[Freifunk Franken] letsEncrypt ?

[CSG]

Am 05.01.2016 um 07:52 schrieb peter.muehlenbrock at nefkom.info:
>  Zudem vertraue ich Letsèncrypt bzw. den dahinter stehenden
> organisationen etwas mehr als einer israelischen Firma. 

Hallo,

leider hängt das gesamte CA-System davon ab, dass jede einzelne CA
vertrauenswürdig ist (Key-pinning mal ausgenommen). StartSSL und auch
LetsEncrypt kommen beim Signieren des Zertifikats nie in Berührung mit
deinem Private-Key, daher sind Zertifikate von StartSSL "genau so gut"
wie LetsEncrypt-Zertifikate. Natürlich kann es Unterschiede in Sachen
Versicherung, Kosten für's Revoken usw. geben.

Ich habe den Hype um LetsEncrypt ehrlichgesagt nicht wirklich
verstanden. LetsEncrypt stellt kostenlose Zertifikate aus - wow, das
macht StartSSL seit Jahren, wofür ich keine (in meinen Augen) sinnlose
Software auf meinem Server installieren muss, die alle paar Monate ein
neues Zertifikat generiert. Durch das ständige Austauschen des
Zertifikats wird eher das Key Pinning erschwert als dass es einen
Sicherheitsvorteil bringt. Für den Python Client müssen zudem recht
viele Libraries installiert werden, die man auf dem Server sonst nicht
bräuchte.

Gegen LetsEncrypt-Zertifikate habe ich nichts. Ich denke, die Leute
machen ihre Sache schon sehr gut. Dennoch halte ich das ständige
Austauschen des Zertifikats für unnötig und störend.

Viele Grüße
Anton