Let's Encrypt: 2015 kommt kostenloses und einfaches SSL für alle

Eine neue Initiative namens Let's Encrypt will das Web sicherer machen: Das von der Cyber-Bürgerrechtsorganisation EFF gemeinsam mit u. a. Mozilla Cisco und Akamai entwickelte Projekt will, dass HTTPS künftig überall im Web zu finden sein wird. mehr... Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Bildquelle: EFF Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt EFF

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
FYI: CloudFlare (einer der größten CDN Dienstleister der Welt) bietet kostenloses SSL für alle an; und zwar entweder vom Client zum CDN, oder vom Client durch den CDN zum Server (Universal SSL). Azure bietet derzeit für alle US Kunden (egal welches RZ) kostenloses SSL an und zieht damit im Frühjahr 2015 in Europa nach.
 
@TurboV6: Nur bin ich dann auf Azure/CloudFlare angewiesen. Da sehe ich diese Lösung bedeutend besser an.
 
@Knerd: Ja gut, das ist klar. Aber gibt ja mittlerweile sehr viele, die eins von beidem oder beides nutzen.
 
@TurboV6: Ist natürlich wahr, nur wäre es schön, wenn es endlich mal eine Lösung für Heroku, AppHarbor, S3, Strato etc. geben könnte, die kostenlos ist :)
 
@Knerd: bei Azure geht das auch nur mit den Web Site und Web Role Instanzen. Nutzt Du eine eigene VM, dann geht das nicht mehr kostenlos. da hat Azure noch sein Alleinstellungsmerkmal bei den Features.
 
@TurboV6: Nur führt CloudFare mehr oder weniger bei jeder diesen tollen verschlüsselten Verbindungen einen Man in the Middle "Angriff" durch...

Und als mir damals das erste mal eine CloudFare Fehlerseite untergekommen ist habe ich erst mal nen kompletten Check meiner IT Umgebung gefahren weil es mir mehr als komisch vor kam das da plötzlich sowas anstatt nem ordentlichen Timeout kam....
 
Die kostenlosen Zertifikate für alle klingen gut, aber denen wird doch niemand vertrauen. Denn eine irgendwie geartete Überprüfung werden die ja gar nicht machen können. Da wäre der Aufwand viel zu groß.
Schauen wir dann mal, ob die neue CA in den Listen der Browser und Betriebssysteme auftauchen wird. Erst dann würde es sich ja lohnen, diese Zertifikate zu verwenden.

Wenn sie es wirklich machen, haben Symantec aka Verisign und Co. allerdings ein Problem und ein dickes Geschäft weniger. ;-)
 
@der_ingo: Überprüfen denn Verisign & Co irgendwas abgesehen vom Geldeingang?
 
@lutschboy: kommt auf das Zertifikat an. Es gibt welche mit EMail-Check (zB StartSSL, nennt sich Verified Class 1) oder mit Check der Persionalien (zB für Code Signing, und besonders Sicherheitsbedürftige Seite, die zB auch einen grünen Adresshintergrund bekommen). Das nennt sich dann Verified Class 2.
 
@TurboV6: Effektiv hat keine CA wirklich ihre Checks im griff denn allen kannst du Geld hinwerfen und du kannst dann für alles und jeden eine grüne adressleiste haben....die Anforderungen dafür sind im wesentlich tatsächlich auf einen dicken Geldbeutel beschränkt
 
@0711: Hast Du ausprobiert, dass Du Dir für hinreichend Geld ohne weitere Prüfung beliebige Zertifikate bei den CA kaufen kannst? Oder dafür eine glaubwürdige Quelle?
 
@FenFire: geh zu einer beliebigen ca (am besten einer Sub ca oder noch besser gleich zu nem reseller wie psw), sag du willst eine Sub ca haben, bring Geld mit, nimm einen strohmann mit...

Was und wem deine Sub ca Zertifikate ausstellt wird von keinem wirklich kontrolliert
 
@0711: Über die Sub-CAs lässt sich die Kontrolle wohl mit hinreichend krimineller Energie aushebeln... aber ob das letztlich eine Frage des "für Geld machen wir alles" seitens der CAs ist? Wohl eher eine Frage der Organisation "wie organisieren wir eigentlich Vertrauenswürdigkeit".
 
@FenFire: Letztlich ist die derzeitige Organisation der Vertrauenswürdigkeit unter den CAs maßgeblich davon bestimmt wer genug Kohle hat...nicht das am Geld verdienen was falsch ist oder das Problem einfach zu lösen wäre ohne x% gewaltig vor den Kopf zu stoßen (und Monopole etc fördern)

Welchen Grund gibt es dass ich PersonX Vertraue aufgrund der Tatsache dass ich Person1 vertraue und diese Wiederum Person2 vertraut, welche Person3 vertraut und diese Person3 PersonX vertraut. So funktioniert das heute aktuell, alle Personen mit Nummer in der Kette sind daran interessiert Geld zu verdienen. Gleichzeitig soll das ganze ja auch garantieren dass ich tatsächlich mit PersonX kommuniziere aber jeder der Kette könnte mit voller Vertrauen versichern dass er oder ein anderer dritter PersonX ist.
Ich vertraue meinetwegen PersonX wenn Person1 dafür bürgt und ich Person1 vertraue...alles darüber hinaus ist für mich einfach nicht mehr Vertrauenswürdig.
Und man darf ja nicht vergessen, Person1 steht hier schon für unzählige Stellen.
 
@lutschboy: in der Theorie ja, in der Praxis hat sich schon öfter gezeigt dass, das aktuelle System der ca`s die für andere ca`s bürgen die dann wiederrum für von sonstwem betriebenen ca`s bürgen keiner einen überblick hat oder das ernsthaft nachprüft, da machste deine Häkchen in der exceltabelle und verteilst munter an jeden Zertifikate gleich welche "verified class")
 
@der_ingo: ich würde der EFF und Mozilla mehr vertrauen als VeriSign und Co.
 
@TurboV6: und was ist mit den Kandidaten
Cisco, Akamai, IdenTrust
?
 
@0711: Worauf willst Du hinaus? Akamai ist in erster Linie der Volumengrößte Content Delivery Dienst mit einem riesigen CDN; kein Zertifikatsausteller. IdenTrust ist nur ein Konsortium und ein Bankendienstleister, ähnlich Feducia in Europa. Was hat das alles mit VeriSign zutun?
 
@TurboV6: IdenTrust hat die gleiche Geschäftsgrundlage wie Verisign und ist weit davon entfernt ein "bankendienstleister" ähnlich feducia zu sein.
 
@0711: IdenTrust wird von ca. 50 Banken der Welt gehalten, darunter die Deutsche Bank. Ja, sie geben Zertifikate aus. Nein, sie agieren nicht wie VeriSign.
 
@TurboV6: Was unterscheidet sie von verisign außer den Eigentümern? Sie bieten die gleichen "Produkte" an, sollen profitabel damit arbeiten usw usf
 
@TurboV6: für die Zertifikate ist völlig egal, wem du oder ich vertrauen. Wichtig ist, was in den Listen von Firefox, Chrome, IE, Windows, Linux, OS X drin steht. Ist die CA drin, ist sie nutzbar. Ist sie nicht drin, kann sie noch so vertrauenswürdig sein, sie wird unbenutzbar bleiben.
 
Wieso nutzen die nicht als "gratis CA" bereits etablierte vertrauenswürdige kandidaten wie CACert?! Mich machen bei der oben genannten Ankündigung vor allem 3 Namen stutzig
Cisco, Akamai, IdenTrust

Keine der drei ist bisher durch sonderlich große Nächstenliebe aufgefallen....als aller letztes identrust

*nachtrag
nicht dass ich das vorhaben schlecht reden will, der komfortgewinn und co scheint mir nötig. Um mehr verschlüsselte Kommunikationswege zu haben scheint der weg richtig zu sein der hier gegangen werden soll.
"Ein SSL-Zertifikat zu bekommen, ist aktuell eine mühsame und bürokratische Angelegenheit, vor allem sind diese auch nicht billig." ist auch nicht wirklich richtig
 
@0711: Was hat das mit Nächstenliebe zutun? Die 3 von Dir genannten Unternehmen haben berichtigtes Interesse an sichereren Netzwerken und wollen unabhängige Stellen, was man von den heutigen nicht unbedingt sagen kann. Ein SSL Zertifikat er höchsten Güteklasse zu bekommen ist weit schwieriger als Du hier darstellst. Ein StartSSL Zertifikat (Class 1) zu erhalten; dazu braucht es nichts. Damit kannst Du aber nicht arg viel erreichen ausser mailSigning und nen einfaches HTTPs ohne verifizierte Identität.
 
@TurboV6: Man kann ohne große Probleme zu einer ca - oder einem Partner wie psw - gehen und mich selbst als root ca anmelden
viel mehr wie ausweis auf den tisch, n guter 5 stelliger betrag und vertrag unterzeichnen ist da nicht...
Eine echte Kontrolle für wen ich dann Zertifikate ausstelle und mit welcher Güteklasse findet nicht statt, auch wenn ich das vertraglich zugesichert habe...das kann jeder(!) machen.

Das "CA" System ist nicht vertrauenswürdig, schon ewig nicht mehr weil einfach niemand einen überblick haben kann wer denn da nun was und wieso ausstellen darf.

Achso und bezüglich der 3 die berechtigtes Interesse an sicheren Netzwerken haben, deshalb also baut cisco backdoors ein und gibt's dann kleinlaut zu ( suche nach cisco port 32764 oder schaue direkt bei cisco http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140110-sbd )
Und identrust gibt gratis Zertifikate raus....oder banken sind nicht an geld/gewinnmaximierung interessiert

Wie man so jemand wie cisco nach solchen Vorfällen nur einen funken vertrauen entgegenbringen kann ist mir völlig unverständlich

Auch dass dieser dienst die "Zertifikate managen" soll (beudetet das die privaten zertifikate sind nicht allein in meiner Hoheit?) ist jetzt nichts was bei mir vertrauen erweckt wenn ich die 3 da lese...
 
Für eine Root-CA brauchst du überhaupt keine CA, denn eine Root-CA stellt sich ihr eigenes Zertifikat aus.

Richtig ist zwar dass es keinen wirklichen Überblick gibt welche Stellen vertrauenswürdige Zertifikate ausgeben können, aber dass "jeder" ein Sub-CA-Zertifikat ausgestellt bekommt glaubst du doch wohl selbst nicht.
 
@Garbage Collector: Die einzige Hürde warum "wir" uns dagegen entschieden haben waren die Kosten - genau so standen die aber bei uns auf der matte und effektiv kenne ich keinen anbieter der hier großartig hohe hürden legt.

AChso und generell die Validierung für eine "grüne adressleiste" basiert auch mehr auf vertrauen als Prüfung.

edit
dein einwurf mit root/sub ca war natürlich richtig
 
@0711: kosten? Die Green Bar SSL (Extended Validation) gibt es ab 100$ Jahr. Was ist daran an den Kosten auszusetzen? Der Aufwand der Prüfung ist im Vergleich aber hoch. Personalien des Admins, Behördenregistrierung und Co. Das alles steckt nachher ja im Zertifikat. Sonst wär es nutzlos. Irgendwie scheint mir, dass Du von den Zertifikaten nur wenig Ahnung hast.
 
@TurboV6: es ging bei den kosten nicht um ein einzelnes Zertifikat sondern selbst als ca aufzutreten.
 
@0711: und dann fragst Du Dich wieso man CA nicht traut, wenn jeder Dödel CA werden kann? Und nur weil man CA ist heisst das noch lange nicht, dass man auch ein vertrauenswürdiger CA ist und in die Liste von Mozilla und Co aufgenommen wird.....
 
@TurboV6: ich frage nicht, ich sage dass die ca Infrastruktur wie sie aktuell existiert nicht vertrauenswürdig ist.

Als eigenständige ca auftreten kostet so oder so nichts, die nötige "infrastruktur" kann ich daheim auf meinem *wrt router laufen lassen...

Als vertrauenswürdige ca (über Sub Sub Sub) auftreten kostet allerdings schon n bisschen was (und darum geht's).
 
@0711: so funktioniert jeder Firmeninterne Zertifikatsserver. Wie sonst willst Du Dinge wie Dinge wie SSL Terminierung zur Traffic-Kontrolle durchsetzen. Das CA wie es heute ist, ist in der Grundform sicher. Du darfst halt nicht jeder Dödel CA Firma vertrauen, sondern nur etablierten.
 
@TurboV6: Im eigenen Netz? Einfach, ich mach mich gleich selbst als vertrauenswürdige stammzertifizierungsstelle bei meinen clients bekannt...da muss ich an keinen externe ca rantreten damit ich für die Sub machen darf. Solange ich eben nur firmeneigene geräte überwachen will...
Überwache ich dagegen dritte, bräuchte ich dann von einer allgemein vertrauten ca den segen über Sub Sub sonstwen
Allerdings ist diese Möglichkeit und dieses vorgehen genau der punkt an dem eine verschlüsselte Verbindung (mein gegenüber soll ja durch das Zertifikat garantiert der gegenüber sein....nur rede ich gar nicht mit meinem gegenüber, bekomms aber aufgrund verworrener Vertrauensverhältnisse gar nicht mit) nicht mehr vertrauenswürdig ist...möglich macht dies die CA Infrastruktur in der heutigen form in der vertrauen von vertrauensgebern an weitere vertrauensgeber weitergegeben wird und ich als Endanwender habe nur eingeschränkte Möglichkeiten dies zu erkennen.

im Standard vertraut praktisch jeder erhältliche Client ein Vielzahl von CAs, beispiel mozilla (ms ist weitaus schlimmer)
https://docs.google.com/spreadsheet/pub?key=0Ah-tHXMAwqU3dGx0cGFObG9QM192NFM4UWNBMlBaekE&single=true&gid=1&output=html
Wie viele Sub CAs es schon allein auf erster Hierarchiebene gibt will ich gar nicht wissen (also CAs denen von den aufgeführten das vertrauen ausgesprochen wurde), noch weiter runter will ich noch nicht mal schauen.
Dass da staatliche Stellen dabei sind ist sicher auch vertrauenswürdig dass es kracht, wie wir inzwischen wissen sorgt sich praktisch jeder Staat so sehr um seine bürger dass Sie praktisch alle an der Totalüberwachung arbeiten (Indien ist ja vor kurzem erst mal wieder rausgeflogen weil sie solcherart Schindluder trieben, konnten se trotzdem jahrelang machen).
Der Vertrauenswürdigkeit der einzelnen sonstigen CAs hinterherkehren mag ich jetzt auch nicht

Der Punkt ist ja weiterhin, ich kann als dödel ca über dritte von einer "super ca" als vertrauenswürdig durch die welt wandern (wie in deinem firmenbeispiel).

Das "CA wie es heute ist, ist in der Grundform sicher", ich lache und verweise mal auf jenes Beispiel hier von mir http://winfuture.de/comments/thread/#2528346,2528364
 
@0711: Les Dich einfach mal in PKI und X.509 ein. Ich glaub Du hast ein völlig falsches Verständnis von SSL.
 
@RalphS: was von dem was ich schrieb trifft nicht zu?

Eine direkte Kritik an ssl ist das auch nicht...
 
@0711: Das ist richtig. Nicht SSL ist zu kritisieren, wenn alles und jeder ein völlig falsche Vorstellung davon hat. SSL tut nichts, als existierendes Vertrauen zu übertragen. Nicht mehr, nicht weniger. Wenn man einem Zertifikat vertraut, obliegt das einem selber - und nicht SSL. Ja, streng genommen heißt das dann tatsächlich, daß man solche CA-Zertifikatsbündel meiden müßte, wenn man nicht grad in Erfahrung gebracht hat, wer da wer ist und was die wie und mit wem zu schaffen haben. Das macht die Sache allerdings arg aufwendig (Sicherheit, oder Komfort?) und natürlich braucht man auch eine... gewisse... Unterstützung durch die Infrastruktur (zB durch die Bereitstellung von CRLs). Man kann ja schließlich nicht immer und überall hinterher sein.

Zugegeben: dieses "SSL kostenlos für alle" schlägt in genau dieselbe Kerbe. Man kann wohl kaum vom Endanwender erwarten, daß er SSL-Konzepte "begreift", wenn die da so einen Mist bauen. "SSL kostenlos für alle" macht jedes Vertrauen schon im Ansatz zunichte, denn was nicht da ist, kann auch nicht durch SSL übertragen werden. Letztlich wäre das dasselbe, wenn die Bürgerämter Personalausweise per Postwurf verteilen würden.
 
Das Ziel ist nicht "das erfolgreiche, aber unsichere HTTP-Protokoll zum Verschwinden zu bringen", denn HTTPS gibt es nicht ohne HTTP.
 
Das liest sich grad wie "denn sie wissen nicht, was sie tun"... was ich aber andererseits auch irgendwie bezweifel, wenn ich ehrlich bin. Seltsam.

SSL ohne "Hürden" ist wertlos - Zertifikate sollen Identitäten *sicherstellen* und wenn schon im Vorfeld nicht klar war, wer das ist, dann fehlt SSL jede Grundlage und man könnte genausogut komplett darauf verzichten.
 
@RalphS: Ein Zertifikat von Lets Encrypt ist nichts anderes, als ein heutiges Zertifikat - nur einfacher! Wenn du bspw. ein Zertifikat für die Seite musterhausen.de ausstellen lassen willst, musst du nachweisen können, dass dir die Domain auch gehört. Praktisch wird das vermutlich so ablaufen, dass du ein CR an Lets Encrypt stellst (lets-encrypt musterhausen.de) - Lets Encrypt wird dann versuchen, im root Verzeichnis von musterhausen.de ein File abzulegen. Gelingt das und passt das File zum CR, wurde nachgewiesen dass dir die Domain gehört und du somit vertrauenswürdig bist. Das ganze wäre dann nur über DNS-Spoofing anzugreifen. Bei heutigen Standard-Zertifikaten (Class 1) hast du auch nicht mehr Sicherheit - dort musst du in den meisten Fällen nachweisen, dass dir z.B. die Mailadresse webmaster@musterhausen.de gehört.
 
Ich habe von mehreren Betreibern auf Anfrage auch die Antwort bekommen, dass die zusätzliche Rechenleistung (nicht nur das Zertifikat) zu teuer wäre, als das sie eine Umstellung in Erwägung ziehen würden.

Dennoch eine sehr lobenswerte Entwicklung.
 
Bitte können wir damit anfangen TLS zu schreiben und nicht mehr SSL? Denn SSL sollte nicht mehr verwendet werden, lediglich TLS ist "sicher". Das hat die letzte Poodle-Lücke in SSL erst wieder gezeigt.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles