ich würde gerne Freifunk-Router aufsetzen, allerdings scheint es keine sichere Möglichekeit zu geben, sicher Factory-Images herunterzuladen. Unter Freifunk Regio Aachen - Firmware sehe ich beispielsweise keine GPG-signierte Manifest-Datei und ein Zugriff auf den Server per HTTPS führt zu einer Zertifikatswarnung, da das Zertifikat für eine andere Domain ist. In Wuppertal haben andere das Thema schon diskutiert: Kein https:// für firmware-download? - #4 von Pinky
Gerade für Nutzer von Freifunk, einem unvertrauenswürdigen WLAN, sollte sicherer Ende-zu-Ende-Verschlüsselung ja am Herzen liegen, weswegen ich hoffe, dass es hier keine Blockadehaltung dazu gibt.
P.S.: das Forum erlaubt mir nicht zwei Links hinzuzufügen mit der Begründung, dass neue Benutzer nur zwei Links zu Beiträgen hinzufügen dürfen, daher ist die erste URL nicht vollständig.
Kostenlose Zertifikate für HTTPS gibt es aktuell hier:
Demnächst auch hier:
Ansonsten kostet ein Zertifikat auch nur 6 USD/Jahr, falls StartTLS aus irgendeinem Grund nicht geht, um die Zeit bis Lets Encrypt zu überbrücken. Das spende ich auch gerne, wenn es sonst scheitert.
GPG wäre auch wünschenswert, speziell für Organisationen gibt es da nichts soweit ich weiß, aber einzelne Signaturen von den Firmwareentwicklern wären ja auch hilfreich.
Neben der Firmware wären natürlich auch gesicherte Downloads für die ECDSA-Keys nett, die für die Manifest-Datei genutzt werden. Bisher scheint es die ja nur in den Firmware-Images zu geben.
Man könnte es im Gluon als Issue fielen, also nicht auf Aachen spezifisch — aber es betrifft ja auch die anderen Domänen.
Ich weiß, dass das Thema auf offene Ohren gestoßen ist und dein Vorschlag möglichst bald umgesetzt werden soll. Vielleicht sogar schon am Mittwoch beim Hackathon. (Möchtest du auch kommen?)
Danke, aber das scheint nicht der richtige Link zu sein.
In http://0.updates.freifunk-aachen.de/stable/sysupgrade/stable.manifest
scheint nur eine Signatur zu sein, die sich vom Key 52a4c8a66d757dda4f2183314374fdb310e6837a8b85d0c55f18b5edccaaf454 überprüfen lässt, der aber nicht in der site.conf ist. Außerdem verstehe ich eigentlich den autoupdater so, dass der drei Signaturen für stable erwartet und nicht nur eine. Ebenso scheinen für den beta-Branch und den experimental-Branch die Manifest-Dateien komplett zu fehlen.
Jo, hast Recht. Historische Gründe
Bis hier reichte eine Signatur für die Updates:
Da siehst Du auch noch den von Dir erkannten Key 52a4…
Der ist dann in einem späteren Commit noch rausgeflogen. (In der aktuell installierten Firmware ist der aber noch drin.)
D.h. die aktuelle Firmware wurde mit einer Signatur eingespielt. Um die wiederum zu updaten werden dann aber 3 Signaturen gebraucht.
Das ist auch gut. Kennst Du eigentlich HSTS? Damit kann man Browsern direkt sagen, dass bestimmte Seiten nur per HTTPS angesprochen werden sollen, das würde idealierweise genutzt:
Das wird nicht ganz so einfach möglich sein. Die *.freifunk.net Zonen werden an verschiedene Communities weiterdelegiert, sodass dutzende Webserver von ebenso vielen Adminteams administriert werden.
Wäre ein größerer Community-Effort das zu harmonisieren. Müsste mal jemand organisieren.
Also ich (der Server) sende den HSTS-Header - was dann eher für den Browser heisst: »schön, dass du auf mir gerade verschlüsselt surfst - das hätte ich gerne immer so, merk’ dir das!«. Und der Port 80 sagt zu allem »HTTP/301 Moved Permantly → Location: https://mein-servername/und/wo/du/grade/bist«