Let’s Encrypt gibt Wildcard- Zertifikate frei

Es ist endlich so weit, der Aussteller von kostenlosen Zertifikaten für Webseiten, Let's Encrypt, gibt nun Wildcard-Zertifikate frei. Dies sind Zertifikate, die über eine Domain in allen Subdomains hinweg gültig sind.


Anzeige

Solche Zertifikate werden benötigt, wenn ein Webserver Seiten per https-Protokoll ausliefern soll. Hier im Blog verwendet ich nur ein normales SSL-Zertifikat, da ich keine Sub-Domains aufgesetzt habe. Dann werden genau diese Wildcard-Zertifikate, die über *.borncity.com gültig sind, benötigt. Eine ausführlichere Erklärung zu Wildcard-Zertifikaten findet sich hier.

Let's Encrypt hatte bereits im Sommer 2017 Wildcard-Zertifikate angekündigt, deren Freigabe aber auf Grund technischer Probleme und ungeklärter Prozesse zurückgestellt.

Ars Technica berichtet in diesem Artikel, das die Organisation Let's Encrypt nun den Dienst zur Beantragung von Wildcard-Zertifikaten frei geschaltet habe. Gleichzeitig wurde auch eine neue Version des ACME-Protokolls (Automated Certificate Management Environment) freigegeben. Diese Schnittstelle kann von einer Vielzahl von Client-Softwarepaketen verwendet werden, um die Überprüfung von Zertifikatsanforderungen zu automatisieren.


Anzeige

Ähnliche Artikel
Let's Encrypt SSL-Zertifikat für HostEurope installieren


Anzeige

Dieser Beitrag wurde unter Internet abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Let’s Encrypt gibt Wildcard- Zertifikate frei

  1. Ben sagt:

    Ich hoffe darauf, dass nun die faulen Websitebetreiber, die sich immer noch aus nicht nachvollziehbaren, fadenscheinigen Begründungen SSL/TLS verweigern, nun endlich zum Umdenken bewegt werden.

    • Tobi sagt:

      Viel mehr sollten endlich die Webseitenhoster wie Host Europe – dessen Produkte auch Herr Born nutzt – eine Implementierung in dem eingesetzten Backend abschließen.

    • Günter Born sagt:

      Man soll ja keine Schelte der Blog-Leser betreiben. Aber in deinem Kontext ist die Aussage schlicht Humbug!

      Ich habe die Domain borncity.de, wo noch ein paar Altinhalte liegen. Abrufe vielleicht ein paar hundert Mal pro Monat. Einfache Webseiten – da soll ich also den Aufwand für eine Umstellen auf SSL/TLS treiben? Seriously? Und von dieser Art gibt es Millionen an Webseiten.

      Ich habe meine Domain borncity.com mit den diversen Blogs auf die Auslieferung mittels https umgestellt. Hinter den Kulissen ein riesen Aufwand – ich habe über ein Jahr schrittweise bestimmte Sachen umgestellt. Seit dem Jahreswechsel läuft es ohne Mixed Content. Das hat mich eine Menge Zeit gekostet – die beim Erstellen der Inhalte fehlte – und ich musste an diversen Stellen arge Klimmzüge machen, um am Ende des Tages meine Infrastruktur weiter nutzen, aber keinen mixed Content auszuliefern.

      Gewinn für die Blog-Besucher? Null – es wird höchstens ein https in der URL des Browsers angezeigt. Wenn meine WordPress-Installation oder das Webpaket gehackt wird, wenn ich auf die Idee käme, Miner mitlaufen zu lassen oder Malware auszuliefern, das https würde nix dran ändern. Nur fühlt der Browser-Nutzer sich sicher, weil https da steht. Insgesamt ist der Ansatz von Google, Mozilla & Co. ein gigantischer Geldverbrennungs-Ansatz – und die bösen Buben sind längst dazu übergegangen, die Malware über https-Server auszuliefern.

      Es gibt viele Fälle, wo SSL/TLS sinnvoll ist – aber es gibt genügend andere Fälle, wo es imho ziemlich sinnfrei ist. Unter diesem Kontext von "faulen Websitebetreibern" zu schreiben, läuft unter der Kategorie 'na ja …' und entlarvt sich selbst. Just my 2 cents.

      • ralf sagt:

        Günter Born: "Ich habe meine Domain borncity.com mit den diversen Blogs auf die Auslieferung mittels https umgestellt… Gewinn für die Blog-Besucher? Null"

        nicht ganz. moegliche mim-angriffe auf den inhalt der ausgelieferten seiten aussen vor gelassen, sehe ich schon noch einen gewinn fuer zumindest einen teil der blog-besucher. nutzniesser des https-einsatzes hier sind fuer mich vor allem die kommentarschreiber: deren mailadressen wuerden sonst unverschluesselt und daher leicht abgreibar durch die netzwerkknoten sausen. bei der gelegenheit: danke fuer den hierfuer betriebenen aufwand.

        • Günter Born sagt:

          Zu den Mail-Adressen: Wenn die Leute nicht wirklich eine Antwort wollen – können die auch Fake-Adressen (oder was die meisten machen: Eine spezielle Spam-Adresse) eintragen. Ich werte die nicht aus – und die Zahl der Fälle, wo ich mal einen Kommentator per Mail wegen einer Rückfrage kontaktiere, kann ich an den Finger einer Hand abzählen.

          Mir ist auch ganz lieb, wenn das Kommentarfeld mit der URL leer bleibt – denn ich bereinige sowohl die beliebten SEO-Spam-Einträge a la 'Windows Support 0800 …' als auch kaputte URLs der Art 'http://habe ich keine'. Wenn ich mal ganz viel Zeit habe und Gefahr laufe, vor Langeweile zu störben, baue ich vielleicht das Formular für Kommentare entsprechend um. Aber jede Änderung zieht garantiert etwas nach sich, was mir in 3, 6 oder 12 Monaten auf die Füße fällt.

          Ich bin heilfroh, über die 10 Blogger-Jahre nicht die zahlreichen 'Tipps' der vielen 'Selbständig im Netz'-, 'wie blogge ich richtig'- oder sonst was-Seiten ignoriert zu haben. Hat mir hier bei einigen Sachen den Arsch gerettet, weil ich erst gar nicht in Schwierigkeiten gerate. Und EU-DSGVO‎ kann ich imho auch relativ gelassen angehen, da ich im Blog bis auf die Nutzerangaben (Fake-E-Mail, Alias-Name) in Kommentaren und anonymisierte IP-Adresse (zur SPAM-Filterung und zur Besucherzählung) nichts aufzeichne. Was ich nicht weiß oder festhalte, kann bei mir auch nicht gehackt/geleaked werden.

      • ralf sagt:

        im nachhinein betrachtet war die umstellung auf https fuer den blog eine gute entscheidung. die kommentarfunktion – beinhaltet mit der obligatorisch anzugebenden mailadresse ja auch ein personenbezogenes datum – waere sonst mit der dsgvo juristisch angreifbar geworden:
        https://www.heise.de/newsticker/meldung/DSGVO-8500-Euro-Schadensersatz-fuer-fehlende-SSL-Schluesselung-Die-Hintergruende-4094585.html

    • Ralph sagt:

      Was genau, Ben, soll denn bitte SSL/TLS auf einer READ ONLY Website für einen Gewinn für den Nutzer darstellen?

      Das ist der selbe Humbug wie der Einsatzvon SSL/TLS beim Versand und/oder Empfang von Mails. Die MTAs untereinander arbeiten definitiv nicht verschlüsselt. Dazu liegen die Mails eines Nutzers in seinem serverseitigen Postfach ebenfalls föllich unverschlüsselt rum. Dieser ganze SSL/TLS-wir-sind-so-sicher-vor-der-NSA-Scheiss ist nur eins: Augenwischerei.

      Ich persönlich sehe nicht, warum ich Webseiten, auf denen man nur lesen, aber auf keinen Fall schreiben kann, mit SSL/TLS absichern soll. Egal, wie viel oder wenig mich das kostet und egal, wie hoch oder gering der Aufwand dafür ist.

      • Ach das darf man jetzt nicht so eng sehen mit den Verschlüsselten Emails, von Web.de, GMX.de und wie sie alle heißen, ich hab das bei mir nicht mal Aktiviert weil das nur Augenwischerei ist, das sollte doch jedem klar sein.

        SSL/TLS ist ja auch kein Heilmittel gegen alles, das bedeutet nur das ich mich Verschlüsselt Authentifiziere.

        Das einzige was wirklich für eine sichere verschlüsselte Datenübertragung hilft, ist die Datei oder Email noch auf dem Client PC noch Verschlüsselt wird und dann erst zu Versandt wird und daran ist niemanden daran gelegen, vor allem unseren Regierungen nicht.

      • Ben sagt:

        Oh man, das mit den Mails muss ich Dir jetzt nicht ernsthaft erklären, oder?

        Du schickst also Deine Zugangsdaten beim Versand/Abrufen gern unverschlüsselt durch das Netz, damit an diese jeder, der den Datenverkehr mitschneidet, ohne Umwege direkt drankommt?

        Glückwunsch…

        SSL/TLS ist eine Schutzebene, die ich als Basisschutz ansehe. Wenn ich eine weitere Schutzebene brauche, nehme ich zusätzlich OpenPGP/S-MIME.

        Read-Only-Seite? Naja, wenn Du möchtest, dass beispielsweise jemand Links während der Übertragung verändert (Richtung Schadsoftware), dann nur zu…

    • Günter Born sagt:

      Mir schon klar – in einer idealen Welt hülfe das gegen MIM-Angriffe der oben genannten Art. Die andere Tröte, die das sofort geblasen wurde, war: Mit Microsoft Store-Apps wäre das nicht passiert (hatte es im Blog sogar irgendwo thematisiert).

      Aber bzgl. deines Links sollte man folgende Fragen stellen und sich möglichst selbst beantworten. Wie viele Spyware wird von den diversen Nur-Text-Websites ausgeliefert? Wie oft wird https auf den Clients durch Schlangenöl-Lösungen ausgehebelt?

      Und wie viele Zertifikate werden mit privaten Schlüsseln rausgehauen? Das Revoking von 23.000 Zertifikaten vor wenigen Tagen ist mal wieder ein Beispiel – irgendwo wurden nur in der Größenordnung von 3.000 Zertifikaten erneuert.

      Ich behaupte ja nicht, dass SSL/TLS Teufelszeug ist. Ich wehre mich aber gegen pauschale Aussagen der oberen Art, die ohne Betrachtung des Einzelfalls aufgestellt werden. So mal eben ein simples Knöpfen drücken und alles ist schön in SSL/TLS-Grün angehaucht, ist leider nicht. Bin ja mal gespannt, wann mir das erste mal hier im Blog das Zertifikat bricht, weil ich eine Erneuerung versäumt habe.

      Ach ja: Wenn ich darauf hinweise, dass ich Windows-Updates bitteschön gerne per https ausgeliefert sehen will, schlagen direkt x Leser ein, die auf die erhöhten Energiekosten für die Verschlüsselung, die Absicherung der Pakete durch digitale Signaturen etc. hinweisen.

      Mein Credo: Es gilt immer wieder den Einzelfall zu betrachten, Vor- und Nachteile abzuwägen und dann für oder gegen das Einrichten einer TLS/SLL-Verschlüsselung zu entscheiden. Alles andere in Richtung Pauschalaussagen (egal in welcher Richtung) ist imho nicht wirklich ernst zu nehmen.

  2. Ben sagt:

    Moment moment, "Sicherheitslösungen", die SSL/TLS aufbrechen, sind gleich wieder ein ganz anderes Thema…

    • Ralph sagt:

      Nein? Das sind doch Sicherheitslösungen! Seit ich den Virenscanner habe, kann ich doch föllich gedankenlos auf alles klicken, was auf meinem Schirm aufploppt, ich bin doch jetzt geschützt! Und ich sowieso, weil ich viel schlauer bin als andere und gleich DREI Virenscanenr laufen habe! (ich werde jetzt nicht explizit auf den Sarkasmus meiner Zeilen hinweisen)

      Fakt ist, das ist nichts anderes. Sowohl die "Sicherheitslösung" an sich, als auch SSL/TLS zwischen MUA und MTA sind absolute Augenwischerei. Mir fällt da immer spontan der Begriff "Risikokompensation" von fefe ein.

  3. Spyware? sagt:

    @Ralph auch bei "Read" Only Seiten möchte man ggf. nicht das Jemand mit zu einfachen Mitteln mitliest WAS ich dort gelesen habe. Das WAS dort gelesen wurde könnte dem Leser schon zum Verhängnis werden.

    Natürlich hilft SSL/TLS nicht alle Probleme zu beheben und ist nicht DAS Allheilmittel, aber es ist ein Faktor.
    Man sollte nicht immer alles in Schwarz / Weiß kategorisieren.
    Es gibt immer Grautöne!

    Auch wenn man SSL/TLS brechen kann wird das für Denjenigen der solche Dinge versucht zumindest schwieriger, kostet mehr und lohnt sich dann ggf. nicht mehr

    Auch ein Türschloss ist nicht unüberwindbar, deswegen lässt man es aber nicht direkt komplett weg.
    Auch hier hilft gegen den Einbruch in der Regel der höhere Aufwand.
    Selbst ins Fort Knox würde man mit maximalem Aufwand reinkommen.

    • Ralph sagt:

      Ich widerspreche Dir nicht grundsätzlich, gebe aber einfach mal ein zusätzliches Argument in den Topf: Wo haben doch gleich die "vertrauenswürdigen" Zertifizierungsstellen für SSL-Zertifikate in der Regel ihren Hauptsitz? Und wo stehen doch gleich die meisten Root-DNS-Server? Und wem unterstehen sowohl die Unternehmen (SSL), als auch die Betreiber (root-DNS)? Die Leute, die ich aussperren möchte und mit deren Aussperrung man wirbt, sind genau die Leute, denen es total egal ist, ob ich verschlüssele oder nicht. Sie lesen in jedem Fall mit, wenn sie wollen.

      Ja, die Welt ist nicht schwarz und/oder weiss, sondern grau. Mitunter hilft aber nur, schwarz und/oder weiss zu sehen, um eine Entscheidung zu treffen, die man vor allem zunächst mit sich selbst ausmachen muss. Und im Fall von https habe ich meine Entscheidung für mich getroffen. Ich gebe kein Geld aus, damit meine Nutzer ein kleines Schlosssymbol in beruhigendem grün auf ihrem Bildschirm sehen können.

      • Spyware? sagt:

        Auch hier gilt, jeder halbwegs gute Geheimdienst kommt in deine Wohnung wenn er es will, egal was du machst.
        Deine Wohnung hat aber trotzdem ein Schloss damit nicht auch noch zusätzlich jeder Drogenabhängige in der Umgebung deine Wohnung ausräumen kann.

        Natürlich darf man sich nicht in Sicherheit wiegen, trotzdem sollte man Risiken minimieren.

        Man kann doch nicht immer mit dem Totschlgargument "Geheimdienst" etc kommen. Es gibt auch andere. Und allen sollte man es möglichst schwer machen.

        Zusätzlich sollte man bedenken, dass es, wenn es mehr Verschlüsselung gibt, es Diejenigen die alles unrechtmäßig Überwachen wollen, mehr "kostet", um dann ggf. festzustellen das nur Blödsinn drin war, der vom Inhalt her eigentlich nicht hätte verschlüsselt werden müssen. Durch das hohe verschlüsselte "Grundrauschen" entgehen dann ggf. andere die es nötiger haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.