Du bist nicht angemeldet.

#1 23.10.2009 11:09:49

Pierre
Entwickler

archlinux.de mit HTTPS-Verschlüsselung

Ab sofort sind alle Dienste von archlinux.de nur noch verschlüsselt verfügbar. Das Ganze kann als Pilot-Versuch angesehen werden und bleibt somit je nach Feedback und Erfahrungen entweder bestehen oder eben nicht.

Grundsätzlich bin ich der Meinung, daß jegliche Datenübertragung verschlüsselt sein sollte; die Frage sollte nicht sein, warum man etwas verschlüsseln sollte, sondern warum man Daten im Klartext übertragen muß.

Durch Verwendung von HTTPS wird die Last auf dem Server und Client sowie der Traffic insgesamt ansteigen; ein Ziel des Tests ist nun herauszufinden, ob dies in einem akzeptablen Rahmen bleibt.

Das Zertifikat ist von http://www.cacert.org signiert. Alle Browser, aus unseren Repos sollten das nötige Root-Zertifikat kennen. Sollte das nicht der Fall sein, bitte melden. (Für Firefox benötigt man das nss-3.12.4-2 Paket von gestern) Auch unter Debian und anderen ist das nötige Zertifikat installiert.

Wer von anderen Systemen auf die Seiten zugreifen möchte, sollte das root-Zertifikat von cacert installieren: http://www.cacert.org/index.php?id=3

Offline

#2 23.10.2009 11:23:52

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Noch ein persönlicher Nachtrag: Verschlüsselung wird außerhalb von wirklich kritischen Seiten wie Online-Banking kaum eingesetzt. Während immer schnellere Hardware den Verschlüsselungs-Overhead relativiert bleibt das Problem der Zertifikate. Gerade für private Websetien und freie Projekte ist es nicht einzusehen, warum man sehr viel Geld dafür ausgeben soll, damit ein anderes Unternehmen den eigenen Schlüssel signiert.

Projekte wie http://www.cacert.org/ bemühen sich zwar durch den Aufbau eines "web of trust" das Problem mit einem Community-Projekt zu lösen. Allerdings ist die Unterstützung der Browser-Hersteller nicht gerade optimal. Besonders traurig ist, daß Mozilla sich auch nach Jahren noch quer stellt diese Zertifikate mit aufzunehmen. Selbst das DFN-Zertifikat ist nicht enthalten (im IE ist es drin). (Nachtrag: Im aktuellen Firefox scheint es nun drin zu sein)

Hinzu kommt das seltsame Verhalten der neueren Browser, wenn ein Root-Zertifikat unbekannt/nicht installiert ist. Dem Benutzer wird hier empfohlen die Verschlüsselung nicht zu nutzen.

Beitrag geändert von Pierre (23.10.2009 21:08:34)

Offline

#3 23.10.2009 11:40:07

chepaz
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

ACK

Offline

#4 23.10.2009 11:41:40

Dirk
Moderator

Re: archlinux.de mit HTTPS-Verschlüsselung

Pierre schrieb:

Hinzu kommt das seltsame Verhalten der neueren Browser, wenn ein Root-Zertifikat unbekannt/nicht installiert ist. Dem Benutzer wird hier empfohlen die Verschlüsselung nicht zu nutzen.

Naja, Firefox informiert darber, was passiert, und gibt unter „Technische Details“ weitere Informationen, warum und was Sache ist, in dem von dir beschriebenen Problem also „Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.“ Unter „Ich kenne das Risiko“ und weist noch mal auf eine eventuell manipulierte Verbindung hin.

Nirgends kann ich hier entdecken, dass Firefox empfiehlt, die Verschlüsselung nicht zu benutzen.

Ich sehe das Problem viel mehr an selbstsignierten, oder kostenlosen 08/15-Billigzertifikaten einer nicht anerkannten CA. Wer https benutzt, sollte schon dafür sorgen, dass er ein Zertifikat einer CA benutzt, dessen Key in den gängigen Browsern vorhanden ist.

Offline

#5 23.10.2009 12:37:24

PMedia
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Ich möcht mal was in den Topf werfen:
Vor allem Dillo-User werden durch Zwangs-SSL eingeschränkt.
Und erzählt mir nicht, Dillo nutzt keiner - mindestens ich nutze ihn produktiv.
Dillo kommt standardmäßig nicht mit SSL-Unterstützung daher.
Weiterhin empfinde ich es persönlich als unsinnig. Jeder sollte selbst entscheiden können, ob er SSL benötigt oder nicht. Für politische Diskussionen etc pp mag es angebracht sein, sicherzustellen, dass unterwegs nichts abgefangen o. bearbeitet wurde. Aber haben wir die in hohem Maße?
Für das Autorensystem einer Nachrichtenredaktion mag dies auch sinnvoll sein.
Aber der Sinn hierhinter will mir trotz der "Erklärung" von Pierre nicht ganz erschließen, um nicht zu sagen, gar nicht.
Vielleicht liegt es auch daran, dass ich "Performancegeil" bin, und Verschlüsselung vor der Nutzung durch Leistung abwäge...

Offline

#6 23.10.2009 13:04:26

Rain_Maker
Gast

Re: archlinux.de mit HTTPS-Verschlüsselung

PMedia schrieb:

Ich möcht mal was in den Topf werfen:
Vor allem Dillo-User werden durch Zwangs-SSL eingeschränkt.
Und erzählt mir nicht, Dillo nutzt keiner - mindestens ich nutze ihn produktiv.
Dillo kommt standardmäßig nicht mit SSL-Unterstützung daher.

Mein Dillo hier kann das schon eine ganze Weile,ist ein einfacher Switch bei ./configure, wenn ich mich recht entsinne.

Das Ding ist doch innerhalb von 2 Minuten selbst gebaut, also sehe ich hier keinen wirklichen Grund deshalb auf SSL zu verzichten.

Entweder schnell selbst bauen oder noch besser- Maintainer anschreiben und "Feature Request" senden.

#7 23.10.2009 13:07:24

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Ich habe mal kurz Dillo installiert und erscheint mit SSL keine Probleme zu haben; wohl aber mit CSS, weshalb die Seite eh nahe an unbrauchbar ist.

Offline

#8 23.10.2009 13:09:10

Rain_Maker
Gast

Re: archlinux.de mit HTTPS-Verschlüsselung

Jupp, ganz simple Option bei ./configure (die ssl-Zeile):

%build
./configure \
        --prefix=/usr \
        --sysconfdir=/etc \
        --enable-cookies=yes \
        --enable-ssl=yes \
        --enable-ipv6=yes
make RPM_OPT_FLAGS="$RPM_OPT_FLAGS"

Muss jetzt nur noch von spec-Syntax nach PKGBUILD "übersetzt" werden.

#9 23.10.2009 13:11:50

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Wie gesagt; zumindest unter Arch kommt Dillo mit SSL-Support.

Offline

#10 23.10.2009 13:18:49

Rain_Maker
Gast

Re: archlinux.de mit HTTPS-Verschlüsselung

Und wenn man es (wo wir gerade bei "Exotenbrowsern" sind) noch performanter haben will:

links -g https://forum.archlinux.de

for teh win!11

*scnr*

#11 23.10.2009 13:31:54

for_mat_C
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Hallo!

Ich finde die Einstellung von Pierre sehr gut und unterstütze diese auch.

Den Performanceverlust durch eine SSL-Verbindung will ich erst mal erleben. Bei den heutigen Systemen (mein Hauptsystem ist ca. 4 Jahre alt) ist diese doch gar nicht mehr zu bemerken.

Also denn

Gruß
for_mat_C

Offline

#12 23.10.2009 14:05:04

Steve`
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Moin,
ich bin 'nur' Firefox-User und ich finde die Entscheidung, komplett auf https zu wechseln, ok. Es kann gar nicht genug verschlüsselter Krempel durch die Leitung gehen ...

Offline

#13 23.10.2009 14:05:30

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Grundsätzlich: Das ist erstmal nur ein Test und ich erwarte sogar Probleme. Das Ziel sollte aber sein diese nach Möglichkeit zu beheben.

Natürlich wäre es nicht unbedingt notwendig alle Bereiche der Seite über https zu übertragen; dennoch gibt es ein paar gute Gründe hierfür

  • Alles zu verschlüsseln ist deutlich einfacher als dies selektiv zu tun

  • Vergisst man manche Daten zu verschlüsseln ist das gesamte System sinnlos.

  • Aktuell scheint es keine Notwendigkeit der "Optimierung" zu geben

  • Beim Wechsel zum Wiki und wieder zurück zum Forum würde man die Verschlüsselung verlieren, wenn es nur optional wäre. (OK, man könnte da sicher was mit ziemlichen Aufwand programmieren um die Links on-the-fly zu ändern)

  • beim Test würde kaum jemand mitmachen, wenn er freiwillig wäre. wink

Und noch zum Beitrag von Dirk. Das Problem ist, daß mit den Zertifikaten zwei unterschiedliche Ziele verfolgt werden. Einerseits soll mit dem Zertifikat der Client in der Lage sein den Server zu identifizieren (daher das Signieren von einem CA), andererseits soll aber auch die Kommunikation zwischen Client und Server abgesichert sein. Letzteres ist prinzipiell auch bei selbst-signierten Zertifikaten gegeben.

Warum eine Verbindung nur dann sicher sein soll, wenn ich viel Geld für ein Zertifikat bezahle (und zwar laufend und nicht nur einmalig) entschließt sich mir nicht ganz. Für mich ist das Verfahren von cacert ausreichend genug um sicherer als gar keine Verschlüsselung zu sein.

Das Verhalten der Browser-Hersteller ist meiner Meinung nach kontraproduktiv und sie sind mitverantwortlich daß ein Großteil der Webseiten nach wie vor unverschlüsselt übertragen wird.

Und zu den Fehlermeldungen der Browser, falls das Root-Zertifikat unbekannt ist. Ich habe mal verschiedene angehangen. Und das selbst einige Arch-User hier von de Meldungen verwirrt sind zeigt doch deutlich, daß die meisten Benutzer damit nichts anfangen können. Keiner der Browser beschwert sich, wenn man das s bei https entfernt und einfach auf Verschlüsselung verzichtet.

Nun, ich habe hier eine recht einmalige Situation, da ich innerhalb von Arch Linux dafür sorgen kann, daß alle Programme das cacert-Zertifikat kennen.

Das ist jetzt zwar etwas abweichend, aber grundsätzlich sollten die Browser-Hersteller die Verwendung von Verschlüsselung fördern und nicht blockieren. Man sollte sich also aktiv darum bemühen, daß Organisationen wie cacert (aber auch DFN etc.) eine Chance auf Integration ihrer Zertifikate haben. Zwar habe ich hier auch keine Patentlösung, aber das Verhalten der Browser bei unbekannter CA sollte geändert werden.

PS: Es ist übrigens interessant, daß der IE meldet das Zertifikat wurde für eine andere Webseite ausgestellt.

Beitrag geändert von Pierre (23.10.2009 14:19:34)

Offline

#14 23.10.2009 14:08:26

Atsutane
Trusted User

Re: archlinux.de mit HTTPS-Verschlüsselung

Wenn nun archlinux.org Verschlüsselung immerhin als Alternative anbieten würde, wäre ich auch damit sehr glücklich. Über den CA mag man sich streiten, ich persönlich bin dem CaCert Projekt gegenüber positiv eingestellt.

Offline

#15 23.10.2009 14:11:49

Gast
Gast

Re: archlinux.de mit HTTPS-Verschlüsselung

Pierre schrieb:

PS: Es ist übrigens interessant, daß der IE meldet das Zertifikat wurde für eine andere Webseite ausgestellt.

Wenn man als Adresse www.archlinux.de verwendet kommt diese Meldung nicht.

#16 23.10.2009 14:28:24

moe
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Gast schrieb:
Pierre schrieb:

PS: Es ist übrigens interessant, daß der IE meldet das Zertifikat wurde für eine andere Webseite ausgestellt.

Wenn man als Adresse www.archlinux.de verwendet kommt diese Meldung nicht.

Richtig, und die Firefox-Fehlermeldung sagt auch eindeutig, dass das Zertifikat für *.al.de nicht auf al.de passt. Vielleicht sollte man für die Tippfaulen http://archlinux.de auf https://www.archlinux.de umleiten.

Beitrag geändert von moe (23.10.2009 14:28:41)

Offline

#17 23.10.2009 14:36:29

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Oh, Danke für den Hinweis. Ich denke da ist es am besten, wenn ich ein neues Zertifikat ausstelle, daß neben *.archlinux.de auch explizit archlinux.de enthält.

EDIT: So, das neue Zertifikat sollte das Problem nicht haben.

Beitrag geändert von Pierre (23.10.2009 14:51:10)

Offline

#18 23.10.2009 14:57:40

foxce
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Die Idee finde ich Super, nur leider etwas Nachteilig für Leute die hinter einem Proxy sind, nur IE6 haben und keine Administrator-Rechte auf ihren WinXP Kisten.

Aber da denke ich bin ich nur eher eine Ausnahme...

Nur falls sich mehr finden die solche ähnlichen Probleme haben, solltem an evtl. über beide Möglichkeiten nachdenken.

Offline

#19 23.10.2009 15:02:56

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Eigentlich solltest Du auch als Benutzer Zertifikate installieren können. Oder verhindert der Proxy https?

Offline

#20 23.10.2009 15:17:32

foxce
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Mit dem IE6 kann ich aufs Forum zugreifen, aber mit Firefox-Portable und dem Proxy hier gibt es Probleme, da er dann die Verbindung zurück setzt. (BlueCoat Proxy)

"The proxy server is refusing connections
Firefox is configured to use a proxy server that is refusing connections."

..nur wie gesagt das ist eine Sonderlocke ;]

Beitrag geändert von foxce (23.10.2009 15:18:48)

Offline

#21 23.10.2009 15:24:04

Pierre
Entwickler

Re: archlinux.de mit HTTPS-Verschlüsselung

Könnte eine Fehlkonfiguration sein. Funktionieren denn andere https-Seiten? Z.B. https://mail.google.com/gmail/

Offline

#22 23.10.2009 17:26:42

stigmayta
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Dirk Sohler schrieb:

Ich sehe das Problem viel mehr an selbstsignierten, oder kostenlosen 08/15-Billigzertifikaten einer nicht anerkannten CA. Wer https benutzt, sollte schon dafür sorgen, dass er ein Zertifikat einer CA benutzt, dessen Key in den gängigen Browsern vorhanden ist.

Wo ist das Problem? Das hier ist eine deutschsprachige Community für/von Arch Linux und nicht ein online-banking-Portal deiner Bank. Wofür soll also Pierre hier Geld aus dem Fenster werfen?
Dir steht es frei dem Zertifikat nicht zu vertrauen und nicht hier her zu kommen... oder willst du mir jetzt sagen wenn nicht verschlüsselt wird (also keine Fehlermeldung kommt) ist das besser als eine starke AES 256 bit Verschlüsselung mit einem kostenfreien/-günstigen Zertifikat?
Ich finde es sehr löblich das hier vollkommen verschlüsselt wird...
Drive-by infection und session hijacking ist hier vllt. nicht wirklich das große Thema, aber wie ich bereits sagte, es ist sehr löblich das diese Seite etwas dagegen unternimmt. Ich will jedenfalls das meine Daten unverändert beim Ziel (und natürlich auch bei mir) eintreffen.

Also *thumbs up* - bitte nicht wieder abschalten.

Beitrag geändert von stigmayta (23.10.2009 17:32:23)

Offline

#23 23.10.2009 17:57:14

Dirk
Moderator

Re: archlinux.de mit HTTPS-Verschlüsselung

moe schrieb:

Vielleicht sollte man für die Tippfaulen http://archlinux.de auf https://www.archlinux.de umleiten.

Lieber andersrum, und das Zertifikat auf archlinux.de ausstellen und alle ewig-gestrigen von www.archlinux.de auf archlinux.de umleiten.

http://no-www.org

Offline

#24 23.10.2009 17:58:17

Dirk
Moderator

Re: archlinux.de mit HTTPS-Verschlüsselung

stigmayta schrieb:

Wo ist das Problem?

… dass du nicht verstanden hast, dass ich generell gesprochen habe, und mich nicht explizit auf archlinux.de bezog.

Offline

#25 23.10.2009 18:24:07

stigmayta
Mitglied

Re: archlinux.de mit HTTPS-Verschlüsselung

Dirk Sohler schrieb:

… dass du nicht verstanden hast, dass ich generell gesprochen habe, und mich nicht explizit auf archlinux.de bezog.

Wenn du dich nicht auf archlinux.de beziehst hättest du dir den Post hier in dieser "Diskussion" auch sparen können und CAcert ist für archlinux.de ausreichend und keine 08/15- od. Billig-Lösung.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums