Du bist nicht angemeldet.

#1 24.02.2011 01:04:12

Pierre
Entwickler

Neues SSL-Zertifikat für archlinux.de

Das SSL-Zertifikate von archlinux.de ist nun von StartCom Ltd. signiert. Alle Dienste sind schon seit Anbeginn verschlüsselt und seit Oktober 2009 ausschließlich abgesichert verfügbar.

Bisher wurden die Zertifikate von CAcert unterschrieben. Ich unterstütze und begrüße weiterhin die Arbeit dieser Community-betriebenen Zertifizierungsstelle. CAcert-Zertifikate werden unter Arch Linux von allen Browsern und Programmen akzeptiert.  Nach einem nun mehr als ausreichend langem Beobachtungszeitraum tauchen aber leider immer wieder einige Nachteile durch die Nutzung der CAcert-Zertifikate auf.

  • Standardmäßig akzeptiert immer noch kein gängiger Browser diese Zertifikate und selbst andere Linux-Distributionen tun sich oft schwer diese mitzuliefern; von Windows und Mac OS ganz zu schweigen.

  • Verschlüsselung wird immer wichtiger und mehr Leute achten hierauf; die Fehlermeldungen der Browser verunsichern selbst erfahrene Nutzer. Auch bei unserer Zielgruppe kann man nicht davon ausgehen, dass jeder um die Problematik Bescheid weiß.

  • Leider ist es für Anwender nicht immer Möglich eigene Root-Zertifikate zu installieren.

  • Proxy-Server blockieren den Zugriff komplett; auch hier hat der Anwender keine Möglichkeit dies zu umgehen.

  • Die Erreichbarkeit des OCSP-Servers von CAcert schwankt oft stark: oft etwa 3 Sekunden bis hin zu 9s oder gar nicht erreichbar. Je nach Browser und Einstellungen ist damit archlinux.de nur sehr langsam oder gar nicht erreichbar.

  • Leider gibt es keine Anzeichen, dass vor allem Punkt 1 kurzfristig gelöst werden wird.

Viele der Probleme können wir natürlich nicht direkt CAcert anlasten und glücklicherweise arbeitet die Community hart daran die Situation zu verbessern. Aktuell ist aber praktikabler zumindest vorerst auf eine andere Zertifizierung auszuweichen. Denn: Was ist der Idealismus noch wert, wenn wir dadurch effektiv Besucher ausschließen oder das Leben besonders schwer machen? Das aktuelle Zertifikat ist nun erstmal zwei Jahre gültig. Dann können wir uns ansehen, wie sich die Lage geändert hat.

Offline

#2 24.02.2011 01:09:33

Pierre
Entwickler

Re: Neues SSL-Zertifikat für archlinux.de

Noch als Nachtrag: Ich habe schon mit einigen darüber gesprochen und natrülich finde ich diesen Schritt schade, aber praktisch gesehen sicher die richtige Entscheidung. Verglichen mit anderen ist das Zertifikat recht günstig: 50$ für zwei Jahre (den genauen €-Betrag trage ich in den Umsätzen nach sobald die Abbuchung eingegangen ist).

Vielleicht packen wir irgendwann unsere Public Keys einfach in den TXT-Eintrag des dann signierten DNS. :-)

Nachtrag: In Euro umgerechnet waren das 36,80€; siehe auch https://wiki.archlinux.de/title/Spenden … s%C3%A4tze

Beitrag geändert von Pierre (10.03.2011 23:13:25)

Offline

#3 24.02.2011 19:48:32

kerasi
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

Pierre schrieb:

Noch als Nachtrag: Ich habe schon mit einigen darüber gesprochen und natrülich finde ich diesen Schritt schade, aber praktisch gesehen sicher die richtige Entscheidung. Verglichen mit anderen ist das Zertifikat recht günstig: 50$ für zwei Jahre (den genauen €-Betrag trage ich in den Umsätzen nach sobald die Abbuchung eingegangen ist).

Vielleicht packen wir irgendwann unsere Public Keys einfach in den TXT-Eintrag des dann signierten DNS. :-)

Hi

was muss denn dann machen damit die zertifikate funktionieren???
ich benutze auch die Cacert Zertifikate und es funktioniert muss ich da was ändern ab jetzt??

Offline

#4 24.02.2011 20:48:58

malte
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

Wahrscheinlich: Nein.

Das Problem der CAcert-Zertifikate ist einfach, dass sie in vielen anderen (vor allem kommerziellen) Distributionen und auch Mac OS X und Windows nicht enthalten, da Die Authentizität des Eigentümers nicht ausreichend prüfen, um 100% sicher zu sein.

Offline

#5 25.02.2011 00:29:48

kerasi
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

Hi
danke für die Antwort tja dann bleiben wir bei CAcert

LG

Offline

#6 09.03.2011 10:53:56

mannohneschuh
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

Ich bin nicht zufrieden mit der Lösung. Damit hat sich archlinux.de quasi einem von kapitalistischen Interessen diktierten Pseudostandard unterworfen. Ich persönlich war mit der durch CaCert ausgestellten Zertifikate sehr zufrieden.
Auch wenn es gelegentlich zu Wartezeiten kam da der OCSP-Server schlecht erreichbar war, viel schlimmer wiegt für mich das jetzt eine Firma daran verdient das sie Absprachen über Standardimplementierung von Zertifikaten in Software gemacht hat.

ugg slippers schrieb:

Thank you very much for the information great post, found it on  URL entfernt

hmm… brauchen wir langsam so nen Capturemist?

Offline

#7 10.03.2011 22:41:25

Pierre
Entwickler

Re: Neues SSL-Zertifikat für archlinux.de

Die Beiträge bzgl. Spam habe ich nach https://bbs.archlinux.de/viewtopic.php?id=18621 verschoben.

Zum Thema: Wie ich bereits geschrieben habe, ist es keine absolut richtige Entscheidung; vielmehr eine Abwägung zwischen Idealismus und Pragmatismus. Wir hatten eine wachsende Zahl von Nutzern ausgesperrt.

Insgesamt sehe ich auch, dass mit Zertifikaten viel Geld mit Luft und Anti-Features gemacht wird. Viele Anbieter verlangen horrende Summen und lassen sich Sub-Domains einzeln bezahlen, obwohl technisch hier keinerlei Mehraufwand entsteht.

In diesem Fall müssen wir uns StartCom.org aber mal objektiv ansehen. Zunächst zahlen wir rund 37€ für ein Wildcard-Zertifikat, was zwei Jahre gültig ist. Andere Anbieter verlangen hier gerne mehrere hundert für die gleiche Leistung. Und genau genommen, habe ich auch nicht für das Zertifikat selbst, sondern für die Bestätigung meiner Identität. Prinzipiell kann ich jetzt beliebig viele Zertifikate signieren lassen. Zusätzlich wird das Geld auch für Bereitstellung der Server und Support benutzt.

Unterm Strich finde ich die rund 1,53€ pro Monat für diese Dienstleistung fair und es fällt mir schwer hier eine kapitalistische Verschwörung zu vermuten. Würde es dieses Angebot nicht geben hätte ich sicher kein Zertifikat gekauft.

Insgesamt sollten wir die Schuld für die Miesere aber vor allem bei denen suchen, die die Macht hätten hier etwas zu ändern: Betriebssystem und Browser-Hersteller. Allen voran Mozilla, die sicher in der Lage wären Projekte wie CaCert zu unterstützen.

Offline

#8 10.03.2011 23:25:18

agaida
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

@Pierre: ein "Daumen hoch" Smilie fehlt leider. Kann Deine Einschätzung zum Preis und vor allem zu Mozilla voll unterschreiben. Und auch noch ein perönliches Dankeschön. StartCom.org ist eine feine Sache zu dem Preis. Wenn ich meine laufenden Projekte an dem Punkt Zertifizierung habe, werde ich sehr gerne die Früchte Deiner Vorbereitung nutzen. Die machen wirklich einen guten Eindruck, die Jungs.

Offline

#9 11.03.2011 00:48:59

mannohneschuh
Mitglied

Re: Neues SSL-Zertifikat für archlinux.de

Pierre schrieb:

…Unterm Strich finde ich die rund 1,53€ pro Monat für diese Dienstleistung fair …

Es ist halt insoweit fair das für einen bestimmten Dienst nicht die Ferengiregeln des Profits angewendet werden sondern ein fairer Preis für diese Dienstleistung genommen wird.

Pierre schrieb:

…und es fällt mir schwer hier eine kapitalistische Verschwörung zu vermuten. Würde es dieses Angebot nicht geben hätte ich sicher kein Zertifikat gekauft.

kapitalistische Verschwörung smile
Die kapitalistische Verschwörung ist eben nicht direkt bei StartCom zu suchen/finden da diese ja unter anderem nicht diese Preise verlangen. Sondern:

Pierre schrieb:

Insgesamt sollten wir die Schuld für die Miesere aber vor allem bei denen suchen, die die Macht hätten hier etwas zu ändern: Betriebssystem und Browser-Hersteller. Allen voran Mozilla, die sicher in der Lage wären Projekte wie CaCert zu unterstützen.

Denn das sind ja die die sich das nochmal ordentlich bezahlen lassen CaCert stiefmütterlich zu behandeln. Ich überlege mir grade mal eine e-mail diesbezüglich an mozilla zu schreiben… mal sehen wo die hin muss.

Edit: So weit ich weiß unterstützt mein Betriebssystem Zertifikate von CaCert von Haus aus.

Beitrag geändert von mannohneschuh (11.03.2011 00:49:50)

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums