[WLANnews] Fwd: Freifunk Vernetzungstreffen 08.01.2013

Jan Lühr ff at stephan.homeunix.net
Fr Feb 8 22:27:49 CET 2013 

Hallo,

Am 08.02.2013 um 20:31 schrieb Aaron K:
> On 08.02.2013, at 18:55, "Jan Lühr" <ff at stephan.homeunix.net> wrote:
>> Am 08.01.2013 um 17:54 schrieb Juergen Neumann:
>>>> Kurz ein danke an dieser Stelle - wir haben seid Jahren gute Erfahrungen mit dem DNS-Delegation-Service gemacht.
>>> 
>>> Prima, da wird sich Werner sicher freuen das zu hören. :) 
>>> 
>>>> Uns macht jedoch das SSL-Deployment ein wenig Kopfzerbrechen: Wir
>>>> würden gerne SSL auf kbu.freifunk.net anbieten.  Aktuell stehen wir vor
>>>> dem Problem, dass Cacert-Zertifikate in vielen Umgebungen nicht
>>>> validiert werden können (fehledens Root-Zertifikat - Hinweis
>>>> verschreckt Surfer) und StartSSL-Keine Zertifikate für sub- &
>>>> subsub-Domains ausstellt. Hast Du eine Empfehlung für ein Deployment? 
>>> 
>>> Das Blöde ist, dass das CAcert root cert immer noch nicht per default in
>>> den Browsern enthalten ist. Dafür sollten wir uns zumindest bei firefox,
>>> chrome etc. alle gemeinsam einsetzen! Ansonsten ist das "Angebot" dort
>>> m.E.n. wirklich am Besten.
>>> 
>>> Wenn wir eine etabliertere Lösung wollen, werden wir nicht umhin kommen
>>> für freifunk.net eine Organisation-CA bei einem kommerziellen Anbieter
>>> zu beantragen/kaufen. 
>>> 
> 
> Ergänzung: funkfeuer hat das bewusst bei CACert.org gemacht, um CACert.org zu fördern. 
> 
>>> => Kennt denn jemand ein entsprechende Firma, die uns über den
>>> Förderverein da ein günstiges/kostenloses Angebot machen würde?
>>> 
>> 
>> Soweit ich verstehe, bietet StartSSL für 59,90$ (ca. 45€) jährlich an, beliebige Zertifikate für eine Domain auszustellen.
>> Diese Summe sollte eigentlich über Sponsoren finanzierbar sein. Wir können Details ggf. auf dem WCW ansprechen.
> 
> 
> Honest Achmed käme auch noch in Frage: https://bugzilla.mozilla.org/show_bug.cgi?id=647959

Comodo ist zu teuer - *scnr* - dito ;-)

Das aktuelle SSL-CA-Dilemma ist sehr komplex und diese ML ist imho kein Ort wo wir eine gute Lösung finden können.
Mein Wunsch ist unter freifunk.net Subdomains SSL anbieten zu können, ohne das eine Fehlermeldung unbedarfte Nutzer erschreckt. CaCert.org hat ihren Antrag auf Einbindung in Mozilla zurückgezogen [1] Daher scheidet CACert.org für ein solches Deployment leider aus. 
Bei der Abwägung CACert.org Support vs. verschreckte Interessenten fällt meine Votum zu Gunsten möglicher Interessenten aus.

Alles Gute
Jan

[1] https://bugzilla.mozilla.org/show_bug.cgi?id=215243

Mehr Informationen über die Mailingliste WLANnews