CA-Alternative Let's Encrypt startet mit erstem freien Zertifikat

Das Projekt "Let's Encrypt" stellt ab sofort kostenfreie Zertifikate für verschlüsselte HTTPS-Verbindungen aus. In dem Projekt arbeiten seit Monaten unter anderem Mozilla und die Electronic Frontier Foundation daran, Browsersicherheit nicht mehr ... mehr... Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Bildquelle: EFF Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt Ssl, Eff, Zertifikate, SSL-Zertifikate, Let's Encrypt EFF

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Sehr schön :) Jetzt wird SSL auch für Hobbyentwickler was :)
 
Oder man holt sich hier ein kostenloses Zertifikat: https://buy.wosign.com/free/
Oder kauft sich hier ein sehr günstig: http://hostmybytes.com/ssl-certificates/
 
@EvilMoe: https://www.speedit.org/sicherheit/einsteiger-ssl-zertifikate/ oder hier zum Beispiel vom deutschen Händler mit guten Zertifikaten ;)
 
@EvilMoe: Du kannst dir Zertifikate auch komplett selber ausstellen ohne eine Auth-Stelle, darum geht es bei dem Projekt auch nicht bzw. ist das Konzept von SSL-Zertifikaten ja "Vertrauen" zu schaffen.
 
@xploit: Ein selbst erstelltes wird aber nicht einfach von einem Browser akzeptiert ohne Einwilligung. Deswegen habe ich alternativen genannt wo man auch kostenlos an gültige SSL Zertifikate kommt die akzeptiert werden.
 
@EvilMoe: Wird wosign tatsächlich global als vertrauenswürdig anerkannt? Wie lange sind die Zertifikate kostenlos?
 
@xploit: Ja, werden sie. Nutze ich bei mir schon knapp 1 Jahr. Ich meine für immer, du kannst die dauer des Zertifikates auswählen, also mindestens für 3 Jahre.
 
@xploit: dauerhaft.
 
@TurboV6 @EvilMoe - Danke, wieder was gelernt.
 
@EvilMoe: Für mein NAS habe ich http://www.startssl.com/ verwendet, läuft auch sehr gut.
 
@EvilMoe: sind halt leider nur Level 1 Zertifikate. Also nur reine HTTPS Verschlüsselung ohne Identitätsüberprüfung etc.Also nix grüne Adressleiste.
 
Was euch allerdings entgangen zu sein scheint ist dass es schon ab der allgemeinen Verfügbarkeit Mitte November ein Cross-Signing der Zertifikate von IdenTrust geben wird, d.h. die dann ausgestellten Zertifikate werden ohne manuell zu installierendes Rootzertifikat von den allermeisten Clients als vertrauenswürdig akzeptiert werden.

Gerade das ist es ja was Let's Encrypt für die Allgemeinheit interessant macht.
 
Aber sowas wichtiges wie Wildcard-Zertifikate gehen dafür nicht..
 
@ConiKost: Welcher Privatmensch benötigt denn WildCard-Zertifikate? Dann leg ich halt noch 3, 4 Extra-Zertifikate für die Subdomains an und gut ist.
 
@xploit: Ziemlich viele. Es ist ziemlich müßsehlich, wenn du für jede einzelne Subdomain dir immer wieder neue Zertifikate erstellst..
 
@ConiKost: Das ist nicht der Punkt. Es geht um kostenlose Zertifikate und die Abwägung, ob Privatanwender unbedingt WildCard-Zertifikate benötigen. Als Privatmensch nehme gerne in Kauf, dass ich fünf Zertifikate extra anlegen muss - dafür ist es kostenfrei. Und jetzt zeig mir mal den UseCase eines gewöhnlichen Privatanwenders, der spontan und a hoc 10 Sub-Domains anlegen muss? Mit Sicherheit nicht "ziemlich viele". Außerdem ist es alles anders als mühselig (sic!), denn die Erstellung einer CSR dauert nicht mal eine Minute und das Einbinden des CRT dauert noch mal eine Minute.
 
@xploit: Wenn es nur um kostenlose Zertifikate deiner Meinung nach geht, wo ist dann der Vorteil? Das gab es schon früher auch..
 
@ConiKost: Was ist denn jetzt dein Kritikpunkt? Meine Frage war, welcher Otto-Normal-User _unbedingt_ WildCard-Zertifikate benötigte. Du meintest ziemlich viele. Das habe ich bezweifelt. Gehe doch einfach auf genau diesen Punkt ein und argumentiere nicht daran vorbei indem zu die - natürlich wahre - Behauptung aufstellst, dass es sowas schon immer gab. Vielleicht kommen wir dann am Ende auch zu einem Konsens. ;)
 
@xploit: Man müsste erstmal definieren, was der Otto-Normaluser ist. Jemand der SSL-Zertifikate sich erstellt bzw. welche braucht, würde ich erstmal nicht mehr als Otto-Normaluser sehen, sondern jemand, der schon eine gewisse Ahnung haben muss. Ich kann jedenfalls hier nur aus Erfahrung sprechen, dass ich viele Private Leute kenne, die eben gerne mit Subdomains arbeiten und aus Komfortgründen nun mal Wildcard bevorzugen. Bei neuen Subdomains muss sich da nicht erst noch um neue Zertifikate kümmern.
 
Bleibt zu fragen, ob das, was dann als "Vertrauenswürdig" deklariert wird, auch wirklich vertrauenswürdig IST.
 
@RalphS: Das ist der Sinn von Kryptographie.
 
@Shadow27374: Nein, nicht bei SSL. Da hat Kryptographie nur unterstützenden Charakter und hilft, ein existierendes Vertrauensverhältnis zu übertragen - und zwar so, daß sichergestellt ist, daß das, was vorne reingestopft wurde, hinten auch wirklich UNverändert wieder rauskommt.

Problem: wenn jeder das macht, gibts hinterher einfach nur SSL-gesicherte Phishing-Websites.
 
@RalphS: Ich verstehe momentan nicht, was in dem Fall anders sein soll als von anderen CAs?
 
@RalphS: deswegen gibt es verschiedene Level von HTTPS Zertifikaten.
 
@TurboV6: Mh? Die haben doch damit (noch) gar nichts zu tun. Lets encrypt entzieht SSL die (Vertrauens-)Basis: wo nichts ist, kann auch nichts bestätigt werden, egal ob da ein Zertifikat dahinter steht oder nicht (da reden wir noch gar nicht von der ART desselben).

Nein, SSL bringt nur was, wenn vorher(!) ein Vertrauensverhältnis etabliert wird, was dann übertragen werden kann. Ohne dieses Vertrauensverhältnis wird SSL nicht nur wertlos, sondern gefährlich, weil damit dann eine Vertrauensbasis impliziert ist, die es aber an keiner Stelle gab; mit anderen Worten: Trittbrettfahrer und X-gibt-sich-für-Y-aus wird damit massiv gefördert.
 
@RalphS: nö, das stimmt so leider nicht. SSL hat nicht das Ziel, dass nur die Identität bestätigt wird, sondern, dass selbst einfachste Verschlüsselungen möglich sind. Es gibt eben SSL Zertifikate, die darauf ausgelegt sind, eine virtuelle Identität (zB die reine E-Mail Adresse) zu bestätigen, wie auch die Person bzw. Firma dahinter.
 
Finde ich eine gute Sache. Jedoch sollte man sich im klaren sein, dass jede CA Zertifikate für jede Domain ausstellen kann und so MITM-Angriffe trotzdem möglich sind. Das kann passieren, wenn CAs gehackt werden oder SubCA Zertifikate ausstellen. Eine Regierung kommt mit Sicherheit auch einfach an die Keys ran.
 
@ESmazter: Dass eine Regierung ohne selber illegal Tätig zu werden an die Keys kommt, bezweifel ich doch sehr stark. In den USA halte ich das aufgrund der Gesetzeslage aber durchaus für möglich.
 
@Shadow27374: Man wird wohl einen Richter finden, der den Beschluss unterschreibt ;)

Edit: Und wenn es die Regierung macht ist es sowieso nicht illegal oder hast du was die letzten Jahre nicht mitbekommen?
 
@ESmazter: Offiziell ist es illegal, ob derartige Straftaten geahndet werden ist natürlich eine gänzlich andere Frage. Der Richtervorbehalt ist sowieso sinnfrei, die unterschreiben schon seit mindestens >1 Jahrzehnt alles.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte