Vote für LetsEncrypt

MadMakz

Member
Normalerweise pushe ich nur ungern Sachen in den Vordergrund bzw. mache "Werbung", aber ich denke hier warten auch einige auf letsencrypt.

Seit zwei tagen stehen die Tickets um das CA als "Default" in die Browser zu bekommen.

Damit das möglichts bis Oktober über die Bühne geht wäre ein Vote vielleicht ganz hilfreich.

Chrome: https://code.google.com/p/chromium/issues/detail?id=531672
Mozilla: https://bugzilla.mozilla.org/show_bug.cgi?id=1204656
IE/Edge: N/A
Opera: N/A (Gedeckelt mit Chromium?)
Safari: N/A
 
Last edited by a moderator:

4rf4

New Member
Die Idee ist, eine kostenlose CA zu implementieren, aber diesmal vertrauenswürdig?

Wäre ja nicht schlecht, da SSL immer mehr im Kommen ist, summieren sich die Kosten auch für die einfachen Zertifikate und großartige Identitätsprüfungen nehmen Comodo und co bei den Billig-Zertifiaten ja auch nicht vor.
 

MadMakz

Member
Jup.
Eigentlich Zahlt man bei den kleinen Zertifikaten nur für die eingebundene "Versicherung" die aber kaum ein Mensch braucht der nicht E-Commerce betreibt.

Bei Class 1 wird von allen Zertifizierungsstellen nie mehr geprüft als die E-Mail.
Die Eingabe vom Wohnsitz dient dort alleine nur der Rechnungsstellung.

Verwaltungstechnisch sind Class 1 Certs nicht aufwendiger als ein DNS betreiben, bis auf die paar Sekunden Rechenzeit bei der Generierung. Die hohen Durchschnittspreise also relativ unbegründet.

Bei OV/EV sieht das schon wieder anders aus. Da ist Menschenkraft gefragt. Wobei hier vor allem Symantec auch nicht mehr alle Latten am Zaun hat.
 

Orebor

He who dances with pointers
Das sehe ich wie Mad.
So einem Cert vertraue ich nicht mehr oder weniger als jedem anderen Class1 Cert, denn dort werden im Prinzip die selben Prüfungen vorgenommen.

Class 2 ist etwas besser (habe ich z.B. von StartSSL) und hier ist der Prüfaufwand auch höher (Ausweis + utility bills + Reisepass/Führerschein) aber natürlich auch prinzipiell fälschbar.

Das Certsystem an sich ist relativ kaputt aber es gibt einfach trotzdem nichts besseres, denn irgend einen Tod stirbt man immer (total unsicher vs total unpraktikabel).
 

4rf4

New Member
Bei den 9 Dollar/Jahr Zertifikaten ist auch eine Versicherung dabei? Die meinte ich, als ich von den billigen Zertifikaten schrieb.
 

MadMakz

Member
Bei den 9 Dollar/Jahr Zertifikaten ist auch eine Versicherung dabei? Die meinte ich, als ich von den billigen Zertifikaten schrieb.
Normalerweise ab bis $1000. Es gibt aber auch Reseller die das Limit ändern od. rausnehmen. Damit erklärt sich z.B. warum es zwischen den gleichen Zertifikaten sehr große Preisunterschiede gibt. Hier muss man immer das kleingedruckte lesen bzw. wenn es nirgends steht ist es auch nicht mit drinn.
 

4rf4

New Member
Bei Comodo PositiveSSL, die kaufe ich immer, steht tatsächlich was von 10.000 Dollar Warranty
 

rauppe31

Member
Ich muss jetzt doch mal nachfragen. Warum schaut ihr eigentlich auf den Warranty-Wert? Der wurde bisher doch sowiso noch nie jemandem ausbezahlt und wenn er ausbezahlt wird, ist er für die Kunden, die geschädigt wurden, gedacht.
 

MadMakz

Member
Ich muss jetzt doch mal nachfragen. Warum schaut ihr eigentlich auf den Warranty-Wert? Der wurde bisher doch sowiso noch nie jemandem ausbezahlt und wenn er ausbezahlt wird, ist er für die Kunden, die geschädigt wurden, gedacht.
Guckt keiner drauf. Im gegenteil, wir erörtern gerade das SSL "Warranty" so ziemlicher Marketingquatsch ist.
Die Aussage ist das der Preis für eben diese Herkömmlichen Zertifikate primär durch den "Warranty"-Wert unnötig hochgedrückt werden.

Deshalb will ein Symantec z.B. alle zwei Jahre knapp $1800 für ein EV Zertifikat.

https://www.quora.com/Has-any-company-ever-benefited-from-an-SSL-certificates-warranty
Ergo ist das ganze sowieso Schwachsinn. Bzw. mal hier Punkt 3 bei Comodo https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php
Im prinzip sagt das aus das Comodo haftet wenn sie ihren eigenen Richtlinien nicht folgen und dem Kunden dadurch ein finanzieller Schaden entsteht.
 
Last edited by a moderator:
G

Gast[200516]

Guest
Also dass Mozilla als Hauptsponsor nicht die CA direkt zum Launch, oder gar sofort nach Erstellung der CA in seinen Trust Store aufnimmt ... stimmt mich irgendwie komisch :) Aber ich denke mal die werden schon wissen was sie tun :D
 

danton

Debian User
Ganz im Gegenteil. Das zeigt IMHO, dass Mozilla seine CA nicht in seinen Trustspeicher aufnimmt, bevor sie nicht genauso den Aufnahmeprozess durchlaufen hat wie andere CAs auch.
Hätte Mozilla die Lets Encrypt CA direkt in den seinen Trustspeicher aufgenommen, müssten sie sich - zu Recht - vorwerfen lassen, mit zweierlei Mass zu messen und es bei den eigenen Sachen im Bezug auf Sicherheit nicht so genau zu nehmen. Ich würde eher vermuten, dass sie warten, bis die anderen Browserhersteller Lets Encrypt aufgenommen haben - das sind ja von Mozilla unabhängig durchgeführte Audits.
 

IP-Projects.de

verifizierter Anbieter
verifizierter Anbieter
Eigentlich Zahlt man bei den kleinen Zertifikaten nur für die eingebundene "Versicherung" die aber kaum ein Mensch braucht der nicht E-Commerce betreibt.
Man darf nicht außer Acht lassen, dass viele Kunden sehr unbedarft sind im Umgang mit Webseiten und Serversystemen. Für diese Kunden ist es schon eine Herausforderung eine FTP Verbindung zum Webspace Paket herzustellen. Solche Kunden wollen aber auch mal ein SSL Zertifikat haben. Der Supportaufwand auf Providerseite für solche Kunden ist dabei schon nicht ganz ohne. CSR erstellen, SSL Zertifikat beantragen, erklären, dass man die E-Mail bestätigen muss, Zertifikat einbinden. Das vergessen viele und letsencrypt nimmt einen dann noch die letzten 2 € die man an einem Zertifikat verdient :)

Es wird leider immer wieder vergessen, dass auch ein Aufwand für Installation, verlängerung und co. notwendig ist. Mal sehen wo die Reise hier hingeht.
 

[netcup] Felix

Blog Benutzer
Guten Morgen,


seit dem wir Let's Encrypt kostenlos bei unseren Webhostingtarifen anbieten, haben wir einen riesigen Zuwachs an Neubestellungen. Auch viele Bestandskunden haben bereits ihre Domains mit einem Zertifikat von LE versehen.

Es wird leider immer wieder vergessen, dass auch ein Aufwand für Installation, verlängerung und co. notwendig ist
Dank ACME lassen sich Zertifikate von LE auch komplett automatisiert installieren und verlängern, ohne das Kunden irgendetwas machen müssen.

Den einzigen manuellen Aufwand den ein Webhoster hat, ist LE in den Prozessablauf zu integrieren. Der hinterher entstehende Supportaufwand ist minimal.

Seit dem jeder kostenlose SSL-Zertifikate erhält, bestellen Firmen vermehrt Zertifikate mit EV. So können sich Firmen weiterhin von normalen Webseiten abheben und bei ihren Kunden für mehr Vertrauen werben. Bei Zertifikaten mit EV gibt es in der Regel noch ausreichend Marge für den erhöhten Supportaufwand, den diese Art von Zertifikaten mit sich bringt.

Let's Encrypt ist für uns als Webhoster und unsere Kunden ein riesiger Gewinn, auch wenn man auf den ersten Blick sich fragt wo die Margen die man für bei DV Zertifikaten hatte hin sind. Let's Encrypt ist meiner Meinung nach ein wichtiger technischer Fortschritt und dieser lässt sich bekannter Weise nie aufhalten.

Schönes Wochenende!

Gruß Felix
 

MadMakz

Member
...Es wird leider immer wieder vergessen, dass auch ein Aufwand für Installation, verlängerung und co. notwendig ist. Mal sehen wo die Reise hier hingeht.
Nein, ich gehe nicht von den Preisen die Ihr als Hoster nehmt aus, die ja im Prinzip unter Einrichtung/Hands-On/Managed fallen, sondern Preise direkt von den Zertifizierungsstellen.

Das ihr als Hoster etwas aufschlagt ist vollkommen verständlich. Selbst bei Letsencrypt wäre eine kleine Einrichtungspauschale aus meiner Sicht OK.
Allerdings ist es bei LE, wie Felix bereits sagte, nach einmaligem Coden bzw. implementierung in Kundenpanel auch vollständig automatisierbar, inkl. Renew & Revoke.
 
Last edited by a moderator:

Tolive

New Member
Meiner Meinung nach bietet Let´s Encrypt (LE) insbesondere kleinen Hosting-Unternehmen einen immensen Vorteil gegenüber den großen Anbietern, die bisher LE vernachlässigen. Das Thema wird von der Presse aktuell auch als Revolution dargeboten und entsprechend scharf sind die Endverbraucher natürlich das auszuprobieren. Zumal die Vorteile einer verschlüsselten Webseite nicht von der Hand zu weisen sind. Ich selbst habe deshalb bereits 2012 angefangen, alle meine Seiten auf verschlüsselte Verbindungen umzustellen. Jedoch bin ich wegen des Automatismus von LE bisher noch etwas zurückhalten (auf meinen Servern ohne SCP). Werde aber in Zukunft ggf. einen eigenen Client implementieren, der ausschließlich das alte Zertifikat durch ein neues ersetzen kann und in einer bereits auf den Servern vorhandenen Sprache geschrieben wird.

Ansonsten denke ich, dass Anbieter die LE nicht zeitnah implementieren langfristig weniger Zulauf bekommen oder sogar Kunden verlieren werden. Allein dadurch, dass df bald nach Frankreich "auswandert" und die immer sehr lange für die Implementierung neuer Technologien brauchen, werden viele wohl demnächst nach einer neuen Heimat für ihre Seite suchen.

Wer noch mehr von meiner Meinung über Let´s Enrypt lesen möchte, kann auf meiner Homepage vorbeischauen ;): Let´s Encrypt – Kostenlose SSL-Zertifikate Frei Haus
 
Top