Mozilla sagt mir

Funktioniert etwas nicht?
Hier wird dir geholfen...
Benutzeravatar
Ambivalenz
alteingesessen
alteingesessen
Beiträge: 872
Registriert: 4. April 2013, 10:20
SPS: Ja

Mozilla sagt mir

Beitragvon Ambivalenz » 17. März 2017, 09:57

"Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten."
???
Wer leuchten will, der flieht das Licht...
Grey would be the color, if I had a heart.

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 933
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: Mozilla sagt mir

Beitragvon orinoco » 17. März 2017, 13:16

Ich vermute, dass es sich um eine neuere Version des Browsers Mozilla Firefox handelt. Seit dem NSA/GCHQ Skandal wird mehr verschlüsselt und werden Webseiten vermehrt mit SSL verschlüsselt übertragen. Das bezieht sich allerdings nur auf die Übertragung der Daten. Firefox macht jetzt seine Nutzer wohl darauf aufmerksam, dass eine Verbindung nicht mit SSL verschlüsselt wird.
An der Website hier hat sich aber nichts geändert d.h. nach wie vor werden alle Daten unverschlüsselt übertragen und damit während der Übertragung abgreifbar und manipulierbar, so man Zugriff darauf hat. Grundsätzlich besteht die Möglichkeit die Übertragung zu verschlüsseln, allerdings kann dann Firefox wieder meckern, wenn der Schlüssel nicht von einer für Firefox vertrauenswürdigen Instanz signiert wurde. Sich ein entsprechendes Zertifikat zu besorgen kann schon schwieriger sein, auch wenn es inzwischen kostenlose gibt. Außerdem bezieht sich das auch nur auf die Übertragung. An den beiden Enden der verschlüsselten Leitung ist alles wieder unverschlüsselt, sprich auf dem Webserver und den Endgeräten mit denen darauf zugegriffen wird. Und natürlich kann sich potentiell jeder hier anmelden und auf die Website zugreifen. Und für Geheimdienste a la NSA/GCHQ ist es sowieso ein Leichtes sich auf Server und Endgeräte, speziell mit Betriebssystem mit proprietären Anteilen wie Windows, iOS, Android etc., Zugriff zu verschaffen. Ob das alles also so viel bringt ... ich hab da meine Zweifel. Grundsätzlich empfehle ich daher mit privaten Daten hier den Grundsatz der Datensparsamkeit walten zu lassen und für den Zugang hier ein sicheres(!) Passwort und anonyme E-Mail Adresse zu verwenden, die sonst nirgends verwendet werden.
Verständnis ist für den Traumatisierten, was die niedrige Bordsteinkante für den Rollstuhlfahrer.
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!

Benutzeravatar
eremos
interessiert
interessiert
Beiträge: 28
Registriert: 22. Dezember 2017, 16:27
SPS: Ja

Re: Mozilla sagt mir

Beitragvon eremos » 6. März 2018, 00:37

Generell gebe ich Dir recht was Du schreibst. Ich komme aus der IT Branche (bin hauptberuflich Sysadmin, Developer) und kann deiner Argumentation folgen. Das Problem sind aber die User. Mozilla sagt die Seite ist böse, weil kein SSL. Ob das neue User bringt? Es könnten dadurch auch welche abgeschreckt werden, weil sie erst mal der Aussage von Mozilla vertrauen als einem Admin in einem Forum. Denn willst Du jedem User erst erklären, dass dieses reine Verschlüsseln der Übertragung nichts bringt, wenn der Abfrage und Endpunkt unverschlüsselt ist? Ich tue mich da etwas schwer. Im Google Ranking wird man für Non-SSL leider auch abgestraft, was dem Forum nicht unbedingt was bringt. Wenn sich das nicht finanzieren lässt, sprich eine Geldfrage wäre, dann könnte ich da etwas arrangieren (spenden). Nur wenn es gewünscht ist und ich will niemanden bedrängen damit. Nicht das da jetzt was falsch verstanden wird.

Benutzeravatar
Laika
engagiert
engagiert
Beiträge: 216
Registriert: 24. Januar 2018, 19:25

Re: Mozilla sagt mir

Beitragvon Laika » 6. März 2018, 20:28

Wenn ein Beitrag dafür willkommen ist, würde ich mich auch gerne beteiligen.

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 933
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: Mozilla sagt mir

Beitragvon orinoco » 7. März 2018, 20:57

Also technisch ist das kein Problem. Die Fragen ist nur: wie wichtig ist das? und: welcher CA, Zertifikats-Anbieter? möglichst einer der zuverlässig ist und von allen Browser-Schmieden akzeptiert wird. Das ist ja inzwischen schon eine Skandalbranche, wo Diverse sich nicht gerade als vertrauenswürdig erwiesen haben und dafür von Mozilla und anderen abgestraft wurde.
Mir persönlich sagt CACert zu, da das System sowas wie ein echtes web-of-trust erzeugt (war selbst schon mal bei einem CACert ATE assurer training event und bin assurer) und auch weil es praktisch nichts kostet. Aber mit der Anerkennung bei den Browsern hapert es wohl noch.
Let's Encrypt kenn ich noch. Auch kostenlos. Denen muss man halt vertrauen ... ja, schwierig für einen SPSler ;)
Bei den kommerziellen CAs kenn ich mich nicht aus.

Benutzeravatar
Laika
engagiert
engagiert
Beiträge: 216
Registriert: 24. Januar 2018, 19:25

Re: Mozilla sagt mir

Beitragvon Laika » 7. März 2018, 22:30

Let's Encrypt wird von den Browsern weitgehend als vertrauenswürdig eingestuft. IE, Firefox und Chrome zumindest weiß ich aus Erfahrung. Allerdings werden die Zertifikate nur auf 3 Monate ausgestellt (zumindest die auf unseren Webservern) und da ist eine automatische Erneuerung dann doch sehr praktisch. In unserer Firma haben wir PLESK für die Webhosting Administration und das erledigt die Erneuerung selbsttätig. Im Kaufbereich nehmen wir meist Comodo Zertifikate, die auch allgemein als vertrauenswürdig anerkannt werden. Ein Domain-validiertes ist unkompliziert zu beantragen und sollte mMn völlig reichen. Vllt könnte man eines mit 3jähriger Laufzeit nehmen, dann muss man nicht so oft neu beantragen. Das ist natürlich dann etwas teurer, aber wie gesagt, ich beteilige mich dabei gerne. Sagt einfach Bescheid!

Edit: GeoTrust und Thawte sollten auch gut erkannt werden.

Benutzeravatar
eremos
interessiert
interessiert
Beiträge: 28
Registriert: 22. Dezember 2017, 16:27
SPS: Ja

Re: Mozilla sagt mir

Beitragvon eremos » 8. März 2018, 00:34

Zu den CAs: Die kommerziellen sind alle vergoren. Ich traue da keiner. Allein das Theater mit Symantec, etc. Comodo hat sich in der Vergangenheit ebenfalls genug erlaubt und was die anderen so treiben - lassen wir das. CACert habe ich früher sehr unterstütz, ich fand das einen super Rahmen wie man das alles aufgebaut hat. Leider ist das Projekt durch Let's Encrypt kaputt gemacht worden, gerade Mozilla trage ich das nach, weil die sich damals bei CACert geziert haben. Von dem her: Wenn Du LE umsetzen kannst, dann nimm LE. LE hat ja zudem ein Stammzertifikat einer vollwertigen CA bis das LE eigene voll in allen Browsern umgesetzt wird. Problem könnten sehr alte Devices werden, bei denen der Root Zertifikatsspeicher nicht mehr aktualisiert wird.

Was man ebenfalls prüfen müsste wäre, in wie weit das Thema mit der DSGVO auf das Forum zutrifft. Denn dort steht, dass verbindlich immer eine Verschlüsselung eingesetzt werden muss, wenn personenbezogene Daten (Authentifiziertung) übertragen werden. Nicht, dass da irgendwie eine Keule kommen könnte. Grade wenn ich an diese Brut von Abmahnanwälten denke...

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 933
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: Mozilla sagt mir

Beitragvon orinoco » 10. März 2018, 18:22

eremos hat geschrieben:Zu den CAs: Die kommerziellen sind alle vergoren. Ich traue da keiner. Allein das Theater mit Symantec, etc. Comodo hat sich in der Vergangenheit ebenfalls genug erlaubt und was die anderen so treiben - lassen wir das. CACert habe ich früher sehr unterstütz, ich fand das einen super Rahmen wie man das alles aufgebaut hat. Leider ist das Projekt durch Let's Encrypt kaputt gemacht worden, gerade Mozilla trage ich das nach, weil die sich damals bei CACert geziert haben. Von dem her: Wenn Du LE umsetzen kannst, dann nimm LE. LE hat ja zudem ein Stammzertifikat einer vollwertigen CA bis das LE eigene voll in allen Browsern umgesetzt wird. Problem könnten sehr alte Devices werden, bei denen der Root Zertifikatsspeicher nicht mehr aktualisiert wird.


Da sind wir ja auf einer Linie. In die kommerziellen CAs hab ich auch kein Vertrauen.
Gibt sogar welche die nachvollziehbar behaupten TLS sei "broken by design" und alles nur noch snake oil.
Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.

eremos hat geschrieben:Was man ebenfalls prüfen müsste wäre, in wie weit das Thema mit der DSGVO auf das Forum zutrifft. Denn dort steht, dass verbindlich immer eine Verschlüsselung eingesetzt werden muss, wenn personenbezogene Daten (Authentifiziertung) übertragen werden. Nicht, dass da irgendwie eine Keule kommen könnte. Grade wenn ich an diese Brut von Abmahnanwälten denke...


Die DSGVO scheint mir auch wieder nur eine ABM für Rechtsverwurster zu sein. Hatte schon mal mit so einer Abmahnkanzlei zu tun. Hab also schon ein Vorstellung wie man mit denen Schlitten fahren muss. Wir mMn alles nicht so heiß gegessen wie es gekocht wird.
Verständnis ist für den Traumatisierten, was die niedrige Bordsteinkante für den Rollstuhlfahrer.
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!

Benutzeravatar
Laika
engagiert
engagiert
Beiträge: 216
Registriert: 24. Januar 2018, 19:25

Re: Mozilla sagt mir

Beitragvon Laika » 10. März 2018, 20:46

orinoco hat geschrieben:Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.


Jep :begeistert: :cool:
Jetzt noch ein Redirect auf https wäre super. Für all die Normalos, Faulpelze und Schussel unter den Usern. Zu denen ich bisweilen auch zähle.

Das mit der Laufzeitbeschränkung scheint aber wirklich so zu sein..

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 933
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: Mozilla sagt mir

Beitragvon orinoco » 11. März 2018, 01:35

Laika hat geschrieben:
orinoco hat geschrieben:Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.


Jep :begeistert: :cool:
Jetzt noch ein Redirect auf https wäre super. Für all die Normalos, Faulpelze und Schussel unter den Usern. Zu denen ich bisweilen auch zähle.


So, auch noch die automatische Weiterleitung auf https drin. Aktualisierung der Bookmarks und Links macht aber auch Sinn.

Laika hat geschrieben:Das mit der Laufzeitbeschränkung scheint aber wirklich so zu sein..


Die Zertifikate sind drei Monate gültig, werden aber per cronjob rechtzeitig aktualisiert. Alles im certbot-Paket schon vorkonfiguriert, aber ich hab's auch noch mal überprüft, das der cronjob angelegt wurde.


Zurück zu „Probleme und Tipps“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste