Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
Hallo allerseits,
DelphiGL nimmt an der Closed Beta von Let’s Encrypt teil. Let’s Encrypt ist ein Zusammenschluss von Organisationen, um allen Web-Diensten freien und kostenlosen Zugang zu SSL-Zertifikaten, denen von Browsern auch vertraut wird, zu ermöglichen. Bisher gab es für kostenlose Zertifikate nur zwei Optionen: StartCom und CACert. StartCom erfordert die Eingabe von vielen persönlichen Daten, obwohl am Ende nur ein Domain-Validation-Zertifikat (das heißt, im Browser gibt es nur das grüne Schlösschen und nicht z.B. den Firmen- oder Vereinsnamen, wie das bei Extended Validation der Fall wäre) ausgestellt wird. Zusätzlich fordert StartCom eine Gebühr wenn Zertifikate widerrufen werden – was ein Problem ist, wenn sowas wie Heartbleed passiert. CACert ist grundsätzlich netter, weil es den Community-Ansatz (anstatt den Firmenansatz wie bei StartCom) verfolgt, hat es aber nie in die Liste der von Browsern vertrauten CAs geschafft.
Let’s Encrypt ist hier um das zu ändern. Dabei setzen sie auf 100% Automatisierung und kryptographische Verifikation, dass man die Domain bzw. den Webservice tatsächlich unter Kontrolle hat. Die geschlossene Beta hat vor einigen Wochen angefangen, und nachdem ich das für meine eigenen Domains mal angetestet habe, habe ich auch noch delphigl.com dazu getragen.
Deshalb: Ab sofort gibt es DelphiGL (Forum, Wiki und Git) über HTTPS. Ich bitte euch das zu testen und eventuelle Probleme zu melden. Dazu müsst ihr im Moment noch selber https anstatt http in die Addresszeile schreiben – die automatische Weiterleitung auf HTTPS werde ich im Laufe der nächsten sieben Tage anschalten, wenn es keine Probleme gibt. Jegliche Probleme direkt an mich oder in diesen Thread posten.
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Mi Aug 14, 2013 21:17 Beiträge: 588
Programmiersprache: C++
Ich bekomme hier ein Zertifikat, das von "Let's Encrypt" signiert wurde. "Let's Encrypt" wiederum bezieht sein Vertrauen von der "DST Root CA X3". Das wundert mich ein wenig, weil ich bisher immer gelesen hatte, dass die Let's Encrypt-CA von IdenTrust signiert wird. Wenn ich die "DST Root CA X3" zur Liste der vertrauenswürdigen CAs aufnehme, funktioniert es. Ich muss dazu sagen, dass ich direkt nach der Installation von Firefox alle nicht benötigten CAs rausgeschmissen hatte. Daher kann ich zur out-of-the-box Experience nichts sagen.
Aber tolle Sache, dass DGL jetzt endlich https bietet!
_________________ So aktivierst du Syntaxhighlighting im Forum: [code=pascal ][/code], [code=cpp ][/code], [code=java ][/code] oder [code=glsl ][/code] (ohne die Leerzeichen)
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
So wie ich das auf deren Webseite lese, haben sie eine eigene CA; die Signatur von IdenTrust ist dafür da, dass auch Browser, die let’s encrypt nicht direkt in den Root aufnehmen, die Zertifikate akzeptieren können.
Wenn du IdenTrust und den Root von Let’s Encrypt rausgeschmissen hast, siehst du vermutlich den Root, den der Webserver dir als Hinweis anbietet, was der von Let’s Encrypt sein sollte. Verwirrend allerdings, dass der anscheinend DST und nicht ISRG heißt.
viele Grüße, Horazont
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
Ah, turns out, DST ist IdenTrust:
https://letsencrypt.org/certificates/ hat geschrieben:
Specifically, IdenTrust has cross-signed our intermediate using their DST Root CA X3.
viele Grüße, Horazont
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Mi Aug 14, 2013 21:17 Beiträge: 588
Programmiersprache: C++
Oh ja, vielen Dank für die Infos. Ich habe nun "Let’s Encrypt Authority X1" direkt als CA aufgenommen und "DST Root CA X3" wieder rausgeworfen. Eigentlich sollte Mozilla dafür sorgen, dass die Let's Encrypt CA selbst in zukünftigen Firefox-Versionen landet.
_________________ So aktivierst du Syntaxhighlighting im Forum: [code=pascal ][/code], [code=cpp ][/code], [code=java ][/code] oder [code=glsl ][/code] (ohne die Leerzeichen)
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
Wenn dann solltest du ISRG Root (findest du auch auf der letsencrypt-Webseite) aufnehmen, die Authority Xn sind nur intermediaries. Die können bei jedem Zertifikatsrefresh wechseln, das passiert bei uns automatisiert monatlich.
viele Grüße, Horazont
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Di Mai 18, 2004 16:45 Beiträge: 2622 Wohnort: Berlin
Programmiersprache: Go, C/C++
Zur "Out of the box" Erfahrung mit FF, das funktioniert problemlos und "Let's Encrypt Authority X1" hat es signiert und die von "DST Root CA X3" laut Cert-Infos. Wir hatten da schon eine Diskussion im Firmenchat und leider gibt es nur Browser support. Okey unser Security Admin, der MiesePeter hat dann erklärt das ist egal ist, da schon auf Hardware Ebene das ganze System kaputt ist und man auch gerade den Root Zertifikaten nicht vertrauen kann. Google hat ja vor kurzem eine gewissen Schlangenöl Verkäufer, der auch ein Root CA hat gewarnt, ihr Zertifizierungssystem offen zu legen und sicher zu machen, da die google.com jemand wild fremden gegeben haben, sonnst würde man alles daran setzen dass man den den Status weg nimmt.
Google, HP, MS, IdenTrust und ein paar andere sind ja wohl gemeinsam daran bestrebt das Zertifikatsproblem durch neue Standard Prozesse sicher zu machen. Ich selber hab wenig Probleme mit Zertifikaten, weil ich die nahezu nie benötige und wenn, dann weiß ich wer dahinter steckt. Da sehe ich mich aber doch eher als die Ausnahme.
_________________ "Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren" Benjamin Franklin
Registriert: Di Mai 18, 2004 16:45 Beiträge: 2622 Wohnort: Berlin
Programmiersprache: Go, C/C++
Hehe Fefe hat sich auch mal mit beschäftigt und neben den gleichen Problem, was unser Security Admin sieht, gibt er noch einen drauf und kritisiert den ausgelieferten Client.
edit: Wer Fefe nicht kennt, der ist als Sicherheitsberater für diverse IT Firmen und Staatliche Einrichtungen unterwegs.
_________________ "Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren" Benjamin Franklin
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
ja, nur leider hat fefe in einigen punkten unfug geredet.
den service, von dem er da redet und der angeblich mit laufen muss, den gibt es nicht. zumindest habe ich nicht gesehen, dass der client das versucht hätte. weiterhin wüsste ich auch nicht, dass der ACME-server versuchen würde, das renewal von außen anzustoßen. ich hab das einfach als monthly cronjob eingetragen und gut ist.
man kann den client problemlos als nobody (bzw halt als beliebigen unprivilegierten user) laufen lassen, wenn man ein verzeichnis provisioniert, welches vom httpd unter $domain/.well-known/acme-challenge/ ausgeliefert wird; und wenn man akzeptiert, dass die private keys dann von dem user lesbar sind. das ist eine der möglichen client-seitigen authentifizierungsmethoden, genannt webroot. bei einer anderen modifiziert der client die webserverkonfig (böse) und bei einer dritten läfut der client selber als webserver (auch böse imo, weil er dafür root braucht und man den eigentlichen webserver runter nehmen muss). aber mit webroot ist meiner meinung nach nichts falsch.
wenn man den client im certonly modus betreibt fasst der auch die webserver-config nicht an, und legt die zertifikate halt an einen well-known ort (/etc/letsencrypt/live/$domain/fullchain.pem). den konfiguriert man einfach selber im webserver und dann ist gut.
fefe hat meiner ansicht nach vorurteile gegen python und ist von daher gleich mit einer sehr negativen einstellung rangegangen, während ich mit einer sehr positiven einstellung rangegangen bin und gleich geschaut habe, wie man das, was ich gerne hätte (keine automatische modifikation meiner webserver-config, weil das in meinen augen nur schief gehen kann) umsetzen kann -- was auch mit den bordmitteln des tools geht, man muss halt nur in die dokumentation schauen. dass der client root braucht ist meiner meinung nach gerechtfertigt. der arbeitet mit private keys (lesend und schreibend), das sollte nur root tun können.
viele grüße, horazont
(der gerade keine linke shift-taste hat, weshalb großschreibung nicht gut geht )
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Di Mai 18, 2004 16:45 Beiträge: 2622 Wohnort: Berlin
Programmiersprache: Go, C/C++
Das er angepisst ist kann ich verstehen, er hat nen CA zertifiziertes Zertifikat und das kann er über ein webinterface runter laden und fertig. Was er nun eigentlich kritisiert, ist der mehraufwand für ein Umstieg. Python wäre auch nicht meine Wahl, genauso wenig wie ich Perl, java oder anderes auf cgi und co laufen lassen mag. Er hätte eigentlich erwartet, dass man ne kleine statische Seite lädt, die mit dem Server kommuniziert und man das per cron oder selber triggered. Wenn man kurz angebunden ist und es dann soviele Stolpersteine gibt, dann wird man glaube ich schon ein bisschen generft, vorallem, weil es ja ziemlich gehyped wird. Ich denke seine Erwartungen waren einfach viel zu hoch und er tendiert auch dazu was zu probieren, bekommt es nicht hin und schreibt dann drüber und dann erklärt einer der Leser es per Mail.
Ich werde mich auch noch damit auseinander setzen müssen aber das hat noch Zeit und bis dahin wird das bestimmt sorglose Anleitungen geben, wie man das in einigen Minuten einrichtet, statt sich wie aktuell noch recht umfänglich belesen zu müssen, weil es an einigen Stellen noch klemmt. Ich hab z.B. SELinux und SecMod aktive und da läuft prinzipiell die meisten Sachen nicht out of the box. Dann muss man die einzelnen Probleme nach googeln und entsprechende Regeln hinzufügen oder in der Software Einstellungen vornehmen.
_________________ "Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren" Benjamin Franklin
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste
Du darfst keine neuen Themen in diesem Forum erstellen. Du darfst keine Antworten zu Themen in diesem Forum erstellen. Du darfst deine Beiträge in diesem Forum nicht ändern. Du darfst deine Beiträge in diesem Forum nicht löschen. Du darfst keine Dateianhänge in diesem Forum erstellen.