Es gibt wie gesagt ja auch andere Clients, bspw. per php....Ganz ehrlich habe ich auch so meine Probleme mit diesem ganzen Python Webserver Gedöns nur für ein SSL-Zertifikat
Fefe's macht ja keinen Hehl aus seinen mitunter radikalen Meinungen. Auch hier darf man durchaus hinterfragen: Vertraut Fefe dem Zertifikats-System nicht etwas zu sehr? Aus seinem Post lese ich durchaus gewisses Vertrauen demgegenüber. Was ist besser: Einfach zu generierende Zertifikate die sich jeder ausstellen kann, was die Prozentzahl an verschlüsselter Kommunikation stark erhöhen dürfte, oder ein System das eher versierten Anwendern bzw. Fachpersonal und Unternehmen offensteht, den Normalanwender aber aufgrund seiner Komplexität "aussperrt". Nur so als Diskussionsanstoß.
Ja, gerade hier sehe ich auch einen der Haken in den letzten Jahren - Komplexität wirkt in der Breite abschreckend. Wobei man ja noch im Zertifikat-System unterscheiden muss - zwischen der technischen Sicherheit von Zertifikaten an sich und dem Vertrauenssystem. Ersteres ist unbestritten, bei letzterem teilen sich die Geister. Ich persönlich sehe daher den besten Weg darin, ein einfaches Zertifikatssystem zur Erzeugung zu etablieren - auch mit entsprechenden Settings/Infos zu den verwendeten Parametern-, kombiniert mit entsprechend neu etablierten Vertrauensankern, losgelöst von hierarchischen Strukturen. DNSSEC/DANE und gepinnte Zertifikate sind Beispiele, die ich teilweise hier ja auch schon beleuchtet hatte - wenn so etwas automatisiert läuft (bspw. auf einer DS), wird das der Verschlüsselung und dem Vertrauen darin enormen Vorschub geben.
ich verstehe nicht so ganz wieso das C&P eines CSR in ein Formular eines Cert-Anbieters soo kompliziert sein soll. Sorry aber wer einen Sever betreibt soll sich auch mit der Materie auseinandersetzen. Ein openssl Kommando abzutippen ist echt nicht viel schwieriger als die Installation des letsencrypt Paketes.
Ich sehe das prinzipiell ähnlich, die Diskussionen im Forum zu diesem Thema deuten aber auf etwas anderes hin. Das Erneuern der Zertifikate finde ich im übrigen auch nicht so prickelnd. Auch empfinde ich die "Durchschnittspreise" als zu hoch. Mal hat man halt etwas mehr als 1 oder 2 Domains und wenn man Wildcard oder ein Zertifikat für mehrere Domains möchte, wird man ganz schön zur Kasse gebeten.
Nach der jüngsten Reservierung eines SMIMEA-Records zum bereits bestehenden TLSA wird da im Hinblick auf stärkere DANE-Unterstützung sicher ein wenig mehr Fahrt gewonnen - allgemeinverfügbare email-Verschlüsselung ist ein aktuell mehr als drängendes Problem. Auch alternative Wildwüchse à la "Email made by Germany" wurden zum Glück zugunsten von DANE aufgegeben - von daher denke ich werden wir im ersten Halbjahr 2016 spürbare Schritte erleben. Bei Let's Encrypt dann übrigens auch mit dem Wechsel in Richtung ECC - ein weiterer Grund, warum sich hier ein Generationswechsel anbahnt.
Das liegt aber eher daran, dass die meisten Banken über Jahre hinweg das Thema Onlinesicherheit vernachlässigt und schlichtweg per Outsourcing gelöst haben... Und was die Jungs da liefern, ist nun nicht das Gelbe vom Ei - bis vor einem guten Jahr nutzten Banken zu über 80% RC4 als favorisierte Cipher! Abgesehen davon - in der Bankenwelt ticken die Uhren anders. Wer sich mal mit der Geschichte des MM-Moduls einer Zahlungskarte beschäftigt - ein Inselfeature aus grauer Vorzeit-, staunt mehr als große Klötzchen...
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
