[WLANnews] TLS für hamburg.freifunk.net

[Matthias Marx]

Moin,

TLS, nur damit https in der Leiste steht und so ein cooles, grünes  
Schloß und keine Fehlermeldung auftaucht, ist nicht sinnvoll.
Und ein gekauftes Zertifikat einer Zertifizierungsstelle, der wir  
nicht unbedingt vertrauen, ist auch wenig sinnvoll. Weiteres dazu  
findet sich bei fefe [0].
Daher noch einmal: Ich denke, dass wir cacert nutzen sollten. Leute,  
die durch Warnungen irritiert werden könnten, sehen eh keine Warnung  
und gehen über http.


Gruß
kantorkel

[0] http://blog.fefe.de/?ts=b25933c5


Zitat von Andre Schmidt <m.andre.schmidt at me.com>:

> Moin Martin & kantorkel,
>
> Es geht wie gesagt um die Seite hamburg.freifunk.net. Da die sich an  
> die Öffentlichkeit wendet und erste Anlaufstelle ist, ist CAcert  
> hier leider (noch) keine Option.
>
> Danke,
> andre
>
>
> Am 30.06.2013 um 23:25 schrieb magu <magu at gmx.net>:
>
>> Moin
>>
>> Was die HTTPS sachen angeht gibt es eine einfache Frage:
>> welche "Kunden" wollt ihr erreichen?
>>
>> Wenn ihr die nerds, nahen CCC, Linux Benutzer und andere Computer
>> begeisterte, oder Sicherheitsbewusste Benutzer erreichen Möchtet dann
>> verwendet ihr CAcert wenn die Orgianisation oder eV es Möchte sogar mit
>> einer Sogenannten Organisations-Assurances sprich im O und OU Feld steht
>> im Zertifikat auch etwas.
>> Hier mal eine Liste wer so etwas von CAcert verwendet
>> https://wiki.cacert.org/OrganisationAssurance/OrganisationList
>>
>> Wenn es nur darum geht SSL und keine Warnungen in irgendwelchen Browsern
>> dann nimmt irgend eine Snake Oil CA sei es StartSSL oder eins was ihr
>> z.b. bei psw.net kaufen könnt.
>>
>> Ob die es auch anbieten das man Certifikate mit mehr als 2048 Bit Länge
>> erstellen kann
>> 1024 Bit sollte wen möglich vermieden werden.
>>
>>
>> Gruß Magu
>>
>>
>> On 30.06.2013 22:56, Ruben Kelevra wrote:
>>> Hallo Matthias,
>>>
>>> das wirst du nicht erreichen. Eine Fehlermeldung für den
>>> Durchschnittsuser geht ganz klar in die Richtung Abschreckung und
>>> nicht Aufklärung.
>>>
>>> Ich will das bestehende System auch ungern unterstützen aber CAcert
>>> ohne Eintragung der Root-Zertifikate von den Browserherstellern ist
>>> einfach der falsche Weg.
>>>
>>>
>>> LG Ruben
>>>
>>> Am 30. Juni 2013 22:36 schrieb Matthias Marx <matthias.marx at tuhh.de>:
>>>> Moin,
>>>>
>>>> ich bin für cacert :) und die Fehlermeldung sollte dem Durchschnittsnutzer
>>>> erklärt werden.
>>>>
>>>> Gruß
>>>> kantorkel
>>>>
>>>>
>>>> Zitat von Jens Nachtigall <nachtigall at web.de>:
>>>>
>>>>
>>>>> Hallo Andre,
>>>>>
>>>>> ich leite deine Mail gleich nochmal explizit an den Mail-Admin von
>>>>> freifunk.net weiter (darum auch full quote hier). Ich würde euch statt
>>>>> StartSSL auch Gandi empfehlen. Ein Zertifikat kostet 10 Euro im Jahr:
>>>>> http://en.wikipedia.org/wiki/Gandi#Business_model
>>>>> http://en.gandi.net/ssl
>>>>>
>>>>> Als Validierungmöglichkeit steht euch dort auch zur Verfügung, eine
>>>>> bestimmte Datei auf euren Webserver zu packen. Das wäre sicherlich das
>>>>> beste, weil ihr könnt es einfach selber machen.
>>>>>
>>>>> Wenn es Mail sein *muss*, bei Gandi würde die zu validierende Adresse
>>>>> admin at freifunk.net lauten. Ein weiterleiten der Mail,
>>>>> webmaster at freifunk.net und postmaster at freifunk.net sind bestimmt auch
>>>>> eingerichtet, sollte sicherlich kein Problem sein.
>>>>>
>>>>> Viele Grüße,
>>>>> Jens
>>>>>
>>>>>
>>>>> Am 29.06.2013 10:43, schrieb Andre Schmidt:
>>>>>> Moinsen freifunk.net Admins,
>>>>>>
>>>>>> Ist es möglich von Euch ein SSL-Zertifikat für hamburg.freifunk.net zu
>>>>>> bekommen? Wir erzählen den Leuten immer, nutzt TLS, bieten es  
>>>>>> aber selbst
>>>>>> noch gar nicht für die Webseite an (auch wenn es praktisch kaum relevant
>>>>>> ist, macht es keinen guten Eindruck). ;)
>>>>>>
>>>>>> Falls das nicht möglich ist und wir uns selbst drum kümmern müssen:
>>>>>> Ich nutze zwar selbst CACert und finde das auch gut, auf Grund der
>>>>>> mangelnden browser-Integration können wir das dem  
>>>>>> Durschnittsbenutzer aber
>>>>>> nicht zumuten. Eine Fehlermeldung würde eher Abschreckend wirken.
>>>>>> Dann habe ich mich testweise mal bei StartSSL angemeldet für ein
>>>>>> kostenloses Zertifikat. Die möchten dann aber, dass man seine  
>>>>>> Zuständigkeit
>>>>>> über die Domäne belegt indem man Zugriff auf eine der folgenden  
>>>>>> Adressen hat
>>>>>> (Subdomänen akzeptieren sie nicht):
>>>>>> postmaster at freifunk.net
>>>>>> hostmaster at freifunk.net
>>>>>> webmaster at freifunk.net
>>>>>> Könntet ihr das ggf. weiter leiten?
>>>>>> Für alternative Ideen sind wir auch gerne zu haben
>>>>>>
>>>>>> Danke & schönes Wochenende,
>>>>>> andre
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> WLANnews mailing list
>>>>> WLANnews at freifunk.net
>>>>> Abonnement abbestellen? ->
>>>>> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>>>>>
>>>>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
>>>>> unter http://freifunk.net/mailinglisten
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> WLANnews mailing list
>>>> WLANnews at freifunk.net
>>>> Abonnement abbestellen? ->
>>>> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>>>>
>>>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
>>>> unter http://freifunk.net/mailinglisten
>>> _______________________________________________
>>> WLANnews mailing list
>>> WLANnews at freifunk.net
>>> Abonnement abbestellen? ->  
>>> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>>>
>>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und  
>>> Abmeldung unter http://freifunk.net/mailinglisten
>>
>>
>> _______________________________________________
>> WLANnews mailing list
>> WLANnews at freifunk.net
>> Abonnement abbestellen? ->  
>> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>>
>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und  
>> Abmeldung unter http://freifunk.net/mailinglisten