Ich persönlich würde zu Letzterem tendieren.

                      Gruß
                      Jan
                      Two hours of trial and error can save ten minutes of manual reading.

                      Kommentar


                        #56
                        Also die Unterscheidung zwischen dem Prozess und den Anforderungen um ein Zertifikat zu bekommen und dem Kode der dann tatsächlich notwendig ist, um das Zertifikat zu validieren ist für den Enbenutzer irrelevant.
                        Es mag sein, daß es im Hackerbereich möglich ist ein Zertifikat zu verfälschen oder sonstiges Schindluder mit Zertifikaten anzustellen, aber für mich sind Zertifierungsprozess, Zertifikat und Zertifikatkode erst mal eine Einheit wo es mir ehrlich gesagt als Pedanterie erscheint die Einzelheiten zu betonen. Wenn ein bestimmter Kode ohne Zertifizierungsprozess und Anforderungen nicht erlangt werden kann, dann steht der Kode für die Einheit, die eben auch den Prozess umfaßt.

                        Letsencrypt will ich nicht schlecht reden, ich setze es selbst sogar ein, aber für Banken und andere Firmen ist es einfach nicht das Richtige. Und zwar primär nicht wegen der Anzeige die der User sieht, sondern weil der Zertifizierungsprozess nicht ausreicht.

                        Bei Formulierungen wie hier:
                        LE prüft übrigens auch weder Mailadresse (die gibst du zwar an, validiert wird sie nicht) noch "serverspezifische Notwendigkeiten". Sondern einfach nur ob der entsprechende Key via HTTP oder DNS auffindbar ist.
                        ... ist die Auffindbarkeit des Keys eine serverspezifische Notwendigkeit (was übrigens auch das Vorhandensein spezifischer Software erfordert, wenn auch nicht zwangsläufig auf dem gleichen Rechner), und mir hier einen Fehler in der vorrausgegangen Aussage zu unterstellen ist nicht korrekt.

                        Ich bestreite nicht, daß ich bezgl. Zertifikaten noch lernen kann, aber daß ich hier falsche Dinge behauptet haben soll kann ich nicht nachvollziehen. Vielmehr sehe ich Wortklaubereien als Möglichkeit mir irgendwelche Fehler unterzuschieben.
                        Trotzdem schön, daß Ihr mit Eurem Wissen brillieren konntet, dann kann sich jetzt jeder darüber informieren in einem Thread der damit kaum was zu tun hat,

                        Kommentar


                          #57
                          Du hast schon ganz am Anfang damit angefangen, dass kostenpflichtige Zertifikate angeblich mehr leisten können als die von Let's Encrypt. Nun, Let's-Encrypt-Zertifikate sind ebenso domainvalidierte Zertifikate wie DFs kostenpflichtige Domain-SSL-Zertifikate. Ich würde im Gegenteil den DF-Starfield-Zertifikaten weniger Vertrauen entgegenbringen als Let's-Encrypt-Zertifikaten (lies einfach mal https://en.wikipedia.org/wiki/Starfield_Technologies). Verschlüsselungstechnisch nimmt es sich nichts.

                          Richtig ist, dass Zertifikate mit erweiterter Prüfung tatsächlich "mehr leisten können" im Sinne der zusätzlichen Validierungen. Und ja, auch ich würde mir das von einer Bank wünschen. Für den Normalbürger bringt es halt nicht mehr allzuviel, da die bisher auffällige Formatierung in der Adressleiste des Browsers wegfällt und sich kaum jemand die Mühe machen wird, die Zertifikate genauer zu checken, und den meisten fehlt auch das Wissen dafür.

                          Aber wie gesagt, grundsätzlich konnen Let's-Encrypt-Zertifikate exakt genausoviel wie die üblichen kostenpflichtigen domainvalidierten SSL-Zertifikate, sind genauso vertrauenswürdig, werden auf dieselbe Art validiert und verschlüsseln genauso gut.

                          Gruß
                          Jan
                          Two hours of trial and error can save ten minutes of manual reading.

                          Kommentar


                            #58
                            Der eigentlich thread-spezifische Punkt ist doch, daß Webseiten ohne Zertifikate durch Suchmaschinen und moderne Browser abgewertet werden.
                            Insofern ist es als Betreiber einer Webseite zwingend ein Zertifikat zu haben.
                            Wenn DF ein Zertifikat ausliefert, aber 5 benötigt werden, dann ist es notwendig eine sehr günstige oder kostenlose Alternative zu haben zumal viele kleine Webseiten kein Geld abwerfen und kein Budget haben.
                            Während Letsencrypt durchaus auch bei Firmen Akzeptanz findet, bedient es evtl. vorwiegend die Leute, die früher kein Zertifikat verwendet haben.

                            Unter diesem Aspekt noch mal mit einem Vorurteil seitens DF aufräumen:
                            Das ist in dem Sinne keine technische Neuerung. Man hat hier einen Service hochautomatisiert, kostenlos gemacht und querfinanziert in die Fläche gedrückt. Kostenlose Zertifikate selbst gibt es schon Ewigkeiten und auch lange vor dem Projekt.
                            Klar, selbsterstellte Zertifikate gabs, und waren solange der Knaller, bis Browser sie abgewertet haben. Was gefehlt hat war die Zertifizierungskette und die ist bei Letsencrypt vorhanden und wird allgemein akzeptiert.

                            Kommentar


                              #59
                              Zitat von Enigma Beitrag anzeigen
                              Aber wie gesagt, grundsätzlich konnen Let's-Encrypt-Zertifikate exakt genausoviel wie die üblichen kostenpflichtigen domainvalidierten SSL-Zertifikate, sind genauso vertrauenswürdig, werden auf dieselbe Art validiert und verschlüsseln genauso gut.
                              Prima ist dass die verschiedenen Zertifikate gut co-existieren können. Den Wunsch nach einer kostenlosen Basisverschlüsselung haben mit deutlicher Mehrheit die Hostinganbieter verstanden und bieten dieses z.B. mit Let's Encrypt an. Darüber hinaus kann man mit den Verkauf von kostenpflichtigen (erweitert validierten) Zertifikaten weiterhin Geld verdienen.

                              Sehr traurig ist dass es immer noch Anbieter gibt die DV-Zertifikate als dauerhaft funktionierenden Goldesel sehen und die Marktentwicklung und Kundenwünsche beharrlich ignorieren.

                              Kommentar


                                #60
                                Zitat von Rainer.D Beitrag anzeigen
                                Den Wunsch nach einer kostenlosen Basisverschlüsselung haben mit deutlicher Mehrheit die Hostinganbieter verstanden
                                Noch immer würde ich fragen woher Sie die Grundlage für die Aussage nehmen? Hat jeder Webhostinganbieter hier quasi eine Stimme, geht es nach Größe, geht es nach Domains, gibt es da Statistiken drüber oder ist das Ihr Gefühl? Eigentlich müssten Sie uns dann ja auch dazu zählen, weil wir ein kostenloses Zertifikat ja auch anbieten in den aktuellen Tarifen.

                                Mit freundlichen Grüßen

                                Nils Dornblut
                                Blog - Facebook - Twitter
                                Communitybetreiber: domainfactory GmbH
                                Impressum / Pflichtangaben

                                Kommentar

                                Lädt...
                                X