Naja - mit ein wenig krimineller Energie auch nur eine Aufgabe und keine Herausforderung mehr. Auf jeden Fall eine andere Schutzstufe als das kabelbasierte LAN - bei mir jedenfalls...
Let's Encrypt: kostenlose SSL-Zertifikate
- Ersteller Frogman
- Erstellt am
- Status
Hallo Frogman,
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
Bücher und Hardware zum Thema gibt es bei Amazon: Let's Encrypt: kostenlose SSL-Zertifikate
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Das möchte ich auch meinen. Von einem in einer Privatwohnung verlegten Kabel was *abfangen* ist ne deutlich andere Aufgabe als gleiches von einer Funkwelle abzuzapfen. Andererseits schert sich ja auch kaum einer um die Sicherheit seines Handies. Nur mal so zum Nachdenken: Vor dir liegt ein Unbeaufsichtigter Apparat mit nahezu unendlich vielen externen Zugriffspunkten (Funk wie Kabel), Ortungsmöglichkeit, und eigener Stromversorgung welche nicht, oder nur durch Entfernung des Akkus dauerhaft getrennt werden kann. Der Besitzer lagert darauf seinen intimsten Daten, und hat dabei nicht mal Root-Zugriff zum Betriebssystem. *Sicherheit* zu schaffen, ist ihm nur durch vertrauten & glauben möglich. Zwar hat er die Möglichkeit ein Backup zu erstellen, doch das schützt ihn nicht vor Datenklau.
Amis wie Chinesen bauen am 512bit knackenden Supercomputer, oder haben ihn gar schon. Was meint ihr was da euer 6-8 Zeichen PW wert ist?
Amis wie Chinesen bauen am 512bit knackenden Supercomputer, oder haben ihn gar schon. Was meint ihr was da euer 6-8 Zeichen PW wert ist?
Ausser meinen Kontakten habe ich nix auf meinem Handy. Und mehr als telefonieren kann es auch nicht ;-)
Achja - und es liegt im Regelfall ausgeschaltet im Auto...
Achja - und es liegt im Regelfall ausgeschaltet im Auto...
Hi,
kurze Frage:
Ich habe per StartSLL ein Zertifikat erstellt.
In meiner DS sieht auch alles "grün" aus, auch der Browser akzeptiert die Verbindung und kommt nicht mehr mit der störenden Meldung.
Frage: Der Browser zeigt mir folgendes an:
Verbindung verschlüsselt (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128 Bit Schlüssel, TLS 1.2)
Ich dachte eigentlich, dass es sich um ein 256 Bittiges Zertifikat handelt.
Ist 128 im privaten Umfeld ausreichend sicher?
Danke,
Moritz
kurze Frage:
Ich habe per StartSLL ein Zertifikat erstellt.
In meiner DS sieht auch alles "grün" aus, auch der Browser akzeptiert die Verbindung und kommt nicht mehr mit der störenden Meldung.
Frage: Der Browser zeigt mir folgendes an:
Verbindung verschlüsselt (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128 Bit Schlüssel, TLS 1.2)
Ich dachte eigentlich, dass es sich um ein 256 Bittiges Zertifikat handelt.
Ist 128 im privaten Umfeld ausreichend sicher?
Danke,
Moritz
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Das ist nur der Sitzungsschlüssel. Die verschiedenen key Längen vom Zertifikat selbst bekommst du via Zertifikat anzeigen erst zu sehen.
Mehr zu den verschiedenen Schlüssel etc. z.B.
http://pki.uni-regensburg.de/hintergrund.py
https://de.wikipedia.org/wiki/Transport_Layer_Security
http://www.netzwelt.de/news/85067_3-netzwelt-wissen-ssl-verschluesselung.html
Mehr zu den verschiedenen Schlüssel etc. z.B.
http://pki.uni-regensburg.de/hintergrund.py
https://de.wikipedia.org/wiki/Transport_Layer_Security
http://www.netzwelt.de/news/85067_3-netzwelt-wissen-ssl-verschluesselung.html
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Hierzu vielleicht eine etwas vertiefte Beschreibung:
bei der Cipher handelt es sich - was die eigentliche Verschlüsselung angeht - um eine AES-128bit-Verschlüsselung. Diese ist - egal ob nun privates oder hoheitliches Umfeld - eine absolut sichere Verschlüsselung. Im Gegenteil, rein mathematisch liefert eine AES-256bit-Cipher bei bestimmten Angriffen eine geringere Stärke.
Diese AES-Verschlüsselung wird erst mit hochdimensionalen Quantencomputern effektiv angreifbar sein, bis über das Jahr 2030 wird sie daher als sicher angesehen.
Der Teil SHA256 steht für einen hashbasierten Nachrichtenauthentifikationscode, sozusagen eine Integritätsprüfung für die übertragenen Nachrichten. Sie gehört zum aktuellen Standard SHA-2 und kann als sicher angesehen werden.
Zu Beginn der Kommunikation werden RSA-Authentifikationsschlüssel per Diffie-Hellman-Protokoll vereinbart, basierend auf elliptischen Kurven. Das Handshake geschieht dabei mit regelmäßig geänderten temporären Sitzungsschlüsseln (erkennbar an dem hinteren 'E' in ECDHE, was für 'ephemeral', also 'kurzlebig' steht). Auf diese Weise kann eine solche Kommunikation auch dann nicht nachträglich entschlüsselt werden, wenn sie aufgezeichnet wurde und der geheime RSA-Schlüssel in die Hände eines Angreifers gelangt (sog. Perfect Forward Secrecy). Wegen der Verwendung elliptischer Kurven - statt diskreter Logarithmen wie bei dem üblichen Diffie-Hellman-Verfahren - können die Sitzungsschlüssel deutlich kürzer ausfallen, meist werden hier 192, 224 oder 256 bit verwendet.
Hinzu kommt für das Zertifikat eine Signatur von StartSSL - diese basiert inzwischen auf SHA-2, d.h. genauer SHA256, einem 256bit-Hash. Diese ist für die reine Verschlüsselung aber nicht relevant, sondern nur für die Vertrauensinformation der CA.
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Das kommt noch obendrauf. Hat hier schonmal jemand gepostet. Bei dem ausgestelltem X3 Zertifikat von Let's Encrypt Zertifikat (obwohl im Browser richtig erkannt!) schreibt mein Browser: unsicher
- Mitglied seit
- 04. Jan 2012
- Beiträge
- 5.505
- Punkte für Reaktionen
- 1.343
- Punkte
- 234
Schaltet die Systemsprache auf englisch und seht, dass es eigentlich " ... und sicheres ..." heißen soll. Es fehlt also ein d sowie ein Leerzeichen. Unglücklicher Übersetzungsfehler.
Dazu fällt mir spontan doch noch eine Frage ein. Gilt das Zertifikat nur für die Hauptdomain oder deckt dieses auch diverse Subdomains ab?
@frogtwist: Bei einem LE-Cert wüsste ich nicht wie, da mir noch keiner verraten hat wie ich dennen ein CSR zum signieren geben kann.
Aber bei einem selbst erstellten und unterzeichneten Cert kann man alternative Domain Namen eintragen (lassen).
Aber bei einem selbst erstellten und unterzeichneten Cert kann man alternative Domain Namen eintragen (lassen).
Zuletzt bearbeitet:
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Man kann bei der Beantragung weitere Subdomains angeben. Ansonsten ist das Zertifikat auf genau diese Domains beschränkt. Das ist leicht abweichend zu z.B. StartSSL.
MfG Matthieu
Also alt. Names können meines Wissens LE und StartCom. Und ob es sich dabei um Subdomains handelt oder nicht ist egal.
Was halt nicht geht sind halt Wildcard-Domains, zumindest nicht in der kostenlosen Variante.
Was halt nicht geht sind halt Wildcard-Domains, zumindest nicht in der kostenlosen Variante.
In den kostenpflichtigen Zertifikaten von StartSSL werden auch Wildcards unterstützt. Wenn ich es richtig verstanden habe werden die dadurch konfiguriert das vor der Domain ein Sternchen gesetzt wird. (*.domain.tld) Funktioniert das auch bei Lets Encrypt ?
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
