Autor Thema: Wann kommt https?  (Gelesen 23816 mal)

Offline flopp

  • Vereinsmitglied
  • Normal
  • *****
  • Beiträge: 1001
  • OC-Clean-Team/Support/Entwicklung
    • Flopps Tolles Blog
Re: Wann kommt https?
« Antwort #30 am: 16. Mai 2013, 14:50:21 »
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Ich würde mich auch beteiligen.

Offline mic@

  • Vereinsmitglied
  • Large
  • *****
  • Beiträge: 5897
  • oc-only Verstecker
Re: Wann kommt https?
« Antwort #31 am: 16. Mai 2013, 14:52:21 »
Zitat von: flopp
Ich würde mich auch beteiligen.

Und ich könnte den nächsten Amazon-Scheck zweckgebunden für SSL bereitstellen.
Dauert aber noch etwas, da ja gerade erst ein Scheck zusammengekommen ist...

Offline ra_sch

  • Micro
  • ***
  • Beiträge: 273
Re: Wann kommt https?
« Antwort #32 am: 16. Mai 2013, 18:11:31 »
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Count me in. Wohin überweisen?

Gruß
ra_sch

Offline Danlex

  • Vereinsmitglied
  • Small
  • *****
  • Beiträge: 726
Re: Wann kommt https?
« Antwort #33 am: 16. Mai 2013, 18:52:39 »
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Count me in. Wohin überweisen?

Gruß
ra_sch

Die Spendenmöglichkeiten werden HIER aufgezählt, es sei der Hinweis gegeben, dass die Banküberweisung in voller Höhe bei uns ankommt ;-)
An dieser Stelle sei Dir schonmal mein Dank ausgedrückt!
Ich werde dann auch mal schauen wann ich bei meiner Hausbank vorbeikomme und mich beteiligen!

Offline ra_sch

  • Micro
  • ***
  • Beiträge: 273
Re: Wann kommt https?
« Antwort #34 am: 17. Mai 2013, 07:33:57 »
Geld ist unterwegs!

Mal so eine Frage, wird es nur dadurch, dass wir ein Zertifikat bekommen, denn sicherer?

Ein Zertifikat ermöglicht drei Dinge:
- Als Nutzer kann ich sicher sein, mit openaching.de verbunden zu sein
- Mein Nutzername/Passwort wird bei der Anmeldung verschlüsselt übertragen, auch das 'Cookie' das meine aktuelle Session identifiziert
- Es ist (z.B. für den Internetprovider) nicht sichtbar, was mein Nutzername ist, welche Caches ich anschaue, etc.

Alles nicht 'kriegsentscheidend' aber mir den Obulus allemal Wert.

Gruß

ra_sch

Offline dl8ndm-1

  • Small
  • ****
  • Beiträge: 638
Re: Wann kommt https?
« Antwort #35 am: 17. Mai 2013, 09:13:36 »
Geht das nicht ein bischen schnell? Vor ein paar Einträgen war noch gar nicht sicher ob wir https nehmen und jetzt wird schon Geld dafür überwiesen....
Für welche Domain soll das denn dann genau sein? Noch ist kein Shop drauf, oder soll das für die Cachingplattform sein?
小就是美

Offline mic@

  • Vereinsmitglied
  • Large
  • *****
  • Beiträge: 5897
  • oc-only Verstecker
Re: Wann kommt https?
« Antwort #36 am: 17. Mai 2013, 10:25:34 »
Zitat von: dl8ndm-1
Für welche Domain soll das denn dann genau sein? Noch ist kein Shop drauf, oder soll das für die Cachingplattform sein?

Schau mal ganz nach oben... da steht:
# Eine Anfrage aus dem Ticketsystem: Wann kommt https://www.opencaching.de ?

Es geht also um die Plattform oc.de.
Von einem Shop sind wir noch meilenweit entfernt  ;)

Offline dl8ndm-1

  • Small
  • ****
  • Beiträge: 638
Re: Wann kommt https?
« Antwort #37 am: 17. Mai 2013, 10:55:39 »
Mia culpa...
ich war irgendwie in einem anderen Thread wo es auch über https ging....
Okay...na dann....
小就是美

Offline teufli

  • Nano
  • **
  • Beiträge: 28
Re: Wann kommt https?
« Antwort #38 am: 02. Juni 2013, 01:14:51 »
Ein teures SSL-Zertifikat ist nicht notwendig zum Betrieb einer SSL-Webseite. Ich hatte darüber mal vor ca. einem Jahr schon mal mit mic@ gesprochen. Mich wundert, dass er es erst jetzt nochmal hier anspricht, offenbar gibt es doch noch mehr sicherheitsbewusste Menschen.

Für oc.de schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
« Letzte Änderung: 02. Juni 2013, 02:23:45 von teufli »

Offline Jörg

  • Large
  • ******
  • Beiträge: 2890
    • Deutsche Wanderjugend
Re: Wann kommt https?
« Antwort #39 am: 02. Juni 2013, 12:02:09 »
Ein teures SSL-Zertifikat ist nicht notwendig zum Betrieb einer SSL-Webseite.

...

... schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
Oh, das würde mich auch interessieren. Wie geht das genau?

LG
Jörg
Wer einen Fehler findet, darf ihn behalten.

Offline teufli

  • Nano
  • **
  • Beiträge: 28
Re: Wann kommt https?
« Antwort #40 am: 02. Juni 2013, 12:20:07 »
Hallo Jörg,

... schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
Oh, das würde mich auch interessieren. Wie geht das genau?

Du erstellst Dir einen Account bei CAcert, triffst Dich mit einem oder mehreren Personen aus dem CAcert-Community-Netz, die Dir Deine Identität bestätigen können und kannst dann Zertifikate ausstellen. Für Firmen, Vereine und so weiter funktioniert das im Prinzip genauso, allerdings muss hier zusätzlich ein Nachweis über die Organisation erbracht werden.

Viele Grüße, Alexander.

Offline teufli

  • Nano
  • **
  • Beiträge: 28
Re: Wann kommt https?
« Antwort #41 am: 02. Juni 2013, 12:37:10 »
Hi,

Ein Zertifikat ermöglicht drei Dinge:
- Als Nutzer kann ich sicher sein, mit openaching.de verbunden zu sein
- Mein Nutzername/Passwort wird bei der Anmeldung verschlüsselt übertragen, auch das 'Cookie' das meine aktuelle Session identifiziert
- Es ist (z.B. für den Internetprovider) nicht sichtbar, was mein Nutzername ist, welche Caches ich anschaue, etc.

Man denke auch mal an öffentliche WLANs, die ich gerne nutzen würde, was sich aber mit oc.de (dazu gehört auch das Forum und das Wiki) praktisch verbietet, weil eben alle Anmeldedaten unverschlüsselt übertragen werden und somit tatsächlich jeder in der Umgebung mitlesen kann und später meine Anmeldedaten oder die bei oc.de gespeicherten Informationen verwenden kann.

Grüße, Alexander.

Offline Jörg

  • Large
  • ******
  • Beiträge: 2890
    • Deutsche Wanderjugend
Re: Wann kommt https?
« Antwort #42 am: 02. Juni 2013, 13:12:12 »
Schönen Dank, Alexander.

Da hab ich noch ne Rückfrage zu.

Mit was ist das CAcert-Zertifikat denn vergleichbar?

Denn ich hab hier (https://ssl-trust.com/) drei unterschiedliche Stufen von Zertifikaten entdeckt. Vor allem das mit der "grünen Adresszeile" (natürlich das teuerste Produkt dort) erscheint mir eher als ein Marketinginstrument.

Oder bekommt man mit dem CAcert-Zertifikat auch ne "grüne Adresszeile", was beim Benutzer von OC vermutlich als erstes mit "Sicher" assoziert werden wird.

LG
Jörg
Wer einen Fehler findet, darf ihn behalten.

Offline ra_sch

  • Micro
  • ***
  • Beiträge: 273
Re: Wann kommt https?
« Antwort #43 am: 02. Juni 2013, 13:25:21 »
Wenn ich das richtig verstehe, ist CACert allerdings auf den meisten Rechnern wohl nicht als vertrauenswürdige RootCA 'installiert'. Damit würde eine solchermaßen gesicherte Verbindung wohl auch nur von einem kleinen Nutzerkreis verwendet werden, unbedarfte Anwender würden ob der unverständlichen Warnungen eher abgeschreckt.

Offline teufli

  • Nano
  • **
  • Beiträge: 28
Re: Wann kommt https?
« Antwort #44 am: 02. Juni 2013, 13:49:20 »
Hi,

hier gleich die Antwort auf alle Fragen:

- Es gibt eine gelbe Adresszeile. Die grüne bedeutet "extended validation" und ist zwar gewissermaßen etwas ähnliches, wie das, was CAcert anbietet, allerdings ist es nicht dasselbe. Andererseits kann man sich zum Teil "grüne" Zertifikate bereits erstellen, bevor der dafür erforderliche Identitätsnachweis erbracht wurde. Also von daher sehe ich es tatsächlich eher als ein Marketinginstrument.

- Bei Privatpersonen steht bei CAcert die Personenangabe nur bei Client-Zertifikaten im Zertifikat. Dieses Zertifikat kann man z.B. für E-Mail-Signatur und -Verschlüsselung verwenden. Im Server-Zertifikat steht jedoch die Organisation im Zertifikat - z.B. Opencaching Deutschland, wenn dieser Verein so im Vereinsregister eingetragen wurde.

- CAcert ist auf den meisten Rechnern, bzw. Browsern nicht von vorn herein installiert, was dann zu einer Warnung führt. Jedoch ist es deshalb nicht unsicherer, ganz im Gegenteil. Der Vorteil ist, dass der Anwender sich mit dem Thema Sicherheit beschäftigen kann und so z.B. das Root-Zertifikat von CAcert installieren kann, woraufhin es auf keiner CAcert-Zertifikat-gesicherten Seite mehr zu dieser Warnung kommt.

- Alternativ könnte man sich ja ggf. weiter unverschlüsselt verbinden, wenn man das sicherer findet, als die Browserwarnung, die man als Seitenbetreiber durchaus erläutern kann: Der LinuxTag, der ebenfalls ein CAcert-Zertifikat verwendet, hat hierzu eine gute Information zusammengestellt: http://www.linuxtag.org/2013/de/about/zertifikate-des-linuxtag.html. Eine Einführung in das Verschlüsselungsthema geben die ersten Kapitel, über die Warnmeldung und was man tun muss geben die Kapitel "Prima, der LinuxTag hat also ein von CAcert signiertes Zertifikat. Was ist nun das Problem?" und die nachfolgende Überschrift Auskunft.

- Der LinuxTag beschreibt auf der oben angegebenen Seite unter der Überschrift "Was hat die Zertifizierungsstelle konkret getan, um sich der Identität des Webservers zu versichern?", was für ein SSL-Zertifikat für einen Verein erforderlich ist und nachfolgend warum die Zertifikate von CAcert mindestens genauso vertrauenswürdig sind, wie die kommerzieller Anbieter.

- Es ist eine Abwägung zwischen kostenspieligem Benutzerkomfort und kostenloser Sicherheit. Was die Warnmeldung bedeutet, kann man erklären, warum das teuer gekaufte SSL-Zertifikat plötzlich nicht mehr gültig (-> Diginotar und viele mehr) oder doch nicht in den Browsern ist (-> AGB der Aussteller), wird vergleichsweise schwierig.

Viele Grüße, Alexander.
« Letzte Änderung: 02. Juni 2013, 15:16:04 von teufli »