"Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten."
???
Mozilla sagt mir
- Ambivalenz
- alteingesessen
- Beiträge: 872
- Registriert: 4. April 2013, 10:20
- SPS: Ja
Mozilla sagt mir
Wer leuchten will, der flieht das Licht...
Grey would be the color, if I had a heart.
Grey would be the color, if I had a heart.
- orinoco
- Administrator
- Beiträge: 940
- Registriert: 14. Februar 2015, 14:50
- SPS: Ja
- Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD
Re: Mozilla sagt mir
Ich vermute, dass es sich um eine neuere Version des Browsers Mozilla Firefox handelt. Seit dem NSA/GCHQ Skandal wird mehr verschlüsselt und werden Webseiten vermehrt mit SSL verschlüsselt übertragen. Das bezieht sich allerdings nur auf die Übertragung der Daten. Firefox macht jetzt seine Nutzer wohl darauf aufmerksam, dass eine Verbindung nicht mit SSL verschlüsselt wird.
An der Website hier hat sich aber nichts geändert d.h. nach wie vor werden alle Daten unverschlüsselt übertragen und damit während der Übertragung abgreifbar und manipulierbar, so man Zugriff darauf hat. Grundsätzlich besteht die Möglichkeit die Übertragung zu verschlüsseln, allerdings kann dann Firefox wieder meckern, wenn der Schlüssel nicht von einer für Firefox vertrauenswürdigen Instanz signiert wurde. Sich ein entsprechendes Zertifikat zu besorgen kann schon schwieriger sein, auch wenn es inzwischen kostenlose gibt. Außerdem bezieht sich das auch nur auf die Übertragung. An den beiden Enden der verschlüsselten Leitung ist alles wieder unverschlüsselt, sprich auf dem Webserver und den Endgeräten mit denen darauf zugegriffen wird. Und natürlich kann sich potentiell jeder hier anmelden und auf die Website zugreifen. Und für Geheimdienste a la NSA/GCHQ ist es sowieso ein Leichtes sich auf Server und Endgeräte, speziell mit Betriebssystem mit proprietären Anteilen wie Windows, iOS, Android etc., Zugriff zu verschaffen. Ob das alles also so viel bringt ... ich hab da meine Zweifel. Grundsätzlich empfehle ich daher mit privaten Daten hier den Grundsatz der Datensparsamkeit walten zu lassen und für den Zugang hier ein sicheres(!) Passwort und anonyme E-Mail Adresse zu verwenden, die sonst nirgends verwendet werden.
An der Website hier hat sich aber nichts geändert d.h. nach wie vor werden alle Daten unverschlüsselt übertragen und damit während der Übertragung abgreifbar und manipulierbar, so man Zugriff darauf hat. Grundsätzlich besteht die Möglichkeit die Übertragung zu verschlüsseln, allerdings kann dann Firefox wieder meckern, wenn der Schlüssel nicht von einer für Firefox vertrauenswürdigen Instanz signiert wurde. Sich ein entsprechendes Zertifikat zu besorgen kann schon schwieriger sein, auch wenn es inzwischen kostenlose gibt. Außerdem bezieht sich das auch nur auf die Übertragung. An den beiden Enden der verschlüsselten Leitung ist alles wieder unverschlüsselt, sprich auf dem Webserver und den Endgeräten mit denen darauf zugegriffen wird. Und natürlich kann sich potentiell jeder hier anmelden und auf die Website zugreifen. Und für Geheimdienste a la NSA/GCHQ ist es sowieso ein Leichtes sich auf Server und Endgeräte, speziell mit Betriebssystem mit proprietären Anteilen wie Windows, iOS, Android etc., Zugriff zu verschaffen. Ob das alles also so viel bringt ... ich hab da meine Zweifel. Grundsätzlich empfehle ich daher mit privaten Daten hier den Grundsatz der Datensparsamkeit walten zu lassen und für den Zugang hier ein sicheres(!) Passwort und anonyme E-Mail Adresse zu verwenden, die sonst nirgends verwendet werden.
Verständnis ist für den Traumatisierten, was die niedrige Bordsteinkante für den Rollstuhlfahrer.
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!
- eremos
- interessiert
- Beiträge: 28
- Registriert: 22. Dezember 2017, 16:27
- SPS: Ja
Re: Mozilla sagt mir
Generell gebe ich Dir recht was Du schreibst. Ich komme aus der IT Branche (bin hauptberuflich Sysadmin, Developer) und kann deiner Argumentation folgen. Das Problem sind aber die User. Mozilla sagt die Seite ist böse, weil kein SSL. Ob das neue User bringt? Es könnten dadurch auch welche abgeschreckt werden, weil sie erst mal der Aussage von Mozilla vertrauen als einem Admin in einem Forum. Denn willst Du jedem User erst erklären, dass dieses reine Verschlüsseln der Übertragung nichts bringt, wenn der Abfrage und Endpunkt unverschlüsselt ist? Ich tue mich da etwas schwer. Im Google Ranking wird man für Non-SSL leider auch abgestraft, was dem Forum nicht unbedingt was bringt. Wenn sich das nicht finanzieren lässt, sprich eine Geldfrage wäre, dann könnte ich da etwas arrangieren (spenden). Nur wenn es gewünscht ist und ich will niemanden bedrängen damit. Nicht das da jetzt was falsch verstanden wird.
- Laika
- engagiert
- Beiträge: 216
- Registriert: 24. Januar 2018, 19:25
Re: Mozilla sagt mir
Wenn ein Beitrag dafür willkommen ist, würde ich mich auch gerne beteiligen.
- orinoco
- Administrator
- Beiträge: 940
- Registriert: 14. Februar 2015, 14:50
- SPS: Ja
- Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD
Re: Mozilla sagt mir
Also technisch ist das kein Problem. Die Fragen ist nur: wie wichtig ist das? und: welcher CA, Zertifikats-Anbieter? möglichst einer der zuverlässig ist und von allen Browser-Schmieden akzeptiert wird. Das ist ja inzwischen schon eine Skandalbranche, wo Diverse sich nicht gerade als vertrauenswürdig erwiesen haben und dafür von Mozilla und anderen abgestraft wurde.
Mir persönlich sagt CACert zu, da das System sowas wie ein echtes web-of-trust erzeugt (war selbst schon mal bei einem CACert ATE assurer training event und bin assurer) und auch weil es praktisch nichts kostet. Aber mit der Anerkennung bei den Browsern hapert es wohl noch.
Let's Encrypt kenn ich noch. Auch kostenlos. Denen muss man halt vertrauen ... ja, schwierig für einen SPSler
Bei den kommerziellen CAs kenn ich mich nicht aus.
Mir persönlich sagt CACert zu, da das System sowas wie ein echtes web-of-trust erzeugt (war selbst schon mal bei einem CACert ATE assurer training event und bin assurer) und auch weil es praktisch nichts kostet. Aber mit der Anerkennung bei den Browsern hapert es wohl noch.
Let's Encrypt kenn ich noch. Auch kostenlos. Denen muss man halt vertrauen ... ja, schwierig für einen SPSler
Bei den kommerziellen CAs kenn ich mich nicht aus.
- Laika
- engagiert
- Beiträge: 216
- Registriert: 24. Januar 2018, 19:25
Re: Mozilla sagt mir
Let's Encrypt wird von den Browsern weitgehend als vertrauenswürdig eingestuft. IE, Firefox und Chrome zumindest weiß ich aus Erfahrung. Allerdings werden die Zertifikate nur auf 3 Monate ausgestellt (zumindest die auf unseren Webservern) und da ist eine automatische Erneuerung dann doch sehr praktisch. In unserer Firma haben wir PLESK für die Webhosting Administration und das erledigt die Erneuerung selbsttätig. Im Kaufbereich nehmen wir meist Comodo Zertifikate, die auch allgemein als vertrauenswürdig anerkannt werden. Ein Domain-validiertes ist unkompliziert zu beantragen und sollte mMn völlig reichen. Vllt könnte man eines mit 3jähriger Laufzeit nehmen, dann muss man nicht so oft neu beantragen. Das ist natürlich dann etwas teurer, aber wie gesagt, ich beteilige mich dabei gerne. Sagt einfach Bescheid!
Edit: GeoTrust und Thawte sollten auch gut erkannt werden.
Edit: GeoTrust und Thawte sollten auch gut erkannt werden.
- eremos
- interessiert
- Beiträge: 28
- Registriert: 22. Dezember 2017, 16:27
- SPS: Ja
Re: Mozilla sagt mir
Zu den CAs: Die kommerziellen sind alle vergoren. Ich traue da keiner. Allein das Theater mit Symantec, etc. Comodo hat sich in der Vergangenheit ebenfalls genug erlaubt und was die anderen so treiben - lassen wir das. CACert habe ich früher sehr unterstütz, ich fand das einen super Rahmen wie man das alles aufgebaut hat. Leider ist das Projekt durch Let's Encrypt kaputt gemacht worden, gerade Mozilla trage ich das nach, weil die sich damals bei CACert geziert haben. Von dem her: Wenn Du LE umsetzen kannst, dann nimm LE. LE hat ja zudem ein Stammzertifikat einer vollwertigen CA bis das LE eigene voll in allen Browsern umgesetzt wird. Problem könnten sehr alte Devices werden, bei denen der Root Zertifikatsspeicher nicht mehr aktualisiert wird.
Was man ebenfalls prüfen müsste wäre, in wie weit das Thema mit der DSGVO auf das Forum zutrifft. Denn dort steht, dass verbindlich immer eine Verschlüsselung eingesetzt werden muss, wenn personenbezogene Daten (Authentifiziertung) übertragen werden. Nicht, dass da irgendwie eine Keule kommen könnte. Grade wenn ich an diese Brut von Abmahnanwälten denke...
Was man ebenfalls prüfen müsste wäre, in wie weit das Thema mit der DSGVO auf das Forum zutrifft. Denn dort steht, dass verbindlich immer eine Verschlüsselung eingesetzt werden muss, wenn personenbezogene Daten (Authentifiziertung) übertragen werden. Nicht, dass da irgendwie eine Keule kommen könnte. Grade wenn ich an diese Brut von Abmahnanwälten denke...
- orinoco
- Administrator
- Beiträge: 940
- Registriert: 14. Februar 2015, 14:50
- SPS: Ja
- Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD
Re: Mozilla sagt mir
eremos hat geschrieben:Zu den CAs: Die kommerziellen sind alle vergoren. Ich traue da keiner. Allein das Theater mit Symantec, etc. Comodo hat sich in der Vergangenheit ebenfalls genug erlaubt und was die anderen so treiben - lassen wir das. CACert habe ich früher sehr unterstütz, ich fand das einen super Rahmen wie man das alles aufgebaut hat. Leider ist das Projekt durch Let's Encrypt kaputt gemacht worden, gerade Mozilla trage ich das nach, weil die sich damals bei CACert geziert haben. Von dem her: Wenn Du LE umsetzen kannst, dann nimm LE. LE hat ja zudem ein Stammzertifikat einer vollwertigen CA bis das LE eigene voll in allen Browsern umgesetzt wird. Problem könnten sehr alte Devices werden, bei denen der Root Zertifikatsspeicher nicht mehr aktualisiert wird.
Da sind wir ja auf einer Linie. In die kommerziellen CAs hab ich auch kein Vertrauen.
Gibt sogar welche die nachvollziehbar behaupten TLS sei "broken by design" und alles nur noch snake oil.
Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.
eremos hat geschrieben:Was man ebenfalls prüfen müsste wäre, in wie weit das Thema mit der DSGVO auf das Forum zutrifft. Denn dort steht, dass verbindlich immer eine Verschlüsselung eingesetzt werden muss, wenn personenbezogene Daten (Authentifiziertung) übertragen werden. Nicht, dass da irgendwie eine Keule kommen könnte. Grade wenn ich an diese Brut von Abmahnanwälten denke...
Die DSGVO scheint mir auch wieder nur eine ABM für Rechtsverwurster zu sein. Hatte schon mal mit so einer Abmahnkanzlei zu tun. Hab also schon ein Vorstellung wie man mit denen Schlitten fahren muss. Wir mMn alles nicht so heiß gegessen wie es gekocht wird.
Verständnis ist für den Traumatisierten, was die niedrige Bordsteinkante für den Rollstuhlfahrer.
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!
- Laika
- engagiert
- Beiträge: 216
- Registriert: 24. Januar 2018, 19:25
Re: Mozilla sagt mir
orinoco hat geschrieben:Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.
Jep
Jetzt noch ein Redirect auf https wäre super. Für all die Normalos, Faulpelze und Schussel unter den Usern. Zu denen ich bisweilen auch zähle.
Das mit der Laufzeitbeschränkung scheint aber wirklich so zu sein..
- orinoco
- Administrator
- Beiträge: 940
- Registriert: 14. Februar 2015, 14:50
- SPS: Ja
- Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD
Re: Mozilla sagt mir
Laika hat geschrieben:orinoco hat geschrieben:Ich versuch mal LE zu installieren.
Update 19:28: scheint geklappt zu haben.
Jep
Jetzt noch ein Redirect auf https wäre super. Für all die Normalos, Faulpelze und Schussel unter den Usern. Zu denen ich bisweilen auch zähle.
So, auch noch die automatische Weiterleitung auf https drin. Aktualisierung der Bookmarks und Links macht aber auch Sinn.
Laika hat geschrieben:Das mit der Laufzeitbeschränkung scheint aber wirklich so zu sein..
Die Zertifikate sind drei Monate gültig, werden aber per cronjob rechtzeitig aktualisiert. Alles im certbot-Paket schon vorkonfiguriert, aber ich hab's auch noch mal überprüft, das der cronjob angelegt wurde.
Zurück zu „Probleme und Tipps“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 97 Gäste