SSL Zertifikat für das Forum

    Zitat von Chasmaporthetes

    Die allgemeine Verschlüsselungspanik ist stellenweise etwas übertrieben bzw. nutzt die falschen Mittel, und die zusätzliche Komplexität kann auch ein valider Grund dagegen sein.


    Die Aussage ist aus so vielen Richtungen äußerst fragwürdig. Mittlerweile ist etwas Zeit vergangen, vielleicht denkst du heute anders.


    Eine Verschlüsselung der Übertragung schadet meines Erachtens nie. Auch wenn das Angriffsszenario bedingt durch wenig/keine sensiblen Daten beschränkt ist, steht dem ein noch kleinere Aufwand der Implementierung gegenüber. Wie bereits geschrieben, benutzen viele Leute das gleiche Passwort für mehrere Seiten. Und selbst wenn man sich vom eigenem Internetzugang sich einloggt, mach ich mir wenig Illusionen darüber, ob es neugierige Institutionen gibt, die fleißig mitloggen.


    Also die Frage was Verschlüsselung der Übertragung anbelangt, sollte nicht sein "Warum" sondern "Warum nicht".

    Und wenn man dann zu dem Schluss kommt, zu viel Aufwand oder ist egal, hat man sich wenigstens Gedanken darüber gemacht.

    Zitat von riag

    Die Aussage ist aus so vielen Richtungen äußerst fragwürdig. Mittlerweile ist etwas Zeit vergangen, vielleicht denkst du heute anders.


    Hmmmmnö. :-)


    Wir sind uns ja einig, dass es eine sinnvolle Verbesserung ist -- schrieb ich ja auch damals schon. Und auch zwei Beiträge darunter erneut als Klarstellung.


    Und Du hast ja Recht, dass Argumente wie Komplexität und sonstige operative Fallstricke heutzutage für einfache Setups nicht mehr so aktuell sind, wie damals noch (danke Let's Encrypt, Amazon CA etc.).


    Ich bleibe aber dabei, dass es nicht das Allheilmittel ist, für das viele es halten. Das ganze TLS-Ökosystem ist in keinem schönen Zustand. Damals wie heute ging's mir da in erster Linie darum, Bewusstsein dafür zu schaffen: Es ist nur eine von vielen Maßnahmen.


    Und bei den Sorgen über gewisse Institutionen kommen dann auch noch Schlagwörter wie Law Enforcement Certificates hinzu, diverse Probleme auf Protokollebene (üblicherweise "muss" man ja auch ältere Browser unterstützen), sowie der allgemein absolut lachhafte Zustand des üblichen Trust Stores auf den Geräten... und vieles weiteres.

    Klar gibt's auch da Möglichkeiten wie HSTS, Certificate Pinning, CAA Records, den merkwürdige Trend mit Certificate Transparency, ... aber da sind wir dann wieder bei der Komplexität, die sowas mit sich bringt, und ggf. irgendwann den Rahmen eines privaten Admins sprengt. Oder lass es mich so sagen: Wenn die erwähnten Institutionen in Deiner persönlichen Gefährdungsanalyse vorkommen, ist es mit "das Häkchen bei TLS setzen" lange nicht getan.


    Und wenn, wie Du schreibst, im Jahre 2020 immer noch Leute dasselbe Passwort für verschiedene Dienste benutzen, fühle ich mich insgesamt bestätigt. TLS ist eine gute und sinnvolle Verbesserung, aber ein gewisses Sicherheitsbewusstsein auf Endanwenderseite ist ebenso wichtig.

    Natürlich ist es kein "Allheilmittel" aber eine sinnvolle und wirksame Maßnahme, bei der der einzige Tradeoff die Implementierung ist. Eine Rhetorik wie "Panik", impliziert, dass damit unnötig Ressourcen verbraucht werden bzw. diese besser verwendet werden könnten.

    Dem wollte ich widersprechen, bin jedoch offen für Ideen, wie sicher und einfach Daten vom Browser zum Server übertragen werden können.


    Meine persönliche Gefahrenanalyse ist, dass der Preis für den Zugriff auf meine Daten unverhältnismäßig hoch sein muss. Mit SSL/TLS bin ich damit (ohne Quantencomputer bzw. ich werde keine Cartel-Boss) ganz gut bedient.


    Sicherheitsbewusstsein auf der Anwenderseite ist unabdingbar, aber auch gleichzeitig das schwierigste zu erreichen.

    Ein gutes Beispiel ist PGP. Das muss der Anwender selber machen und das Einrichten ist nicht sonderlich lustig.

    Ich würde das eher so mit Herdenimmunität vergleichen. Wenn du überall das gleiche Passwort benutzt, aber alle übertragen verschlüsselt und hashen die Passwörter ausreichend und keine Datenbanken kommen abhanden, dann sind auch die Leute mit weniger als zwei Passwörtern in Theorie sicher. Wird leider nie so sein, aber jeder einzelne Schritt in der Kette verringert die Wahrscheinlichkeit.


    Ich denke wir sind da grundsätzlich ähnlicher Meinung, nur so reißerische Aussagen haben mich etwas getriggert.

    Zitat von riag

    Ein gutes Beispiel ist PGP. Das muss der Anwender selber machen und das Einrichten ist nicht sonderlich lustig.

    Ja, PGP-Support in MUAs ist traurig. S/MIME ist ja leider auch nicht (viel) erfolgreicher, obwohl deutlich einfacher. Die meisten Leute juckt es einfach nicht. :(


    PGP ist aber auch ein gutes Beispiel für Vertrauensbildung: Das schlimme bei PGP ist das Web of Trust. Eigentlich eine großartige Idee, gutes Konzept, aber leider viel zu kompliziert, alsdass Omma Kasirske sich damit auseinandersetzen würde. PGP kann nichts dafür, das liegt in der Natur der Sache, denn wem willst Du vertrauen, wenn Du niemanden "kennst"?

    TLS umschifft das Problem, indem andere für Dich entscheiden, wem Du vertraust (welche Zertifizierungsstellen Dein Browser akzeptiert). Und das sind *viele*. Aus Ländern, mit denen wir nicht einmal Handel treiben.

    Zitat von riag

    Ich denke wir sind da grundsätzlich ähnlicher Meinung, nur so reißerische Aussagen haben mich etwas getriggert.

    Völlig zurecht! Ich bin nicht mehr sicher, was mir damals im Magen lag. Ich vermute, das war (2016) so die Zeit, wo Google sich mal wieder für "Team America" gehalten hat, und laut darüber nachgedacht hat, TLS-Verfügbarkeit einer Webseite in das Suchindex-Ranking einfließen zu lassen.


    Für rein öffentliche Informationen / wenn keine vertraulichen Daten im Spiel sind, sind die Vorteile deutlich geringer, aber die Nachteile bleiben. Kein TLS anzubieten kann für manche Sites eine sinnvolle Abwägung sein (oder besser: "konnte", inzwischen "muss" man ja). Das können technische Gründe sein (inzwischen eher nicht mehr, wie Du schon sagtest), aber z.B. auch organisatorische Gründe: Du brauchst mehr Wissen / Erfahrung, um das sicher(!) zu betreiben, und so benachteiligt eine solche Einflussnahme die "Kleinen" -- und das eventuell ohne guten Grund. Sowas triggert dann mich.

    Und in dem Kontext wollte ich vermutlich einfach eine Lanze für den hiesigen Admin brechen.


    Schon interessant, das ein paar Jahre später noch einmal zu betrachten. :)

    Mir ist mittlerweile aufgefallen, dass ich selber ne Domain betreibe. Hauptsächlich benutzt ich die als catchall Email Adresse, jedoch hängt da auch noch ein Webserver dahinter, der auch bisher nur html gesprochen hatte. Also hab ich mir das mal kurz mit letsencrypt angeschaut und es war echt erstaunlich wie gut das ging. Das größte Problem war tatsächlich meine dns records aufzuräumen.

    Mit sudo Zugang war das dann nach ner Stunde, drei mal Fehler googeln und bisschen .conf Dateien anpassen erledigt.


    Kommt natürlich immer auf das setup drauf an. Mit nem standard LAMP Server ist das echt schmerzfrei.

    Zitat von Chasmaporthetes

    Ja, PGP-Support in MUAs ist traurig. S/MIME ist ja leider auch nicht (viel) erfolgreicher, obwohl deutlich einfacher. Die meisten Leute juckt es einfach nicht. :(

    Eigentlich nicht "traurig" oder "schwierig"... Aber das ist ein anderes Thema für einen anderen Thread...


    Grüße, Martin