"HTTPS: Let's Encrypt stellt Wildcard-Zertifikate in Aussicht"


#1

Ich lese gerade, dass ab Januar 2018 wohl kostenlose Wildcard-Zertifikate angeboten werden sollen. Das wäre ja prima.

Im Januar 2018 will Let’s Encrypt auch kostenlose Wildcard-Zertifikate anbieten, verkündet die Zertifizierungsstelle (CA) in ihrem Blog. So können Webseitenbetreiber der CA zufolge neben ihrer Hauptdomain auch beliebig viele davon abgeleitete Subdomains via HTTPS mit nur einem Zertifikat absichern.

Quelle: https://www.heise.de/security/meldung/HTTPS-Let-s-Encrypt-stellt-Wildcard-Zertifikate-in-Aussicht-3766804.html


#2

Und das hilft im Freifunk-Kontext dann wobei?

Will sagen: Ich sehe das Szenario nicht, in dem nicht die derzeitige Regelung mit den Sammelzertifikaten auch schon genauso funktionieren würde. (Und es macht keiner, weil das Verteilen der Zertifikate ein echtes Problem ist, samt der Tatsache, dass die privaten-Schlüssel dann an x Stellen kompromitiert werden könnten (wenn man sie z.B. auf Router verteilt.)

Oder anders: Helfen tut das nur Shared-Hostern, die >30 Subdomains aus einem System hosten "a la geocities"
Oder gar einen SSL-Proxy vor den Webtraffic einer ganzen Domain klemmen und es auch keinen internen Traffic gibt, den es zu sichern gilt, da alle Clients “nur über dieses eine Gateway” kommen.

Will sagen: Wenn es nicht um Freifunk geht, würde ich vorschlagen, das in die Rubrik “Offtopic” zu schieben.


#3

Mein Gedanke zielt in Richtung: Allgemeine Infoseiten über diverse Freifunkcommunities oder diverse, technische Freifunk-Erläuterungsseiten könnten problemlos über Subdomains UND http_S_ laufen. Ohne großes Kümmern für eine Vielzahl von Zertifikaten, die ansonsten notwendig sind.

Nicht mehr und nicht weniger hilft das den im Freifunk Aktiven, die nicht alle das Know-How und die Muße für https und Infowebseitenbetrieb haben.


#4

Genau das kam mir bei der Meldung auch in den Sinn, weil man heutzutage entweder ein Bezahl-Zertifikat nutzen muss oder bei lets encrypt jede benötigte subdomain einzeln “registrieren” muss.
Das Zertifikat war auch der Grund, warum ich mir eine eigene Domain gekauft habe, damit ich das einfach selber einrichten kann.

Die Wildcard-Möglichkeit bei lets encrypt sorgt aber auch für weniger Sicherheit, da, wenn ein Server gekapert wird, beliebige subdomains mit https für “böse zwecke” genutzt werden können und nach außen trotzdem seriös aussehen.


#5

Dann erkläre mir, wie das technisch funktionieren soll.
Vielleicht übersehe ich ja was.

Nennt mir doch mal eine Community, die heute ein “multi-domain”-Zertifikat auf mehrere Hosts (webserver) desployed.
(Und wie sie das tut).

Ich sehe wirklich nicht, wie das “community-übergreifend” funktionieren sollte. Zumal der Prozess ja ständig wiederholt werden muss, oder gilt die 3-Monats-Frist da nimmer?

Wenn in einer der Communities dann das Zertifikat kompromitiert wird, dann müssen alle ziemlich schnell neue haben.
Man braucht also ein Deployment-Verfahren, um den aktuellen privaten Wildcard-Schlüssel an alle legitimen(!) Bedarfstragenden innerhalb von *.freifunk.net zu verteilen, automatisiert.
Was gibt es dafür?

Für mich klingt das nach security nightmare.


#6

Du hast recht. Das geht mit der aktuellen “kommerziellen” Variante deutlich besser, da die Zertifikate 1 Jahr halten. Somit bringt das tatsächlich “0” Vorteile.

Ich glaube, dass die das sogar mal auf 30 Tage runterschrauben wollten, oder?


#7

Ich sehe, dass heute schon im Freifunk-Kontext für mehrere “zentrale Services” (auf verschiedenen Hosts innerhalb einer Community/Domain) getrennte Zertifikate genutzt werden.
Also z.B. eines für den Webserver (für die Info/Blog-Webseite), eines für den Firmware-Server, eines für den Mapserver…

Sprich: Wenn die Leute dafür schon kein Konzept haben "weil braucht man nicht, weil geht ja auch so"
Dann wir das mit den Wildcard-Zertifikaten community-übergreifend erst recht nichts. Zumindest nicht bei 99% der Freifunkenden.