ilch Forum » Allgemein » HTML, PHP, SQL,... » Kostenlose HTTPS-Zertifikate ab Nov.

Geschlossen
  1. #1
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beiträge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    Heyho,
    habe soeben erfahren dass die Intiative "Let's Encrypt" kostenlose HTTPS-Zertifikate ab November 2015 verteilt.

    Da das Thema mit HTTPS-Zertifikate ab und an hier im Forum auftaucht und eventuell für den ein oder anderen Entwickler interessant wäre, dachte ich mir sag ich euch Bescheid. zwinker

    Seite zur Intiative
    Beta Programm Teilnahme

    Quelle: t3n.de

    Viel Spaß weiterhin, bei Allem was ihr tut. lachen
    1 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.278
    Beitragswertungen
    356 Beitragspunkte
    Ist ja nicht so, dass es bisher keine kostenlosen Zertifikate gab, aber vielleicht wird es bei "Let's Encrypt" ja einfacher sein um das Ziel zu erreichen, dass einfach mehr Seiten über HTTPS erreichbar sind.

    www.startssl.com/
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    MOODFOR Mitglied
    Registriert seit
    25.06.2014
    Beiträge
    177
    Beitragswertungen
    2 Beitragspunkte
    Ich glaube nicht, dass das Projekt viel Aufmersamkeit auf sich ziehen wird .
    Cloudflare bietet schon seid längerer Zeit kostenlos SSL an .
    Und Leute die tatsächlich SSL brauchen, brauchen auch einen DDoS Schutz .

    externer Link

    Außerdem kostet ja SSL praktisch nichts, ich zahle glaube ich 7-8 pro Jahr für SSL .
    The government pretend,
    they your friend. And then when you steal some shit,they put you in jail
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.278
    Beitragswertungen
    356 Beitragspunkte
    Wobei "Flexible SSL" ja wohl der absolute Witz ist und bei den anderen Optionen hatte ich auch eine miese Vorahnung, die nach kurzer Recherche bestätigt wurde (1).

    (1) scotthelme.co.uk/tls-conundrum-and-leaving-cloudflare/
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    MOODFOR Mitglied
    Registriert seit
    25.06.2014
    Beiträge
    177
    Beitragswertungen
    2 Beitragspunkte
    Der Artikel ist schwachsinnig . Wie jeder sich wichtig machen möchte und Cloudflare schlecht redet . Dabei ist Cloudflare so dermaßen sicher, dass Kinox.to , Boerse und andere große WarezSeiten den Dienst seit Jahren nutzen . Selbst große Torrent Seiten nutzen Cloudflare....

    Und so oder so ist SSL nicht mehr sicher .

    Die Poodle-Lücke :

    externer Link
    The government pretend,
    they your friend. And then when you steal some shit,they put you in jail
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.278
    Beitragswertungen
    356 Beitragspunkte
    Was hat das jetzt damit zu tun das SSL nicht mehr sicher ist? Deren Produkt heißt nun mal "Flexible SSL" und so weiter, aber das hat nichts damit zu tun ob SSL oder TLS in verschiedenen Geschmacksrichtungen genutzt wird.

    Ob Kinox... oder andere Warez-Seiten Cloudflare benutzen, ändern rein gar nichts am Problem mit diesem Service von Cloudflare.
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    MOODFOR Mitglied
    Registriert seit
    25.06.2014
    Beiträge
    177
    Beitragswertungen
    2 Beitragspunkte
    Ganz einfach, wenn ein Boot 50 Löcher hat und sinkt, dann beschwert man sich doch nicht über ein spezifisches Loch . Ich wollte mit meinem Beispiel darlegen, dass "Sicherheit" bei CF sehr hoch angesetzt ist . Solche Menschen haben sicherlich mehr Ahnung als irgendein Bloger ...
    The government pretend,
    they your friend. And then when you steal some shit,they put you in jail
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.278
    Beitragswertungen
    356 Beitragspunkte
    Ohne jetzt das Thema komplett aufzurollen mit allen "Variablen" - wir reden über:

    HTTPS (1) - HTTP mit Verschlüsselung der Daten mittels SSL/TLS (2) und unter Berücksichtigung der aktuellen Einschätzung was als sicher gilt, dann ist das kein Boot mit 50 Löchern, welches am Sinken ist.

    Wir haben z.B. ein Loch im Rechenzentrum, weil dort welche Zugriff auf die Hardware des Servers haben. Damit muss man in den meisten Fällen leben.

    Aber wenn man nun die Dienste von Cloudflare einsetzt hat man ein zusätzliches Loch, welches Cloudflare als MITM (3) ist. Da muss man sich halt überlegen wie sehr man Cloudflare vertraut und zwischen Sicherheit, Komfort und Kosten abwägen. (Also ich verteufele Cloudflare nicht)

    Um nochmal kurz deren Produkt "Flexible SSL" (4) anzusprechen. Das ist einfach total sinnlos, weil der Weg von deinem Server zu Cloudflare unverschlüsselt ist. Nehmen wir mal als Beispiel, dass du das nutzt. Also ein Angreifer muss sich nur dort reinhängen. Zwischen deinem Server und Cloudflare ist auch keine direkte Leitung, sondern mehrere Netzknoten (kannst ja mal mit Traceroute gucken). Das der Weg von Cloudflare zu deinem Besucher verschlüsselt ist, macht das auch nicht mehr wett. "Lustig" ist auch, dass dein Besucher ein grünes Schloss sieht und "geschützt, sicher" denkt, aber dann bei "Flexible SSL" sowas gemacht wird. Da müsstest du mir doch wohl zustimmen oder nicht?
    Es wird aber ja auch noch "Full SSL" und "Full SSL (Strict)" angeboten.

    (1) de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
    (2) de.wikipedia.org/wiki/Transport_Layer_Security
    (3) de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
    (4) www.cloudflare.com/ssl


    Zuletzt modifiziert von blackcoder am 26.10.2015 - 20:52:05
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    MOODFOR Mitglied
    Registriert seit
    25.06.2014
    Beiträge
    177
    Beitragswertungen
    2 Beitragspunkte
    Schau das obere Video, es ist nicht mehr sicher...

    www.youtube.com/watch?v=3j8ObV4n5pk
    The government pretend,
    they your friend. And then when you steal some shit,they put you in jail
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Diese Lücke wurde natürlich in aktuellen Versionen der SSL Libs geschlossen... bzw. kann durch Serverkonfigurationen verhindert werden, indem man nur "sichere" Algorithmen zulässt.


    Zuletzt modifiziert von Mairu am 27.10.2015 - 08:00:45
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu HTML, PHP, SQL,...

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten