Vorschau von Links

MrMM · 6. März 2016 um 21:42

Werden bei euch auch keine Vorschaubilder des Aachener Blogs angezeigt wenn sie hier im Forum verlinkt werden?

Beispiel:

yayachiken · 6. März 2016 um 22:34

Jo bei mir seh ich auch nur eine große Lücke im Post, wo eigentlich ein Beitrag stehen sollte…

adorfer · 8. März 2016 um 00:34

Es würde funktionieren, wenn das Blog das blog a) https machen würde und b) mehr als ein selfsigned-certificate hätte.

MrMM · 8. März 2016 um 08:06

@FxFx kannst du da was dran drehen?

FxFx · 8. März 2016 um 10:17

SSL jährlich beim Hoster zahlen sehe ich nicht. Ist mir der Mehrwert bei einer Seite wie der unseren zu gering.

Dieses Hippe „Let’s encrypt“ war bei meinem letzten „schau ich mal“ unzumutbar. Laufzeit max. 3 Monate und auf dem Server unbekannte Software zum Zertifizieren und Verlängern betreiben (NoGo).

Ich lasse mich da gerne überzeugen, würde mich auch kümmern, wenn die beiden Punkte ausgeräumt oder deutlich runtergefahren sind.

Da muss mich allerdings erst wer überzeugen.Sonst passiert (erst mal nix)

Können wir aber auch mal breit beim nächsten CT auf die TO setzen. Ergebnis sollte dann sein: ja, machen wir und „der xyz“ macht das.

Viele Grüße, Fx

fuzzle · 8. März 2016 um 10:56

@FxFx zumindest für das lets encrypt könntest du semiautomaitisch certificate generien - und dir das hier ansehen GitHub - diafygi/acme-tiny: A tiny script to issue and renew TLS certs from Let's Encrypt

anon68922371 · 8. März 2016 um 12:29

Alternativ ein StartCom StartSSL Class 1 Cert für 1 Jahr. Ist kostenlos.

yayachiken · 8. März 2016 um 18:01

Ich habe den Bash-Client laufen (Bash-Script welches per Cronjob periodisch aufgerufen wird).

Das Skript habe ich komplett durchgelesen, das puzzelt nur ein wenig JSON zusammen um API-Calls zu machen. Externe Abhängigkeiten sind ausschließlich openssl und curl.

Die 3 Monate Laufzeit sehe ich als Feature. Das Revocationgedöhns in TLS bzw. X.509 ist ungünstig gelöst (Firefox macht OCSP mit soft-fail… Chrome macht inzwischen was proprietäres…), da ist es gut, wenn kompromittierte Zertifikate nicht allzu lange rumschwirren können.

Außerdem werden Zertifikate bereits 30 Tage vor Ablauf erneuert. Wenn der Cronjob also täglich läuft hat kann es 29 mal schief gehen ohne dass man ein Problem kriegt

Ob es technisch umsetzbar ist muss aber Jan sagen. Keine Ahnung ob man irgendwelche Skripts oder Cronjobs auf dem Webspace laufen lassen kann. Sonst muss man das alles auf ner externen Box machen (z.B. bei Shiva) und dann ähnlich wie die nodes.json rübersyncen…

FxFx · 8. März 2016 um 18:33

Wenn das die Lösung ist, dann bin ich dafür zu haben. Sollten wir mit Jan klären. Ich habe halt keine Lust auf „boh eh eurer Zerifikat ist voll doof abgelaufen…“ Mail Murks.