HTTPS für alle!
Nicht wundern: Ich habe meine bisherigen CACert-SSL-Zertifikate gerade gegen neue von Let's encrypt ausgetauscht (wer keine c't liest: Was ist das?). Hauptvorteil der neuen Zertifikate: Denen wird in jedem normalen Browser vertraut, man muss nicht wie bei CACert erst Root-Zertifikate nachinstallieren.
Für die Einrichtung habe ich acme-tiny benutzt und das ging echt einfach und schnell. Wer halbwegs weiß, was er tut, sollte ebenfalls einen der alternativen ACME-Clients (wie z.B. besagtes acme-tiny) benutzen. Der offizielle Let's Encrypt-Client hat ja ein paar komische Eigenheiten, die z.B. bei Fefe vollkomen sachlich und ohne Schaum vorm Mund erklärt werden. Recht hat er aber. Dann lieber 200 Zeilen übersichtliches Python, das mit den Modulen aus meiner Distribution auskommt, manuell einen neuen User anlegen, ein paar Dateirechte passend setzen und einen Cronjob selberschreiben.
Beim Test mit SSL Labs habe ich dann nochmal an meiner Ciphersuite geschraubt und wohl endlich die letzten zwei statischen Bilder von http:// auf https:// umgestellt, so dass der Browser nicht mehr wegen "mixed secure and insecure content" meckern sollte.
Jetzt ist das SSL toll.
Und das wichtigste, weil das jetzt so toll ist mit dem SSL:
Sämtliche Zugriffe auf http://www.cgarbs.de laufen jetzt auf einen permanenten Redirect nach https://www.cgarbs.de, sprich: Es gibt Zwangs-SSL! Keine Chance mehr, dem zu entkommen.
Warum auch nicht?
Hoffe nur, dass das auch alles wirklich funktioniert – hier liegen ja auch RSS-Streams, ein Debian- und ein Maven-Repository und diverser weiterer Krams, dessen Existenz ich bestimmt schon lange vergessen habe.
Bei Problemen bitte melden – falls ihr das hier dann überhaupt lesen konntet ;-)
Für die Einrichtung habe ich acme-tiny benutzt und das ging echt einfach und schnell. Wer halbwegs weiß, was er tut, sollte ebenfalls einen der alternativen ACME-Clients (wie z.B. besagtes acme-tiny) benutzen. Der offizielle Let's Encrypt-Client hat ja ein paar komische Eigenheiten, die z.B. bei Fefe vollkomen sachlich und ohne Schaum vorm Mund erklärt werden. Recht hat er aber. Dann lieber 200 Zeilen übersichtliches Python, das mit den Modulen aus meiner Distribution auskommt, manuell einen neuen User anlegen, ein paar Dateirechte passend setzen und einen Cronjob selberschreiben.
Beim Test mit SSL Labs habe ich dann nochmal an meiner Ciphersuite geschraubt und wohl endlich die letzten zwei statischen Bilder von http:// auf https:// umgestellt, so dass der Browser nicht mehr wegen "mixed secure and insecure content" meckern sollte.
Jetzt ist das SSL toll.
Und das wichtigste, weil das jetzt so toll ist mit dem SSL:
Sämtliche Zugriffe auf http://www.cgarbs.de laufen jetzt auf einen permanenten Redirect nach https://www.cgarbs.de, sprich: Es gibt Zwangs-SSL! Keine Chance mehr, dem zu entkommen.
Warum auch nicht?
Hoffe nur, dass das auch alles wirklich funktioniert – hier liegen ja auch RSS-Streams, ein Debian- und ein Maven-Repository und diverser weiterer Krams, dessen Existenz ich bestimmt schon lange vergessen habe.
Bei Problemen bitte melden – falls ihr das hier dann überhaupt lesen konntet ;-)
Geschrieben von 
mitch
mitch
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Commander1024 am um :
Startssl.com Zertifikate sind auch vertraut und kostenlos und haben eine längere Laufzeit als ein paar dutzend Tage.
mitch am um :
Hey, man kann mich noch lesen :-)
Startssl ist mit bisher noch nicht über den Weg gelaufen – "früher" gab es das wohl noch nicht und mit CACert war ich zumindest soweit glücklich, dass ich nicht aktiv nach was anderem gesucht habe. Ich werde mir das mal für den "nackigen" Servernamen angucken (der Reverse-Lookup zu dieser IP), das klappt nämlich bei Let's Encrypt nicht, weil unterhalb der Hoster-Domain schon zu viele Anfragen gestellt wurden…
Das mit dem regelmäßigen Schlüsselwechsel finde ich eher praktisch: Ich hab es jetzt automatisiert. Dreizeiler im Cronjob.
Besser, als sich alle zwei Jahre bei CACert anzumelden und zu überlegen "mist, wie ging denn das nochmal?" ;-)
Startssl ist mit bisher noch nicht über den Weg gelaufen – "früher" gab es das wohl noch nicht und mit CACert war ich zumindest soweit glücklich, dass ich nicht aktiv nach was anderem gesucht habe. Ich werde mir das mal für den "nackigen" Servernamen angucken (der Reverse-Lookup zu dieser IP), das klappt nämlich bei Let's Encrypt nicht, weil unterhalb der Hoster-Domain schon zu viele Anfragen gestellt wurden…
Das mit dem regelmäßigen Schlüsselwechsel finde ich eher praktisch: Ich hab es jetzt automatisiert. Dreizeiler im Cronjob.
Besser, als sich alle zwei Jahre bei CACert anzumelden und zu überlegen "mist, wie ging denn das nochmal?" ;-)
-thh am um :
Kostenlos sind sie aber, AFAIS, nur für zwei Hostnamen innerhalb derselben Domain. Zudem war die Aktualisierung m.W. nicht automatisiert möglich.
Nicht umsonst springt man dort wohl mit "startencrypt" auf den Zug auf.
Nicht umsonst springt man dort wohl mit "startencrypt" auf den Zug auf.
mitch am um :
So ganz koscher ist StartSSL wohl auch nicht mehr, seit sie von den Chinesen übernommen worden sind: https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/mobilebasic#h.4nbzqef3d829
mitch am um :
Seit gestern gibt's sogar HSTS – an HPKP traue ich mich aber noch nicht ran, das ist mir zu kompliziert.
mitch am um :
Allerdings gibt es auch eine Sache zu meckern: acme-tiny liefert nicht automatisch die Zwischenzertifikate. Das macht das Ding unter Umständen komplett unbenutzbar, so weigerte sich z.B. k9mail, mit meinem Mailserver zu reden. Der dämliche Workaround „aber wenn Du das Zwischenzertifikat von einer anderen Webseite schon im Cache hast…“ greift dann natürlich nicht.
Es gibt einen Patch, der das aktuelle Zwischenzertifikat automatisch mitliefert – da wird sich aber geweigert, den einzubauen, weil das Ziel „minimale Anzahl Codezeilen“ in Gefahr ist. Manche Leute können sich anstellen O_o
Die Spötter nölen, dass acme-tiny damit keine automatische Zertifikatserneuerung mehr bietet, sondern nur eine halbautomatische. Ich fürchte, sie haben Recht.
Immerhin ließ sich meine lokale Installation ohne Umstände um den Patch erweitern. Dumm nur, dass ich jetzt quasi zwei Upstreams nach Änderungen abgrasen muss.
Dieser github-Kommentar enthält den Link zum Fix:
https://github.com/diafygi/acme-tiny/issues/77#issuecomment-202764841
Außerdem verlinkt der Thread diverse Bugreports bezüglich der Zwischenzertifikate.
WONTFIX.
Popcorn!
Es gibt einen Patch, der das aktuelle Zwischenzertifikat automatisch mitliefert – da wird sich aber geweigert, den einzubauen, weil das Ziel „minimale Anzahl Codezeilen“ in Gefahr ist. Manche Leute können sich anstellen O_o
Die Spötter nölen, dass acme-tiny damit keine automatische Zertifikatserneuerung mehr bietet, sondern nur eine halbautomatische. Ich fürchte, sie haben Recht.
Immerhin ließ sich meine lokale Installation ohne Umstände um den Patch erweitern. Dumm nur, dass ich jetzt quasi zwei Upstreams nach Änderungen abgrasen muss.
Dieser github-Kommentar enthält den Link zum Fix:
https://github.com/diafygi/acme-tiny/issues/77#issuecomment-202764841
Außerdem verlinkt der Thread diverse Bugreports bezüglich der Zwischenzertifikate.
WONTFIX.
Popcorn!
Mitch’s Manga Blog am : Kalender radikal
Mitch’s Manga Blog am : DSGVO hier im Blog