ubuntuusers.de

zerwas schrieb:

Weißt Du denn, wer diese Connections hat? Dann könnte man den-/diejenigen einmal darauf ansprechen. Einen Versuch wirds ja wert sein dürfen. ☺

Shuttleworth hat Thawte gegründet, ohne Thawte gäbe es Ubuntu nicht, da kommt das Geld her.

apollo13 schrieb:

• Die Zertifikate bekommt man nicht nachgeschmissen, die kosten auch was. Und wenn ich mich nicht ganz täusche bräuchten wir für jede Subdomain ein weiteres Zertifikat, ubuntuusers.de verwendet zur Zeit ca. 8 (media und static miteinbezogen, da sonst der Browser meldet, dass in einer sicheren Seite unsichere Elemente angezeigt werden, iirc). Das mit dem Preis für ein Zertifikat multipliziert ergibt: Kosten != Nutzen

Nein, die nicht ganz billigen Zertifikate unterstützen auch Subdomains. Wenn es ganz billig (30€ pro Jahr) sein soll, muss man sich eben anpassen. Heißt ein Server der https anbietet und sinnige rewrite Regeln im Loadbalancer für z.B. den Login. So müsstet ihr bei Inyoka nix ändern.

Servus,

ich werde mal intern Klären wie der aktuelle Stand ist, d.h.:

• Server

• Technische Probleme

• Kosten

• usw...

Ich werde mich dann mal wieder melden, es wird aber bestimmt ne Zeit dauern. Bitte bedenkt auch das SSL mehr CPU Last benötigt und wir nicht alleine auf dem Ubuntu-EU Cluster sind!

mfg Betz Stefan

Solange wir Hardy verwenden ist das so oder so kein Thema, da dessen Apache noch kein SNI kann soweit ich weiß…

Das ist richtig, der Apache von Hardy kann kein SNI. Erst mit gnuTLS statt OpenSSL kann er SNI.

Aber die Login Page könnten wir auch ohne SSI sichern, oder läuft schon was anderes auf dem Server wo 443 belegt?

mfg Betz Stefan

also ich kann mich nur Greebo anschliessen und spreche mich für ein ssl-zertifikat aus. selbst-signiert ist besser als gar keins. und die gegenargumentation, dass man leute zum "wegklicken" animiert oder sie abschreckt, halte ich für eher übertrieben.

mkind schrieb:

also ich kann mich nur Greebo anschliessen und spreche mich für ein ssl-zertifikat aus. selbst-signiert ist besser als gar keins. und die gegenargumentation, dass man leute zum "wegklicken" animiert oder sie abschreckt, halte ich für eher übertrieben.

Selbst-signierte Zertifikate sind nicht sinnvoll, weil sie Sicherheit suggerieren, wo keine ist.

Gruss

Dirk

Lux schrieb:

Selbst-signierte Zertifikate sind nicht sinnvoll, weil sie Sicherheit suggerieren, wo keine ist.

Danke, ich dachte ich muss mich wieder wiederholen. Anyways, wenn jemand nochmal mit einem Argument wie:

und die gegenargumentation, dass man leute zum "wegklicken" animiert oder sie abschreckt, halte ich für eher übertrieben.

oder ähnlichem kommt ist hier zu.

Lux schrieb:

mkind schrieb:

also ich kann mich nur Greebo anschliessen und spreche mich für ein ssl-zertifikat aus. selbst-signiert ist besser als gar keins. und die gegenargumentation, dass man leute zum "wegklicken" animiert oder sie abschreckt, halte ich für eher übertrieben.

Selbst-signierte Zertifikate sind nicht sinnvoll, weil sie Sicherheit suggerieren, wo keine ist.

Gruss

Dirk

selbst-signierte zertifikate verschlüsseln trotzdem den verkehr. klar, ich räum ein, dass es nicht viel bringt, wenn sie jeder zertifizieren kann. aber da ich auch VeriSign und Co NICHT traue (compelled certification creation attack), finde ich es schade, wenn dafür ganz und gar auf verschlüsselung verzichtet wird.

mkind schrieb:

selbst-signierte zertifikate verschlüsseln trotzdem den verkehr. klar, ich räum ein, dass es nicht viel bringt, wenn sie jeder zertifizieren kann. aber da ich auch VeriSign und Co NICHT traue (compelled certification creation attack), finde ich es schade, wenn dafür ganz und gar auf verschlüsselung verzichtet wird.

Damit sagst Du ja selber, dass es sinnlos ist, ein solches Verfahren zu benutzen.

Mir würde es gut gefallen, wenn OpenID als Anmeldeverfahren dazu käme.

Gruss

Dirk

mkind schrieb:

selbst-signierte zertifikate verschlüsseln trotzdem den verkehr...

Diese Diskussion ist an dieser Stelle sinnlos! Siehe dir hierzu meinen Blog-Artikel an ▶ Link

Lux schrieb

Mir würde es gut gefallen, wenn OpenID als Anmeldeverfahren dazu käme.

Da haben wir schon mal darüber nachgedacht, aber es hat sich noch niemand gefunden der das auch implementieren möchte.

mfg Betz Stefan

um das mal festzuhalten. die argumentation gegen self-signed certificates ist, dass sie nicht vertrauenswürdig sind und mit mitm-attacken plump ausgehebelt werden können. ok, soweit sind wir uns einig. aber jetzt schon mehrere jahre ganz auf einen gesicherten login zu verzichten, ist jetz besser? weil warum?

mkind schrieb:

aber jetzt schon mehrere jahre ganz auf einen gesicherten login zu verzichten, ist jetz besser?

Niemand hat behauptet das wir das freiwillig so haben. Bisher laufen auf dem Server wo auch wir sind noch mehr Sachen. Wie du sicherlich weist kannst du nicht einfach mehrere HTTPS Sockets auf Port 443 lauschen lassen. Ohne SNI ist aber genau dies nötig damit alle Communities SSL verwenden können.

Ein anderer Grund ist das SSL noch mehr Performance auf den Server erfordert, wir arbeiten oft eh schon am Limit (neue Releases usw...) und möchten die Server daher nicht noch zusätzlich belasten. Wenn du aber einen guten SNI fähigen HTTPS Loadbalancer kennst wäre das ggf. eine Lösung. Da kommt dann aber das Problem das der Loadbalancer nicht unbedingt die flotteste Kiste ist usw...

Kurz: Eines führt zum anderen 😉

Wenn du auf Messen und anderen unsicheren Locations sicher auf unsere Dienste zugreifen willst würde ich dir einen SSH Tunnel dafür ans Herz legen, ist ohnehin sinnvoll.

mfg Betz Stefan

encbladexp schrieb:

Ein anderer Grund ist das SSL noch mehr Performance auf den Server erfordert, wir arbeiten oft eh schon am Limit (neue Releases usw...) und möchten die Server daher nicht noch zusätzlich belasten. Wenn du aber einen guten SNI fähigen HTTPS Loadbalancer kennst wäre das ggf. eine Lösung. Da kommt dann aber das Problem das der Loadbalancer nicht unbedingt die flotteste Kiste ist usw...

Easy, nginx. Was den load angeht, kann man das anbieten und wer es unbedingt will, nutzt es erstmal (werden schon nicht so viele sein). Dann kann man abschätzen wie viel die Kiste aushält.

Nachteil: XP+IE kommen mit SNI nicht klar.

adun schrieb:

Easy, nginx.

Yikes. Abgesehen davon gibt es besser Loadbalancer – und zwar solche die extra dafür geschrieben sind.

adun schrieb:

Nachteil: XP+IE kommen mit SNI nicht klar.

Wäre ja zu schön wenn der IE auch mal was könnte 😉

mfg Betz Stefan