Eine neue Funktion soll die Sicherheit von Facebook spürbar verbessern und mit ein bisschen Benutzeraufklärung hätte sie auch die Chance dazu. Facebook führt nämlich die Verschlüsselung mittels PGP ein, wenn Facebook mit dem Benutzer kommuniziert.
Hin und wieder kommuniziert Facebook mit seinen Benutzern, gerade wenn es um Benachrichtigungsnachrichten geht. Leider schwimmen auf dieser Welle zunehmend Phishing-Mails mit, die die Benutzer verführen präparierte Links zu klicken und schon ist das Profil oder die verwaltete Seite in der Hand des Angreifers. Hier will Facebook eingreifen und lässt ab sofort seine Benutzer ihren eigenen öffentlichen PGP-Schlüssel im Profil hinterlegen, den man für die Verschlüsselung der Kommunikation in der Zukunft nutzen wird. Nach einer Testmail, um die reibungslose Kommunikation zu testen, kann man die Verschlüsselung für die zukünftige Kommunikation aktivieren.
Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verlängerbar sind.
Woran hapert es bei Zertifikaten meist?
Wenn man an SSL Verschlüsselung für Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschlüsseln und gerade Kontaktformulare oder alles worüber Daten erhoben werden kann sowieso. Nur macht man es häufig nicht, entweder aus Bequemlichkeit, oder einfach weil man für viele dieser Anwendungsfälle einfach kein Geld ausgeben will oder kann. Häufig geht es nur darum, die elende Fehlermeldung im Browser loszuwerden, aber dafür dann auf der privat betriebenen Webseite, oder einem Testprojekt, ein öffentliches, im Browser akzeptiertes Zertifikat erwerben? In vielen Fällen gilt „NEIN“ hier als die Standardantwort.
Geht es nicht um den Preis und man hat sich durchgerungen ein Zertifikat zu beantragen, dann geht das Problem erst richtig los. Hier will eine Zertifikatsanforderung erstellt werden, für die man zuvor einen entsprechenden privaten Schlüssel auf dem Server generiert haben sollte. Hat man die Zertifikatsanforderung (CSR, also Certificate Signing Request) erstellt, dann geht es an die Anbietersuche. Hat man den passenden Anbieter gefunden, dann muss man nachweisen, dass die Domain von einem selbst rechtmässig administrativ verwaltet wird, im Regelfall über die Zusendung einer E-Mail an eine administrative Empfängeradresse (admin@, administrator@, hostmaster@, postmaster@ oder webmaster@eigenerdomain.de), diese sind durch das CA-Browser Forum vorgegeben. Alternativ kann man sich natürlich auch per Hash-Verfahren per HTTP oder CNAME-Hash authentifizieren lassen.
Wer nun noch nicht ausgestiegen ist, für den ist Let’s Crypt ohnehin nur eine nette Spielerei und der Rest der Seitenbetreiber nur Stümper! 😉
Was möchte Let’s Encrypt anders machen?
Mit Mozilla als einer der Hauptsteuerer in der Gruppe hinter Let’s Encrypt, hat man bereits einen großen Browseranbieter an Bord, der die CA mit Sicherheit im eigenen Browser wohlwollend aufnehmen wird. Grundlegend möchte Let’s Encrypt vor allem das Zertifikatshandling vereinfachen. Hierzu soll eine Zertifikatsverwaltung auf den Server eingespielt werden, die die Beantragung, sprich Schlüsselerstellung, CSR-Generierung und HASH-Verfahren automatisch durchführt und das Zertifikat dann selbständig auf dem Server einspielt und die notwendigen Konfigurationen im Webserver ebenfalls vornimmt.
Für den Benutzer ideal, man installiert einmalig eine Verwaltungssoftware und kann dann mit geringem Aufwand neue Zertifikate beschaffen und dies vor allem kostenlos, denn Let’s Encrypt will ähnlich wie es CACert versucht, die Zertifikate kostenlos anbieten. Bei CACert scheiterte es daran, dass man nicht in die Browser aufgenommen wurde, bei Let’s Encrypt sieht es hier besser aus, wenn gleich man auch dazu sagen muss, dass ein Gegenwind der bestehenden CAs im CA-Browser Forum zu erwarten sein dürfte, denn eine so elegante und kostenfreie Alternative dürfte den Wenigsten schmecken!
Was ist wenn mein Zertifikat abläuft?
Let’s Encrypt hat sich die Gedanken gemacht, die man sich von den bestehenden CAs schon lange gewünscht hat, denn auch wenn ein Zertifikat abläuft, hört die Bequemlichkeit noch lange nicht auf. Die Zertifikatsverwaltung soll zum einen die Laufzeit überwachen und zum Ende der Laufzeit automatisch ein neues Zertifikat beantragen und einspielen, so dass es zu keiner Unterbrechung im Betrieb kommt. Da Zertifikate, zumindest von Anbietern, die in den Browsern als vertrauenswürdige CAs aufgenommen wurden, eine feste Laufzeit haben müssen, kommt man hin und wieder in die unangenehme Situation, dass ein Zertifikat unbemerkt abläuft und die Webanwendung ihren Dienst aufgrund des abgelaufenen Zertifikates versagt. Mit Let’s Encrypt soll dies der Vergangenheit angehören.
Für wen ist denn Let’s Encrypt interessant?
Prinzipiell ist Let’s Encrypt primär für alle die Betreiber interessant, die als oberstes Ziel haben, die Fehlermeldung im Browser los zu werden, die so wunderschön jammert „Diese Webseite ist nicht vertrauenswürdig“. Wie es im Detail aussehen wird ist noch nicht ganz klar, es werden jedoch nur DV-Zertifikate angeboten (Domain Validation), also Zertifikate, bei denen der Domaininhaber über die oben beschriebenen „Prüfverfahren“ validiert wurde. Zertifikate die ein Unternehmen prüfen (OV) oder gar für eine grüne Leiste im Browser sorgen (EV), werden von Let’s Encrypt nicht angeboten, da man diese nicht komplett automatisieren kann.
Für einen großen Teil der kleineren Webseitenbetreiber ist Let’s Encrypt jedoch sehr interessant und könnte auch viele Betreiber dazu animieren überhaupt zu verschlüsseln. Voraussetzung dafür, das Serverbetriebsystem wird von Let’s Encrypt unterstützt und kann die Verwaltungssoftware ausführen (Python basiert und aktuell mit Unterstützung für den Apache Webserver versehen). Etwas speziellere Systeme wie viele Firewalls, Router usw. fallen hier also schonmal raus, genauso wie Windowsserver mit IIS oder Linuxserver die auf NGINX oder Lighttp setzen.
Wo bekomme ich weitere Informationen?
Let’s Encrypt hat eine englischsprachige Webseite online, auf der man bereits viele Informationen finden kann. Eine Preview der Clientsoftware ist ebenfalls verfügbar und für weitere Fragen kann man sich in die Mailingliste eintragen.
Box haut im Moment ja einiges an Speicher raus, gerade in Verbindung mit verschiedenen Herstellern und deren Aktionen. Schnell können es 50GB sein, die man unkompliziert als stolzer Besitzer eines LG, Sony Ericsson usw. Gerätes einheimsen kann.
Ja, ich weiss, man kann sich den zusätzlichen Speicher auch erschleichen, genügend Blogartikel dazu gibt es im Netz. Ich habe bewusst darauf verzichtet, denn mit solchen Aktionen schadet ihr den Anbietern und am Ende euch selbst, weil es die Dienste vielleicht schon bald nicht mehr gibt, da sie sich nicht mehr finanzieren können, oder sie lassen in den Qualität nach, da die Mischkalkulation nicht mehr klappt.
Das musste einfach mal gesagt werden, denn genau in solchen Momenten geht mir die „wir wollen alles kostenlos“-Mentalität sehr gegen den Strich, da man sich letztendlich immer nur selbst schadet, bei solchen Vorteilserschleichungen.
Wer nun seinen Box Account bequem im Ubuntu Dateimanager eingebunden haben möchte und sich den Weg und Zugriff über die Webseite ersparen will, der kann sich mittels WebDAV mit dem Box-Server verbinden:
Auf „Datei -> Mit Server verbinden“ gehen
Im folgenden Bildschirm die entsprechenden Einstellungen (Server muss dav.box.com/dav lauten, Stand 18.09.2014!) auswählen
Für Benutzername und Passwort die entsprechenden Box.com Accountdaten nutzen
Auf „Verbinden“ drücken
Anschliessend öffnet sich automatisch der Dateimanager und zeigt euren Box-Account an. Man kann nun Daten hin und her kopieren und Box.com fast wie einen lokalen Ordner nutzen.
Sollte dieser kleine Tip für euch nützlich gewesen sein, dann sagt es doch weiter, vielleicht hilft er auch anderen Nutzern!