Opencaching Community

Die Plattform opencaching.de => Technik => Thema gestartet von: mic@ am 07. Mai 2013, 22:00:20

Titel: Wann kommt https?
Beitrag von: mic@ am 07. Mai 2013, 22:00:20
Eine Anfrage aus dem Ticketsystem: Wann kommt https://www.opencaching.de ?
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 07. Mai 2013, 22:07:05
Wenn der anfragende User 500,-- € / Jahr auf den Tisch legt können wir das umsetzen, ansonsten erstmal nicht :)
Titel: Re: Wann kommt https?
Beitrag von: ra_sch am 07. Mai 2013, 22:46:47
Das wäre der Betrag für ein offizielles SSL-Zertifikat, richtig? Die Verschlüsselung mittels SSL könnte man aber doch auch mit einem kostenlosen 'self-signed'-Zertifikat erreichen, das wäre aus meiner Sicht auch schon ein Gewinn (z.B. beim login).

Gruß
ra_sch
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 07. Mai 2013, 23:00:14
Wenn der anfragende User 500,-- € / Jahr auf den Tisch legt können wir das umsetzen, ansonsten erstmal nicht :)

naja, ca. 170,- pro jahr fuer ein domainvalidiertes wildcard... ;)

Das wäre der Betrag für ein offizielles SSL-Zertifikat, richtig? Die Verschlüsselung mittels SSL könnte man aber doch auch mit einem kostenlosen 'self-signed'-Zertifikat erreichen, das wäre aus meiner Sicht auch schon ein Gewinn (z.B. beim login).
[...]

das stimmt insofern, dass dann der login verschluesselt wuerde, aber die warnmeldungen, die die browser ausspucken werfen nicht nur ein "schlechtes bild" auf die seite, sondern verringern die aufmerksamkeit der user bei wirklichen problemen oder angriffen auf eine seite... ich wuerde vehement davon abraten...
Titel: Re: Wann kommt https?
Beitrag von: flopp am 08. Mai 2013, 08:08:11
Wenn der anfragende User 500,-- € / Jahr auf den Tisch legt können wir das umsetzen, ansonsten erstmal nicht :)

naja, ca. 170,- pro jahr fuer ein domainvalidiertes wildcard... ;)

Könnten wir uns das nicht sponsorn lassen?
Titel: Re: Wann kommt https?
Beitrag von: arminus am 08. Mai 2013, 19:34:52
Hab kürzlich für US$ 19,95 / Jahr ein Comodo PositiveSSL Certificate (http://ksoftware.net/ssl_certs.html) gekauft ...
Titel: Re: Wann kommt https?
Beitrag von: following am 09. Mai 2013, 13:36:59
Das klingt doch nach einer guten Alternative. >99% der Nutzung läuft via www.opencaching.de, also wenn man das für 20€ im Jahr absichern kann, warum nicht?

Die Kurzadresse opencaching.de und die Länderdomains opencaching.it und opencachingspain.es dürfte das nicht beeinträchtigen, oder? Die sind ja weiter per plain-http abrufbar.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 09. Mai 2013, 14:31:51
Spontan glaube ich auch, dass derzeit die Mehrheit der Nutzer http nutzt und nicht https.

Andererseits wäre ein vorrangiges Angebot per sicherer https-Verbindung sicherlich ein (kleiner) Mehrwert im Zeichen von außen durch Schadsoftware kompromitierter Server und generellem Zeitgeist in Richtung sichere Verbindungen.

Sicher liegt OC da als Ziel von Hackern weit hinter populären, hochfrequentierten Seiten ala Spiegel oder was auch immer.

Böte eine https-Verbindung da einen Mehrwert an Sicherheit für die OC-User?

Wenn ja, glaube ich, das es machbar wäre, einen SSL-Zertifikatsponsor aufzutreiben, der als Gegenleistung für (langjähriges) Sponsoring in geeigneter Form auf der Login-Seite erwähnt wird.

Z.B.: "Diese sichere SSL-Verbindung ermöglicht Firma Knacki & Sohn" oder "Sichere SSL-Verbindung dank SSL-Zertifikat-Sponsor Knacki & Sohn" (Knacki & Sohn dann zu www_knacki_und_sohn_de verlinkt).
Titel: Re: Wann kommt https?
Beitrag von: following am 10. Mai 2013, 14:05:32
Wer mag sich denn um das Thema "https-Sponsoring" kümmern?
Titel: Re: Wann kommt https?
Beitrag von: Danlex am 10. Mai 2013, 18:29:16
Wer mag sich denn um das Thema "https-Sponsoring" kümmern?

Sofern bzw. sobald die Rahmenbedingungen geklärt sind, insbesondere wen wir ansprechen (Geocachingbedarfshops o.Ä.) und was wir als Gegenleistung (Link/Banner, in welcher Form usw.) anbieten, würde ich das übernehmen.
Titel: Re: Wann kommt https?
Beitrag von: dl8ndm-1 am 13. Mai 2013, 13:35:55
Irgendetwas sagt mir daß wir damit noch etwas warten sollten. Vielleicht ändert sich etwas wenn IP V6 vollständig am laufen ist.

Für einen Shop sicher nötig und für die Caching-Plattform wäre es auch nicht schlecht da es einen besseren Eindruck macht und die übermittelten Daten etwas sicherer sind.

Aber wichtig ist es zur Zeit noch nicht und sollte erstmal hintenan gestellt werden.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 13. Mai 2013, 15:24:40
Ich könnte mir vorstellen, dass man das Sponsoring für SSL von oc.de sogar offen auschreiben könnte.

"Team oc.de sucht (langjährigen) Sponsorpartner für ein SSL-Zertifikat für die Präsenz/Domain opencaching.de. Die verschlüsselte, sichere Verbindung zur Listingplattform soll für die Nutzer von OC.de ein deutlich hervorzuhebender Mehrwert sein. Geboten wird dem Sponsorpartner ein adäquater Kurzhinweis auf dieses SSL-Zertifikat-Sponsoring beim Einloggen und eine Möglichkeit zur kurzen Darstellung der Unternehmung an geeigneter Stelle auf oc.de".

Wetten, dass das ruckzuck erledigt ist?

LG
Jörg
Titel: Re: Wann kommt https?
Beitrag von: following am 13. Mai 2013, 16:40:39
Die manuellen Abrufzahlen der Loginseite liegen in der Größenordnung 1000-2000 pro Tag.

Eine Werbeseite für den Sponsor auf www.opencaching.de fände ich aber zu viel -- kleines Logo + Name + Link auf die Firmenwebsite, ok.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 13. Mai 2013, 17:02:04
Die manuellen Abrufzahlen der Loginseite liegen in der Größenordnung 1000-2000 pro Tag.

Eine Werbeseite für den Sponsor auf www.opencaching.de fände ich aber zu viel -- kleines Logo + Name + Link auf die Firmenwebsite, ok.
Hab vielleicht etwas unpräzise geschrieben.

Wir sind da - glaub ich - nah beieinander.

Auf der OC.de-Seite (also genau nach soeben erfolgtem Login) steht genau eine Textzeile mit Hinweis auf das SSL-Zertifikat-Sponsoring.

Wegen mir: "Diese sichere SSL-Verbindung ermöglicht Firma Meyer & Sohn" oder "Diese sichere SSL-Verbindung präsentiert Ihnen Firma Meyer & Sohn"


Und diese Zeile ist verlinkt auf eine Erklärseite auf oc.de, stellt in knappen Worte dar, was SSL-Verbindung ist, was es für Vorteile/Mehrwerte für den Nutzer hat.

Und das ein solches SSL-Zertifikat halt jährlich ein paar hundert Öcken kostet und dort steht dann auch ne Erläuterung zur Firma Meyer & Sohn, die die ganze Sache durch das SSL-Zertifikat-Sponsoring ermöglicht. Dank an Firma Meyer & Sohn, der weltweit führenden Firma für beheizte Sockenhalter :-)
Titel: Re: Wann kommt https?
Beitrag von: following am 13. Mai 2013, 17:09:54
Und das ein solches SSL-Zertifikat halt jährlich ein paar hundert Öcken kostet und dort steht dann auch ne Erläuterung zur Firma Meyer & Sohn, die die ganze Sache durch das SSL-Zertifikat-Sponsoring ermöglicht. Dank an Firma Meyer & Sohn, der weltweit führenden Firma für beheizte Sockenhalter :-)

Genau das meinte ich - solche Werbetexte auf Opencaching.de - auch wenn man sie ins Wiki auslagern würde - fände ich befremdlich. Immerhin verbieten wir den Cacheownern, sowas ins Listing zu stellen. Für die DWJ und schwarzwald.de gab es damals auch keine Werbeslogans, sondern nur ein verlinktes Logo bzw. verlinkte Webadresse.

"just my 2 cents"
Titel: Re: Wann kommt https?
Beitrag von: dl8ndm-1 am 13. Mai 2013, 17:36:02
Kommt Zeit...kommt Lösung...
Momentan ist es wie gesagt noch nicht nötig und wenn Sponsoring dann geht es sicher auch ohne (offene) Werbung ;) .
Titel: Re: Wann kommt https?
Beitrag von: following am 13. Mai 2013, 17:39:27
"Nötig" wird es nie sein, aber sinnvoll ist es immer wenn Passwörter und persönliche Daten übertragen werden. Das Thema wurde auch schon öfter von den Nutzern nachgefragt.
Titel: Re: Wann kommt https?
Beitrag von: Danlex am 13. Mai 2013, 18:10:38
Mal so eine Frage, wird es nur dadurch, dass wir ein Zertifikat bekommen, denn sicherer?
Grundsätzlich würde ich einen Hinweis mit Logo und Link auf der Loginseite unterstützen.
Weiss man, wie viel Prozent der Logins über die Loginseite und wie viele über die Leiste oben erfolgen?
Titel: Re: Wann kommt https?
Beitrag von: following am 13. Mai 2013, 18:28:19
Weiss man, wie viel Prozent der Logins über die Loginseite und wie viele über die Leiste oben erfolgen?

Lässt sich schwer sagen, weil bislang nur Folgendes analysierbar ist:

- Anzahl der Loginseitenabrufe: ca. 5000-6000 pro Tag davon ca. 3500-4000 von Suchmaschinen
- Anzahl der Logins insgesamt: ca. 800-1000 pro Tag

Bei Bedarf könnte ich aber was einbauen, womit sich die Logins unterscheiden und genau abzählen lassen.
Titel: Re: Wann kommt https?
Beitrag von: following am 13. Mai 2013, 18:59:00
Ok, ich hab mal was gebastelt. Morgen wissen wir Genaueres.
Titel: Re: Wann kommt https?
Beitrag von: Danlex am 13. Mai 2013, 19:02:10
Naja, einhundertprozentig wollte ich es nicht unbedingt haben,
hieraus leite ich ab, dass etwa die Hälfte der Logins über die Loginseite erfolgt, die andere daher vermutlich über die Top-Loginleiste.

Die Frage habe ich aufgeworfen, da man dem Sponsor eine Platzierung des Logos auf der Loginseite natürlich nur
schwer schmackhaft machen kann, wenn die meisten Logins gar nicht darüber erfolgen, und in diese Richtung geht es ja zumindest leicht.

P.S. Danke fürs Basteln, ich bin gespannt  ::)
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 13. Mai 2013, 19:16:43
Hm, wenn die Logins über die Topleiste kommen, dann steht da ja:

"Eingeloggt als DWJ_Bund - Abmelden"


Da könnte ja auch stehen:

"Abmelden - Sicher eingeloggt als DWJ_Bund. SSL-Verbindung gesponsort von Firma Meyer & Sohn."

Nur mal so ins Unreine gedacht...
Titel: Re: Wann kommt https?
Beitrag von: following am 15. Mai 2013, 02:30:51
Im Schnitt ca. 1000 Logins pro Tag, davon 55% über die Login-Seite.
Titel: Re: Wann kommt https?
Beitrag von: Danlex am 15. Mai 2013, 21:37:51
Vielen Dank für die Analyse.
So wie ich das sehe können wir daher (leider) einen Vermerk auf der Loginseite nicht als angemessene Gegenleistung anbieten,
wenn diesen nur etwa die Hälfte der User sieht.

Ich finde Jörgs Vorschlag gar nicht schlecht, diesen Text (Firmennamen verlinkt) in der Top-Leiste anzubieten.
In dem Falle würde dann ein Logo wegfallen, aber dafür wäre das omnipräsent.
Titel: Re: Wann kommt https?
Beitrag von: following am 16. Mai 2013, 00:23:18
Wieviele % der User es sehen sollte egal sein - der Wert von Werbung misst sich an der Anzahl der Click-Throughs. Das wären in der Titelzeile zigmal so viele wie auf der Loginseite, also wäre sie das zigfache wert.

Kurze Google-Recherche: Konservativ gerechnet kann man mit 10 Cent pro Click-Through und mit einer Klick-Through-Rate von 1% rechnen. Das macht bei 500 Abrufen pro Tag 0,5 Cent pro Tag bzw. 180 € im Jahr - also exakt der Gegenwert des gewünschten Wildcard-Zertifikats. Zudem hat opencaching.de steigende Nutzer- und Seitenabrufzahlen.

Für eine kleine Einblendung in der Titelzeile sollten wir ohne weiteres 100€ im Monat verlangen können, womit sich das komplette Webhosting finanzieren ließe. Zum Vergleich: Schwarzwald.de hat Housing im Wert von 100 Euro im Monat gesponsort und stand dafür unten in der Fußzeile.

Auf der Loginseite gibt es auch viel mehr Möglichkeiten, Werbung gut zu platzieren. Der Platz im Titel ist sehr knap, Benutzernamen können bis zu 32 Zeichen lang sein und es sind weitere Sprachen in Arbeit.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 16. Mai 2013, 07:10:17
Bevor wir hier über gut platzierte Werbung sprechen, sollten wir uns überlegen, ob wir das überhaupt wollen ...

Schnell hat man die erste Werbung platziert ... dann kommen verlockende Angebote und Ratz die Fatz ist man eine zugepflasterte Seite ...

Wenn überhaupt Werbung, dann würde ich die nur sehen wollen, wenn ich über https eingeloggt bin - sonst nicht ...
Titel: Re: Wann kommt https?
Beitrag von: following am 16. Mai 2013, 11:53:36
Ich würde lieber ganz auf Werbung verzichten und die 20 $/Jahr für ein Ein-Domain-Zertifikat ausgeben.

Gibt es von technischer Seite aus irgendetwas, was dagegen spricht?
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 16. Mai 2013, 12:42:05
gar nichts, nur dass ich lieber bei unserem "haus- und hof-lieferanten" psw bestellen wuerde, die haben naemlich definitiv einen engagierten deutschen support... kostet aber etwa doppelt soviel (39,- fuer ein, 69,- fuer zwei jahre)

das zertifikat das ich meine ist das Limitbreaker http://www.psw.net/ssl-zertifikate.cfm (=identisch zu Thawte123) und unterstuetzt bei dem preis die meistmoeglichen browser (inkl. mobile)...

und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...
Titel: Re: Wann kommt https?
Beitrag von: following am 16. Mai 2013, 13:05:52
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

bin dabei
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 16. Mai 2013, 13:28:19
Wenn das so günstig geht, dann würde ich da auch eher diese Lösung bevorzugen und keinen Sponsorpartner dafür suchen.
Titel: Re: Wann kommt https?
Beitrag von: flopp am 16. Mai 2013, 14:50:21
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Ich würde mich auch beteiligen.
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 16. Mai 2013, 14:52:21
Zitat von: flopp
Ich würde mich auch beteiligen.

Und ich könnte den nächsten Amazon-Scheck zweckgebunden für SSL bereitstellen.
Dauert aber noch etwas, da ja gerade erst ein Scheck zusammengekommen ist...
Titel: Re: Wann kommt https?
Beitrag von: ra_sch am 16. Mai 2013, 18:11:31
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Count me in. Wohin überweisen?

Gruß
ra_sch
Titel: Re: Wann kommt https?
Beitrag von: Danlex am 16. Mai 2013, 18:52:39
und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...

Count me in. Wohin überweisen?

Gruß
ra_sch

Die Spendenmöglichkeiten werden HIER (http://www.opencaching.de/articles.php?page=donations) aufgezählt, es sei der Hinweis gegeben, dass die Banküberweisung in voller Höhe bei uns ankommt ;-)
An dieser Stelle sei Dir schonmal mein Dank ausgedrückt!
Ich werde dann auch mal schauen wann ich bei meiner Hausbank vorbeikomme und mich beteiligen!
Titel: Re: Wann kommt https?
Beitrag von: ra_sch am 17. Mai 2013, 07:33:57
Geld ist unterwegs!

Mal so eine Frage, wird es nur dadurch, dass wir ein Zertifikat bekommen, denn sicherer?

Ein Zertifikat ermöglicht drei Dinge:
- Als Nutzer kann ich sicher sein, mit openaching.de verbunden zu sein
- Mein Nutzername/Passwort wird bei der Anmeldung verschlüsselt übertragen, auch das 'Cookie' das meine aktuelle Session identifiziert
- Es ist (z.B. für den Internetprovider) nicht sichtbar, was mein Nutzername ist, welche Caches ich anschaue, etc.

Alles nicht 'kriegsentscheidend' aber mir den Obulus allemal Wert.

Gruß

ra_sch
Titel: Re: Wann kommt https?
Beitrag von: dl8ndm-1 am 17. Mai 2013, 09:13:36
Geht das nicht ein bischen schnell? Vor ein paar Einträgen war noch gar nicht sicher ob wir https nehmen und jetzt wird schon Geld dafür überwiesen....
Für welche Domain soll das denn dann genau sein? Noch ist kein Shop drauf, oder soll das für die Cachingplattform sein?
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 17. Mai 2013, 10:25:34
Zitat von: dl8ndm-1
Für welche Domain soll das denn dann genau sein? Noch ist kein Shop drauf, oder soll das für die Cachingplattform sein?

Schau mal ganz nach oben... da steht:
# Eine Anfrage aus dem Ticketsystem: Wann kommt https://www.opencaching.de ?

Es geht also um die Plattform oc.de.
Von einem Shop sind wir noch meilenweit entfernt  ;)
Titel: Re: Wann kommt https?
Beitrag von: dl8ndm-1 am 17. Mai 2013, 10:55:39
Mia culpa...
ich war irgendwie in einem anderen Thread wo es auch über https ging....
Okay...na dann....
Titel: Re: Wann kommt https?
Beitrag von: teufli am 02. Juni 2013, 01:14:51
Ein teures SSL-Zertifikat ist nicht notwendig zum Betrieb einer SSL-Webseite. Ich hatte darüber mal vor ca. einem Jahr schon mal mit mic@ gesprochen. Mich wundert, dass er es erst jetzt nochmal hier anspricht, offenbar gibt es doch noch mehr sicherheitsbewusste Menschen.

Für oc.de schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 02. Juni 2013, 12:02:09
Ein teures SSL-Zertifikat ist nicht notwendig zum Betrieb einer SSL-Webseite.

...

... schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
Oh, das würde mich auch interessieren. Wie geht das genau?

LG
Jörg
Titel: Re: Wann kommt https?
Beitrag von: teufli am 02. Juni 2013, 12:20:07
Hallo Jörg,

... schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
Oh, das würde mich auch interessieren. Wie geht das genau?

Du erstellst Dir einen Account bei CAcert, triffst Dich mit einem oder mehreren Personen aus dem CAcert-Community-Netz, die Dir Deine Identität bestätigen können und kannst dann Zertifikate ausstellen. Für Firmen, Vereine und so weiter funktioniert das im Prinzip genauso, allerdings muss hier zusätzlich ein Nachweis über die Organisation erbracht werden.

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 02. Juni 2013, 12:37:10
Hi,

Ein Zertifikat ermöglicht drei Dinge:
- Als Nutzer kann ich sicher sein, mit openaching.de verbunden zu sein
- Mein Nutzername/Passwort wird bei der Anmeldung verschlüsselt übertragen, auch das 'Cookie' das meine aktuelle Session identifiziert
- Es ist (z.B. für den Internetprovider) nicht sichtbar, was mein Nutzername ist, welche Caches ich anschaue, etc.

Man denke auch mal an öffentliche WLANs, die ich gerne nutzen würde, was sich aber mit oc.de (dazu gehört auch das Forum und das Wiki) praktisch verbietet, weil eben alle Anmeldedaten unverschlüsselt übertragen werden und somit tatsächlich jeder in der Umgebung mitlesen kann und später meine Anmeldedaten oder die bei oc.de gespeicherten Informationen verwenden kann.

Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 02. Juni 2013, 13:12:12
Schönen Dank, Alexander.

Da hab ich noch ne Rückfrage zu.

Mit was ist das CAcert-Zertifikat denn vergleichbar?

Denn ich hab hier (https://ssl-trust.com/) drei unterschiedliche Stufen von Zertifikaten entdeckt. Vor allem das mit der "grünen Adresszeile" (natürlich das teuerste Produkt dort) erscheint mir eher als ein Marketinginstrument.

Oder bekommt man mit dem CAcert-Zertifikat auch ne "grüne Adresszeile", was beim Benutzer von OC vermutlich als erstes mit "Sicher" assoziert werden wird.

LG
Jörg
Titel: Re: Wann kommt https?
Beitrag von: ra_sch am 02. Juni 2013, 13:25:21
Wenn ich das richtig verstehe, ist CACert allerdings auf den meisten Rechnern wohl nicht als vertrauenswürdige RootCA 'installiert'. Damit würde eine solchermaßen gesicherte Verbindung wohl auch nur von einem kleinen Nutzerkreis verwendet werden, unbedarfte Anwender würden ob der unverständlichen Warnungen eher abgeschreckt.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 02. Juni 2013, 13:49:20
Hi,

hier gleich die Antwort auf alle Fragen:

- Es gibt eine gelbe Adresszeile. Die grüne bedeutet "extended validation" und ist zwar gewissermaßen etwas ähnliches, wie das, was CAcert anbietet, allerdings ist es nicht dasselbe. Andererseits kann man sich zum Teil "grüne" Zertifikate bereits erstellen, bevor der dafür erforderliche Identitätsnachweis erbracht wurde. Also von daher sehe ich es tatsächlich eher als ein Marketinginstrument.

- Bei Privatpersonen steht bei CAcert die Personenangabe nur bei Client-Zertifikaten im Zertifikat. Dieses Zertifikat kann man z.B. für E-Mail-Signatur und -Verschlüsselung verwenden. Im Server-Zertifikat steht jedoch die Organisation im Zertifikat - z.B. Opencaching Deutschland, wenn dieser Verein so im Vereinsregister eingetragen wurde.

- CAcert ist auf den meisten Rechnern, bzw. Browsern nicht von vorn herein installiert, was dann zu einer Warnung führt. Jedoch ist es deshalb nicht unsicherer, ganz im Gegenteil. Der Vorteil ist, dass der Anwender sich mit dem Thema Sicherheit beschäftigen kann und so z.B. das Root-Zertifikat von CAcert installieren kann, woraufhin es auf keiner CAcert-Zertifikat-gesicherten Seite mehr zu dieser Warnung kommt.

- Alternativ könnte man sich ja ggf. weiter unverschlüsselt verbinden, wenn man das sicherer findet, als die Browserwarnung, die man als Seitenbetreiber durchaus erläutern kann: Der LinuxTag, der ebenfalls ein CAcert-Zertifikat verwendet, hat hierzu eine gute Information zusammengestellt: http://www.linuxtag.org/2013/de/about/zertifikate-des-linuxtag.html. Eine Einführung in das Verschlüsselungsthema geben die ersten Kapitel, über die Warnmeldung und was man tun muss geben die Kapitel "Prima, der LinuxTag hat also ein von CAcert signiertes Zertifikat. Was ist nun das Problem?" und die nachfolgende Überschrift Auskunft.

- Der LinuxTag beschreibt auf der oben angegebenen Seite unter der Überschrift "Was hat die Zertifizierungsstelle konkret getan, um sich der Identität des Webservers zu versichern?", was für ein SSL-Zertifikat für einen Verein erforderlich ist und nachfolgend warum die Zertifikate von CAcert mindestens genauso vertrauenswürdig sind, wie die kommerzieller Anbieter.

- Es ist eine Abwägung zwischen kostenspieligem Benutzerkomfort und kostenloser Sicherheit. Was die Warnmeldung bedeutet, kann man erklären, warum das teuer gekaufte SSL-Zertifikat plötzlich nicht mehr gültig (-> Diginotar und viele mehr) oder doch nicht in den Browsern ist (-> AGB der Aussteller), wird vergleichsweise schwierig.

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 02. Juni 2013, 20:14:00
Hi Alexander.

Danke Dir für die wahrlich ausführliche Antwort.

Zum einem: Der "Bildungsauftrag" ist bei mir erfüllt, ich hab das Class 3 PKI Key Zertifikat nun im Browser drin  :)

Ich hab die umfangreichen und guten Erläuterungen unter http://www.linuxtag.org/2013/de/about/zertifikate-des-linuxtag.html gelesen, soweit auch verstanden und fordere alle Teammitglieder auf, das ebenfalls zu lesen und sich das Zertifikat persönlich zu laden.



Zum anderen und auf oc.de bezogen:
Ich glaube, dass die allermeisten User - nicht nur von OC - eher ein wenig "ängstlich" und auch zu bequem sind und bei solchen doch sehr technischen Dingen abgeschreckt werden.

Sie sind - meine These - nicht so schnell dazu zu bringen, sich die aus Sicht eines "Normalusers" ziemlich spezielle Zertifikat-Thematik reinzuziehen und dann laden sie sich gleich mal nen CAcert-Root-Zertifikat in den Browser.

Klingt vielleicht brutal, aber das ist derzeit wirklich Wunschdenken.

Solange das CAcert-Root-Zertifikat nicht standardgemäß im Lieblingsbrowser schon drin ist, wie die anderen Root-Zertifikate (jaja, Digitask  ;) ) wird sich nix groß ändern mit der Nutzung von sicheren OC-Webaufrufen mit beruhigendem grünen Adressbalken.

Was können wir also hier im OC-Team tun, damit mehr OC-User sich für nen SSL-Login entscheiden und sich das CAcert-Root-Zertifikat im Browser installieren? Wir können da zwar informieren, sensibilisieren, aber missionieren wird nix bringen.

Es käme also auf kurze, klar formulierte Botschaften an, die den Mehrwert transportieren. Zu technisch, wie auf der Linux-Tag-Seite, solltes es nicht sein, das ist ne technisch affinere Zielgruppe, die das (noch) liest.

Wie können wir das konzipieren?

Alternativ wäre ja noch das kostspielige, bezahlte (gesponsorte?) Zertifikat, welches dann zur beruhigenden grünen Adresszeile bei opencaching.de führt. Führt halt schneller zum "Wohlfühl-Sicherheitsgefühl" beim OC-User.

Habt ihr Vorschläge?

Oder liege ich mit meiner Sichtweise aus Eurer Sicht daneben?

Feuer frei für Anmerkungen.

LG
Jörg


Titel: Re: Wann kommt https?
Beitrag von: pirate77 am 02. Juni 2013, 21:28:19
Mir - als völlig ahnungsloser in diesem Fall - gefällt
Zitat
Denn das freie Projekt benutzt die gleichen technischen Verschlüsselungssstandards wie kommerziell operierende Zertifizierungsstellen, aber seine Dienste sind kostenlos.
Das kostenlose finde ich ja auch - neben vielen anderen - an OC Klasse.
Ob das so wirklich stimmt - keine Ahnung. Aber ich finde es würde zu OC passen - sofern die Sicherheit stimmt - und ich würde mir das Zertifikat laden.
In einem Blogbeitrag und im Wiki könnte man das kurz erläutern mit dem Verweis auf bereits genannte Seite.
Titel: Re: Wann kommt https?
Beitrag von: Steingesicht am 02. Juni 2013, 21:55:19
- CAcert ist auf den meisten Rechnern, bzw. Browsern nicht von vorn herein installiert, was dann zu einer Warnung führt. Jedoch ist es deshalb nicht unsicherer, ganz im Gegenteil. Der Vorteil ist, dass der Anwender sich mit dem Thema Sicherheit beschäftigen kann und so z.B. das Root-Zertifikat von CAcert installieren kann, woraufhin es auf keiner CAcert-Zertifikat-gesicherten Seite mehr zu dieser Warnung kommt.
Ich sehe mich ja selber als halbwegs technisch interessierten Internetnutzer - aber ehrlich - wenn ich auf OC unterwegs bin, will ich Cachelistings lesen, nicht mich mit Zertifizierungen auseinandersetzen. Auch wenn ich das Anliegen, dass sich Internetnutzer stärker mit Sicherheitsthemen beschäftigen, nachvollziehen kann - wird es die Masse der potentiellen OC-Nutzer noch weniger als mich ansprechen.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 02. Juni 2013, 22:55:04
Hallo Jörg/alle,

ich gebe Dir durchaus etwas Recht, dass ein Zertifikat zu installieren gewissermaßen etwas "technischer" Natur ist. Ich glaube aber eigentlich nicht zu technisch, vielmehr glaube ich, dass sich viele Leute nicht ausreichend mit dem Thema Sicherheit auseinandersetzen wollen und einen bequemen Weg gehen - wie sonst lässt es sich erklären, dass vielerorts die Anmeldemasken via http verwendet werden, obwohl ein SSL-Zugang sogar mit einem Zertifikat im Browser existiert. Vielmehr wird, meiner Ansicht nach, davon ausgegangen, dass es der Seitenbetreiber schon so richtet, dass es für ihn angemessen ist. Das es stattdessen vielmehr um die Nutzer und ihre persönlichen Daten geht, sehen viele möglicherweise noch nicht. Demzufolge haben sich in der Vergangenheit die Seitenbetreiber nicht ausreichend um gesicherte Verbindungen gekümmert, da es anscheinend nur wenige interessiert. Diese Stimmung scheint sich aber allmählich zu ändern.

Ich würde die komplette Seite, sofern möglich, SSL-verschlüsseln (und nicht wie bei der "kommerziellen Konkurrenz" nur halbherzig auf der Anmeldeseite und 1-2 Unterseiten ;) Das hat den Vorteil, dass OC so wie bisher verfügbar ist und für die "interessierte Öffentlichkeit" genau so per https. So kann man vielleicht auch Steingesichts Argument begegnen und außerdem hält sich damit der Codingaufwand in Grenzen. Diejenigen, die die verschlüsselte Seite nutzen, kann man dann aus meiner Sicht auch davon überzeugen, das CAcert-Root-Zertifikat zu installieren. Zumal beide Projekte - OC und CAcert - als gemeinsame Basis den Community-Gedanken pflegen und von Userengagement leben.

Schließlich sollte man noch daran denken, bei Gelegenheit aus dem gleichen Grund auch das Wiki und, wenn möglich, das Forum mit SSL zu versehen. Das ist jeweils eine separate Domain, auch wenn das Wiki ebenfalls unter opencaching.de liegt. Wenn man das bei einem kommerziellen Unternehmen macht, kommt schon ein stattlicher Betrag zusammen.

Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: following am 03. Juni 2013, 00:09:09
Gehe ich recht in der Annahme, dass vor Installation des CAcert-Root-Zertifikats diese oder eine ähnliche Meldung im Browser erscheint?

Für den unbedarften User sieht das aus, als hätte man es mit einer unseriösen Website zu tun - selbst auf mich wirkt es abschreckend. Wenn ich sowas sehe klicke ich instinktiv auf den Zurück-Knopf und lasse die Finger von der Website.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 03. Juni 2013, 01:28:00
Hi,

wenn man das Zertifikat vorher nicht installiert hat, sieht das unter Umständen so aus, ja. Aber ich sehe das nicht als schlimm an: Die User sind es bisher gewohnt auf die unverschlüsselte Seite zuzugreifen. Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).

Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 03. Juni 2013, 07:52:33
...
Für den unbedarften User sieht das aus, als hätte man es mit einer unseriösen Website zu tun - selbst auf mich wirkt es abschreckend. Wenn ich sowas sehe klicke ich instinktiv auf den Zurück-Knopf und lasse die Finger von der Website.
So sieht es aus. Sobald so ne Meldung dieser Art kommt, klicken gemutmaßte 90-95 % der Besucher das weg, wenn sie die Seite noch nicht (gut genug) kennen.

...
Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).
...
Soweit so gut.

Das setzt voraus, das die Info an den (Neu)Nutzer kurz, dennoch verständlich und nicht groß den "Workflow" sowie "Spielspaß" bremst. Sonst macht da keiner mit.

Ich fang mal mit nem Vorschlag an:
Beim Anmelden über die unsichere Verbindung steht danach ziemlich weit oben auf der Seite:
"Erfolgreich eingeloggt über eine normale, jedoch ungeschütze Verbindung. Interesse an einer sicherer, verschlüsselter Verbindung? Bitte hier entlang <Link>"

Vor dem Einloggen:
Oben Links steht dann noch nen Anmeldebutton mit Schloßsymbol o.ä.
Titel: Re: Wann kommt https?
Beitrag von: flopp am 03. Juni 2013, 09:29:52
Die CAcert-Geschichte ist ja spannend!

Ich habe da auch gleich mal ein Account erstellt und bin jetzt auf der Suche nach lokalen Assurern.
Titel: Re: Wann kommt https?
Beitrag von: following am 03. Juni 2013, 11:50:32
Man bietet jetzt zusätzlich die verschlüsselte Seite an und weist zur Benutzung darauf hin, dass man vorher das Root-Zertifikat installieren sollte, um Warnmeldungen zu vermeiden und auch die Sicherheit deutlich zu erhöhen (es sei denn, der Leser prüft die Zertifikatssignatur manuell).

Diese Erläuterung alleine ist nutzlos, solange der Benutzer sich nicht selbst davon überzeugt hat, dass er dem CAcert-Root-Zertifikat vertrauen kann - wozu er recht weit in die Materie einsteigen müsste. Allen, die das weder wollen/können noch irgendwelchen Erklärungen blind vertrauen, würden wir damit ausschließen.

Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?


Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn. Vielleicht könnte man parallel dazu CAcert im Forum testen, dem am zweithäufigsten genutzten OC.de-Dienst?
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 03. Juni 2013, 12:34:50
Zitat von: following
Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.

Genauer gesagt: Vier Leute und eine Firma Werbekostenpauschale (Amazon (http://mica.podspot.de/post/spenden-im-amazonas/))  8)
Titel: Re: Wann kommt https?
Beitrag von: flopp am 03. Juni 2013, 12:49:52
Zitat von: following
Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.

Genauer gesagt: Vier Leute und eine Firma (Amazon (http://mica.podspot.de/post/spenden-im-amazonas/))  8)

Damit hast du gerade wohl gegen Punkt 10 von Amazons Teilnahmebedingungen verstoßen >:D https://partnernet.amazon.de/gp/associates/promo/operatingagreementdeapr2013

Edit: besser so ;)
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 03. Juni 2013, 12:58:24
Zitat von: flopp
Damit hast du gerade wohl gegen Punkt 10 von Amazons Teilnahmebedingungen verstoßen

Danke für den Hinweis, habe meine Posting aktualisiert  ;)
Titel: Re: Wann kommt https?
Beitrag von: teufli am 03. Juni 2013, 21:49:33
Hi,

Diese Erläuterung alleine ist nutzlos, solange der Benutzer sich nicht selbst davon überzeugt hat, dass er dem CAcert-Root-Zertifikat vertrauen kann - wozu er recht weit in die Materie einsteigen müsste. Allen, die das weder wollen/können noch irgendwelchen Erklärungen blind vertrauen, würden wir damit ausschließen.

Ich glaube, opencaching.de (www, wiki, forum, email) kann den Benutzern sehr wohl vorschlagen, dass sie das Root-Zertifikat installieren können - damit geht ja nichts "kaputt". Man muss das Root-Zertifikat ja auch nicht installieren. Wie oben beschrieben, steigert dies jedoch die Sicherheit, wenn man nicht manuell die Signatur prüfen will und selbst abfragt, ob das Zertifikat zurückgezogen wurde. Aber auch beim Erstellen einer Ausnahmeregel für dieses eine Zertifikat ist die Sicherheit ganz erheblich höher, als bei der derzeitigen, ungesicherten Verbindung.

Zitat von: following
Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?

Es ist nicht ganz korrekt, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt. Der Auditor von Mozilla hat jedoch eine Reihe von Punkten moniert, die notwendig sind, um einen korrekten Prozessablauf zu dokumentieren, der aber auch vorher praktisch eingehalten wurde. Genausowenig ging es um Sicherheitsaspekte, die bei CAcert bereits vom Grundsatz her oberste Priorität haben. Aber auch hier ist die Anforderung gewesen korrekt zu dokumentieren. Entsprechende Änderungen einzubringen, die verschiedene Aspekte des Systems dokumentieren, sind ausgesprochen arbeitsaufwändig. Zum Zweiten kostet aber auch ein Audit viel Geld: Wollte Mozilla zunächst für eine Wiederholung 20 Tsd. Euro haben, ist der Preis nach den Vorkommnissen beim niederländischen Registrar DigiNotar und anderen auf 50 Tsd. Euro gestiegen. Die Frage ist auch, in welchen zeitlichen Abständen muss ein Audit wiederholt werden - die Summe ist kein Einmalangebot auf Lebenszeit. Hier muss also noch viel für gearbeitet werden.

Zitat von: following
Für www.opencaching.de gibt es ja schon eine bessere Lösung: Es haben sich vier Leute gefunden, die ein professionelles Zertfikat für zwei Jahre sponsorn.

... und Amazon, wie mic@ einen Artikel weiter geschrieben hat. Ähm, nein. Aus meiner Sicht gibst Du mit der Werbung Du den Gedanken eines freien, unabhängigen und pfiffigen, nichtkommerziellen Gegenspielers zu einer bekannten kommerziellen Caching-Webseite teilweise auf. Zum anderen setzt Du damit Bequemlichkeit eindeutig vor das Ziel Sicherheit. Ich kann zwar die "Bequemlichkeit" zu einem gewissen Grade durchaus nachvollziehen, aber was wollen die Benutzer? Die sicherheitsaffinen Benutzer wollen eine Seite mit https. Genau diese Benutzer sind es aber auch, die meiner Ansicht nach ein Community-Zertifikat von CAcert durchaus akzeptieren würden, denn es ist sowohl sicher, als auch kostenlos. Ich kann mir nicht vorstellen, dass eben diese Benutzer fordern - gleichwohl gutheißen können -, dass das Zertifikat im Browser enthalten sein muss. Deshalb finde ich, dass damit Geld für ein Zertifikat geopfert wird, das an anderer Stelle möglicherweise deutlich wertvoller eingesetzt werden könnte. Dabei sind sowohl OC, als auch CAcert, Community-unterstützte und -betriebene Projekte, die aus meiner Sicht durchaus am gleichen Strang ziehen können.

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 03. Juni 2013, 22:16:45
Ich möchte noch kurz erläutern, wie ich dazu komme, andere Zertifikate als potentiell unsicher zu beschreiben:

Problematisch ist, dass die großen Anbieter dieser Root-Zertifikate Hierarchien aufgebaut haben, für die von weiteren Firmen Zertifikate ausgestellt werden können - wie z.B. die zuvor angesprochene Firma SSL trust Zertifikate von Comodo ausstellt. Auf diese Weise wird nicht nur dem Herausgeber des jeweiligen Root-Zertifikats vertraut, sondern automatisch einer Vielzahl weiterer Unternehmen - egal, wie vertrauenswürdig diese tatsächlich arbeiten.

Da alle Firmen Zertifikate für beliebige Sites in jedermanns Namen erstellen können ist das Erstellen der Zertifikate durch verschiedene Unternehmen, die i.d.R. als "Blackbox" agieren und ihre Prozesse nicht offenlegen, ein Sicherheitsrisiko. Sicherheitslecks können deshalb lange unentdeckt bleiben, bei Bekanntwerden von Pannen werden ganze Zertifikatshierarchien aus dem Zertifikatsspeicher des Browsers durch ein Browserupdate entfernt, was in der Vergangenheit schon mehrfach vorgekommen ist. Unter anderem hierbei ist man als Besitzer eines gekauften Zertifikats "gekniffen", da die AGB verschiedener Aussteller vorsehen, dass man kein Anrecht auf ein im Browser installiertes Zertifikat besitzt.

CAcert hat deshalb ein System implementiert, das es ermöglicht, Identifikationsprüfungen von Personen oder Firmen, die Zertifikate beantragen weitgehend vor Ort zu ermöglichen. Dies wird bei CAcert von vielen Mitgliedern der CAcert-Gemeinschaft wahrgenommen. Die Zertifikatsausstellung dagegen erfolgt zentral in einer gesicherten Umgebung. Die Prozesse von CAcert sind öffentlich im Wiki einsehbar und sämtliche Sicherheitsvorfälle werden bekannt gemacht.

Auch ist mir unklar, warum es beispielsweise bei SSL trust eine Beschränkung der Schlüssellänge auf 2048 Bit gibt. Das gilt zwar derzeit noch als sicher, dürfte sich aber in naher Zukunft überlebt haben.

Mit den kostenlosen CAcert-Zertifikaten können neben Verbindungen zu einem Web-, E-Mail- und anderen Servern auch Dokumente und E-Mails signiert und damit vor dem versteckten Verändern geschützt werden. Diese so genannten Client-Zertifikate können sogar mit Namen versehen werden. Sie sind fortgeschrittene Zeritifikate im Sinne des Signaturgesetzes. Auch Codesigning-Zertifikate stehen kostenlos für jedermann zur Verfügung.
Titel: Re: Wann kommt https?
Beitrag von: following am 04. Juni 2013, 11:45:02
-> Missverständnisse und Klarstellungen zum Thema "Amazon" habe ich in diesen Thread verschoben: http://forum.opencaching-network.org/index.php?topic=3122.0
Titel: Re: Wann kommt https?
Beitrag von: cmanie am 04. Juni 2013, 12:01:14
Zitat von: following
Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?

[...]
Hier muss also noch viel für gearbeitet werden.
Das Bessere ist des Guten Feind. Wir sollten damit warten bis die Sache auf sicheren Füßen steht und bis dahin die bewährten Lösungen einsetzen.
Es haben sich ja Finanziers gefunden und falls noch Barmittel benötigt werden bin ich auch gerne bereit noch einen zweistelligen Eurobetrag beizusteuern.

Dem normalen Nutzer sind diese Sicherheitswarnungen nicht zu vermitteln. Genausowenig, das er sich von irgendwo ein RootCA herunterladen und selbst installieren muss. Dann können wir auch gleich ein selbstsigniertes Zertifikat verwenden.
Der, wenn auch oberflächliche Eindruck, bei der Masse der Nutzer wird der selbe sein -> Misstrauen.

Viele Grüße
Christian
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 04. Juni 2013, 12:30:33
Hallo,

ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.

Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen :)) gehen sollten, auch wenn dieser mit Kosten verbunden ist.

Auch wenn ich offene Projekte sehr schätze, so kann ich von keinem Geocacher erwarten, dass er sich mit dem Thema Zertifikat auseinadersetzt - auch wenn das eh zu wenige User machen, es ist nicht unsere Aufgabe bei OC zu missionieren.

Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.

In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.

Ich werde auch nochmal was rüberschieben aufs Bankkonto und wenn sich sonst noch wer berufen fühlt das Ganze zu unterstützen - nur zu.

Lieben Gruß
Michael
Titel: Re: Wann kommt https?
Beitrag von: flopp am 04. Juni 2013, 14:17:36
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...

:-[ Mein Anteil fehlt übrigens noch  :-[

Edith: erledigt...
Titel: Re: Wann kommt https?
Beitrag von: cmanie am 04. Juni 2013, 15:08:38
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...
Super!
Ich habe heute auch noch einen kleinen Beitrag wie angekündigt angewiesen.

Viele Grüße
Christian
Titel: Re: Wann kommt https?
Beitrag von: teufli am 04. Juni 2013, 20:23:16
Hallo Michael,

ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.

Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen :)) gehen sollten, auch wenn dieser mit Kosten verbunden ist.

Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht. Jemand, der einen entsprechenden Feature-Request stellt, weiß aus meiner Sicht, dass Browser diese Warnmeldungen erzeugen können. Deshalb bin ich der Ansicht, dass die User, die gerne Sicherheit möchten, auch mit einem CAcert-Zertifikat glücklich. Für alle anderen ist es ein Zusatznutzen, den sie nutzen können, aber nicht müssen. Für diese User sollte es einen Hinweis geben, was man tun muss, damit keine Warnmeldung erscheint und sie OC sicher benutzen können.

Insofern sehe ich hier an dieser Stelle für eine Seite mit CAcert-Zertifikat überhaupt gar kein Problem, dazu ist weder Missionieren, sonst sonstige Überzeugungsarbeit erforderlich.

Zitat von: 4_Vs
Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.

Ich hätte es umgekehrt gemacht: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" für eine Funktionalität entsteht, die vorher noch gar nicht da war, dann kann ich nachvollziehen, dass man ein Zertifikat kauft. Hat man erstmal überhaupt eine SSL-Seite aufgesetzt - das ist übrigens etwas, was mir bis heute fehlt, denn dafür ist weder ein gekauftes, noch ein CAcert-Zertifikat erforderlich - kann man sehr leicht entweder das eine oder das andere ausprobieren und installieren.

Zitat von: 4_Vs
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.

Deshalb habe ich ja den Vorschlag gemacht, der meines Erachtens für die Aufgabenstellung genau richtig ist. Ich persönlich habe den Eindruck, dass eurerseits hier zuviel Ängste sind, für etwas, von dem ihr gar nicht wisst, wie es sich entwickelt. Macht euch vor Augen, dass die SSL-Seite bis jetzt überhaupt noch nicht existiert, jegliche SSL-Seite, selbst mit einem self-signed Zertifikat ist bereits ein Zugewinn an Sicherheit. Dann schreibt man kurz, das es mit einem CAcert-Zertifikat ganz toll ist, einzig als Empfehlung das CAcert-Root zu installieren und alles ist prima! Welches Risiko besteht dabei? Die User werden das aus meiner Sicht dankend annehmen!

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: cmanie am 04. Juni 2013, 20:51:32
Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht.
Mit Erwartungen ist das so eine Sache. In der Regel wird erwartet dass das Portal funktioniert. Ob da was investiert werden muss interessiert die meisten (außer lobenswerte Ausnahmen wie dich) nicht.
Wenn so eine Sicherheitsfunktion angeboten wird, dann sollte das zudem für alle Nutzer gleichermaßen einfach anzuwenden sein. Wir machen ein Portal für alle Nutzer, nicht nur für ein paar Web-Profis.

Sobald SSL verfügbar ist wird der Wunsch auch von wenig technikaffinen Nutzern kommen. Außerdem wette ich, das diejenigen, die SSL in der Vergangenheit wünschten von CACert noch nie was gehört haben.
Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.

Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.

Ich kann deinen Ansatz durchaus verstehen, er ist in diesem Projekt aber nicht unbedingt praktikabel.
Ein Projekt bei dem das gut funktionieren würde wäre zum Beispiel GitHub. Ich glaube das fast alle Nutzer dort kein Problem damit hätte, CACert zu installieren.

Viele Grüße
Christian

P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 04. Juni 2013, 21:43:55
Hallo Christian,

Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.
[...]
Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.

Was ist Facebook? :-D     (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)

Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)

Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.

Zitat von: cmanie
P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.

Nochmal die Frage: Welchen "Sturm der Entrüstung" erwartest Du? Es gibt zurzeit überhaupt kein SSL bei OC. Wenn überhaupt, dann würde ich dagegen einen "Sturm der Entrüstung" erwarten!

Wenn man die Seite jetzt mit https aufruft, kommt stattdessen eine Fehlermeldung, dass die Seite vom Server geschlossen wurde, also praktisch dafür kein Server läuft. Es müsste überhaupt erstmal die Basis geschaffen werden! Oder willst Du das Zertifikat kaufen und dann feststellen "ups, ich muss ja meinen Server erstmal flott machen"? Und diese Basis kann man sogar mit einem self-signed Zertifikat installieren - besser als nix. Und wenn der Server läuft, kann, je nach Admin-Auslastung, das Zertifikat gegen eins von CAcert ;) getauscht und schon gibt es keine Warnmeldungen mehr für diejenigen, die das CAcert-Root-Zertifikat installiert haben. Die Installationsanleitung ist bis auf wenige Ausnahmen trivial und entsprechende Supportanfragen können, wenn sie überhaupt kommen, zumeist mit einem Standardtext beantwortet werden. Dafür, bzw. alternativ für die schwierigen Fälle, die es bei kommerziellen Zertifikaten übrigens in gewissem Umfang auch geben dürfte, kann ich mich auch gerne einbringen.

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: cmanie am 05. Juni 2013, 09:32:06
Was ist Facebook? :-D     (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)
Das sollte man aber. Aus den Fehlern anderer kann man selbst viel lernen.

Zitat von: teufli
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
Es geht erst mal nur um opencaching.de. Nichts anderes.

Zitat von: teufli
Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.
Wie Michael oben bereits schrieb, ist das Thema nicht abgeschrieben. Später werden wir uns das Thema noch mal anschauen und erneut abwägen ob es für die Bedürfnisse unserer Nutzer anwendbar ist.
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.

Viele Grüße
Christian
Titel: Re: Wann kommt https?
Beitrag von: teufli am 05. Juni 2013, 20:49:54
Hallo Christian,

Zitat von: teufli
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
Es geht erst mal nur um opencaching.de. Nichts anderes.

Ja, das steht da oben: www, wiki, forum, api (vorher noch gar nicht erwähnt, weil ich nicht weiß, auf welcher Domain es läuft und wie zumindest die Logindaten geschützt werden); nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank. Ok, Forum hat eine andere Domain, das ist aber für die Betrachtung insgesamt uninteressant. Was nützt es denn, Fassadenmalerei auf www zu betreiben, den Dienst in Wirklichkeit aber alles andere als sicher zu gestalten, weil man die anderen Server unter der gleichen Domain nicht sichert?

Zitat von: cmanie
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.

Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen, nur weil "mal jemand etwas gesagt hat" - so nenne ich es jetzt mal - bevor die Folgen komplett durchdacht worden sind. Ich bin der Ansicht, dass lediglich www mit einem gekauften Zertifikat auszustatten den Dienst nur wenig sicherer macht, sondern vielmehr Augenwischerei betreibt und deshalb am Bedürfnis der Benutzer vorbeigeht. Ich möchte an dieser Stelle auch daran erinnern, dass ihr hier Benutzerdaten der Dienstenutzer (der "normalen" Geocacher von opencaching.de, die "einfach nur einen funktionierenden Dienst erwarten") speichert. Ich verweise dazu mal auf http://www.heise.de/newsticker/meldung/Zwei-Faktor-Authentifizierung-LinkedIn-nun-auch-an-Bord-1876515.html. Der Artikel geht u.a. auf sichere Passwortspeicherung auf dem Server ein, um Identitätsklau zu verhindern. Soweit möchte ich hier nicht gehen, bei OC fehlt mir dafür aber auch nur ansatzweise der Versuch, Datenschutz zu betreiben, den man eigentlich ganz einfach zumindest bereits durch Verschlüsselung aller Systeme mit Userdaten erhält. Dazu gehören auf jeden Fall auch API, Datenbank, E-Mail und Ticket und selbst Wiki und das Forum zähle ich im Grunde dazu, selbst wenn es womöglich nur Satellitensysteme im Universum von opencaching.de sind. Wenn Du mir nun erzählst, www reicht doch, dann glaube ich, dass man gar nicht erst anfangen braucht.

Im Gegensatz zu Dir glaube ich deshalb keineswegs, dass alle Argumente bereits mehrfach erschöpfend ausgetauscht worden sind. Im Übrigen versuche ich mich möglichst nicht zu wiederholen. Du solltest in jedem Posting von mir einen neuen Aspekt, eine neue Sichtweise entdecken, die zum Nachdenken anregen soll. Und das die Finanzierung dafür größtenteils steht, habe ich hoffentlich in meinem Vorposting und in der von Dir gewünschten genaueren Erläuterung dazu in diesem Posting zum Einsturz gebracht: Jeder Dienst, der unter einem anderen Server als www erreichbar ist, erfordert ein weiteres Zertifikat. Für die Datenbank, möglicherweise auch je nach Größe des Nutzerkreises der E-Mail kann ich sogar möglicherweise ein self-signed Server-Zertifikat nachvollziehen, für alle anderen Dienste sehe ich ein Problem mit der von Dir präferierten Lösung.

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: cmanie am 06. Juni 2013, 10:03:55
Hallo Alexander,

Zitat von: teufli
Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen [...] am Bedürfnis der Benutzer vorbeigeht.
Dementsprechend handeln alle Banken, E-Mail-Dienstleister, Sozialen Netzwerke, usw. grob fahrlässig, weil sie kein Zertifikat von CACert einsetzen sondern ein kommerzielles? Das ist ja wirklich ein bisschen weit hergeholt.
Genau das ist aber das Bedürfnis der Nutzer, nämlich das was die Nutzer angefragt haben.

Vielleicht kannst du ja mal ein Projekt nennen, das CACert einsetzt und in etwa die Größenordnung und die Nutzerstruktur von opencaching.de hat.

Alles weitere lasse ich mal unkommentiert. Vielleicht lassen wir einfach die Kirche im Dorf. Ich sehe nicht, was das alles mit dem SSL-Zertifikat zu tun hat. Langsam schweift der Beitrag nämlich ein wenig ab. Es ging hier, wie gesagt, um ein SSL-Zertifikat für das Portal www.opencaching.de.
Wegen eines fehlenden/"falschen"/teilweise eingesetzten SSL-Zertifikats jedoch gleich die Sicherheit der ganzen Plattform, inkl. der Satellitenseiten, in Frage zu stellen ohne Details zu kennen ist doch sehr gewagt.

Viele Grüße
Christian
Titel: Re: Wann kommt https?
Beitrag von: following am 06. Juni 2013, 11:26:51
Heho teufli ...

Die Entscheidung ist gefallen, und  zwar nicht weil irgendwer "mal was gesagt hat", sondern weil mehrere kompletente und verantwortungsbewusste Leute die Argumente gegeneinander abgewogen haben und sich alle einig darin sind, dass ein professionelles Zertifikat für www.opencaching.de derzeit die bessere Alternative ist.

So eine Entscheidung kann man auch mal respektieren und akzeptieren. Wenn du Opencaching voranbringen möchtest, kannst du das z.B. auch tun indem du deine Argumentationskünste einsetzt und im Netz Werbung für die beste Geocaching-Plattform machst. :)
Titel: Re: Wann kommt https?
Beitrag von: teufli am 06. Juni 2013, 21:23:57
Hi following,

deshalb habe ich "irgendwer mal was gesagt hat" in Anführungsstriche gesetzt. Es geht mir, das sollte aus meinen Beiträgen hervorgehen, nicht alleine darum, kein kommerzielles Zertifikat einzusetzen, sondern wie man es tut. Hier soll in Torschlusspanik etwas voreilig gekauft und falsch eingesetzt werden, mit Begründungen, die hahnebüchener nicht sein könnten: "Weil wir etwas beschlossen haben". Das ist Unfug! Richtig wäre es, wenn man begründen könnte, wofür man was einsetzt. Dazu habe ich bislang genau ein einziges Argument gehört: Weil es dem User leichter zu vermitteln ist. Das ist in Ordnung, reicht mir aber bei weitem nicht aus, um das im selben Ticket geforderte Thema Sicherheit umzusetzen. Die Details habe ich bereits genannt, einen Umsetzungsvorschlag auch. Darauf wurde von niemandem bis jetzt eingegangen.

Ich fasse nochmal (unsortiert) zusammen:
- Die Domain opencaching.de soll verschlüsselt werden.
- Der Dienst soll sicher werden.
- Das betrifft wahrscheinlich mindestens vier Hosts, was nicht einem, sondern vier Zertifikaten (ggf. Kosten * 4) entspricht. Zusätzlich besteht ggf. Bedarf für noch weitere, bereits genannte Hosts.
- Aufwände müssen sich aus Ressourcengründen in Grenzen halten.
- Die Kosten müssen sich aus Kostengründen in Grenzen halten.
- Es gibt zurzeit keine Verschlüsselung, die meisten können zurzeit damit leben.
- Es gibt in den Geschäftsbedingungen der Zertifikatsanbieter keine Garantie dafür, dass sich das gekaufte Zertifikat im Browser befindet oder dort bleibt.
- opencaching.de will sich vorteilhaft von dem Angebot der Konkurrenz abheben (das formuliere ich jetzt mal für OC so).

Ich habe noch mehr geschrieben, das bezieht sich aber auf Philosophie-Unterschiede zwischen CAcert und einem kommerziellen Anbieter, die für die Betrachtung für welches Zertifikat ich mich entscheide eine Rolle spielen können, aber nicht müssen.

Dann geht es darum, wie man gescheit vorgeht (in dieser Reihenfolge!):
1. Die Dienste werden so umgebaut, dass sie unter https erreichbar sind und funktionieren.
2. Es wird ein CAcert-Zertifikat eingesetzt.
3. Benutzerfreundlichkeit und Massenkompatibilität werden so wichtig, dass für www.opencaching.de ein kommerzielles Zertifikat gekauft wird - und, je nachdem, auch für die anderen Hosts.

Je nach Vorankommen können sich die einzelnen Phasen überlappen. Ob und wann man das SSL-Angebot bewirbt, ist abhängig von der Einschätzung der Benutzer seitens der Betreiber. Und ich habe sogar vollstes Verständnis für Punkt 3 in dieser Reihenfolge - aber es wurde ja noch nicht einmal mit Punkt 1 begonnen!

Und mehrfach habe ich gehört, es gehe ja nur über opencaching.de, der betreffende Autor hat aber übersehen, das ein Zertifikat nur für einen einzigen Host funktioniert (es sei denn, man verwendet ein sehr teures Wildcard-Zertifikat)!

Und ich habe vor allem ein Problem damit, wenn der dritte Schritt vor dem ersten gemacht wird und wenn wichtige Dinge übersehen werden, auf die ich mehrfach hingewiesen habe, zu denen ich aber noch keine Rückmeldung gehört habe. Was Dein Gefallen mit der Werbung angeht, so wird diese CAcert sicher gerne machen, wenn ihr ein CAcert-Zertifikat einsetzt. Wie im echten Leben auch: Wenn ihr lieber kommerzielle Dienstleister nutzt, muss auch für Werbung bezahlt werden ;) (die dann aus verständlichen Gründen natürlich nicht im Rahmen von CAcert stattfindet)

Viele Grüße, Alexander.
Titel: Re: Wann kommt https?
Beitrag von: following am 14. August 2013, 11:35:20
Wie ist denn hier der Stand? Die Spenden für das HTTPS müssten längst eingegangen sein, oder?
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 14. August 2013, 12:27:09
Die Spenden für das HTTPS müssten längst eingegangen sein, oder?

Derer zwei in Höhe von insgesamt 45 Euro.
Titel: Re: Wann kommt https?
Beitrag von: Team_Planlos am 08. Oktober 2013, 12:14:19
Ich weiß nicht, ob es nicht bereits vorgeschlagen wurde, aber wie wäre es mit einem Cert. von
http://www.startssl.com/ ?
Ebenfalls kostenlos und die CA ist den Browsern vorhanden.
Titel: Re: Wann kommt https?
Beitrag von: AlfredSK am 08. Oktober 2013, 13:47:59
StartSSL Zertifikate nutze ich für meine Domain. Super Sache. Hat aber auch Nachteile.

1. Es wird keine Information zur Organisation (O) und Organisationseinheit (OU) bereit gestellt. Das führt bei manchen Browsern zu Warnungen "Diese Website stellt keine Informationen über den Besitzer zur Verfügung." "Soll dem Zertifikat dennoch vertraut werden?"

2. Die Zertifikate sind nur für die registrierte Domain und EINE Subdomain gültig. Zum Bsp. example.com und www.example.com.

3. Die Gültigkeit ist auf ein Jahr beschränkt. Danach muss das Zertifikat erneuert werden.

4. Man benötigt ein Intermediate Certificate von StartCom (StartSSL), damit die Vertrauenskette (chain of trust) funktioniert. Dieses ist aber bei fast allen Browsern vorinstalliert bzw. sollte automatisch installiert werden, so bald es benötigt wird. Das Root-Zertifikat von StartCom ist in der Regel immer vorhanden.

Das klingt vielleicht etwas kompliziert, aber es funktioniert in der Praxis sehr gut. Die Punkte 2 und 3 sind möglicherweise die größten Einschränkungen für größere Websites.

VG AlfredSK
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 08. Oktober 2013, 14:01:45
WIMRE war hier schon alles geklärt, das Zertifikat muss nur jemand besorgen. Micha?
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 08. Oktober 2013, 14:04:04
WIMRE war hier schon alles geklärt, das Zertifikat muss nur jemand besorgen. Micha?
Nope, Nils :)
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 08. Oktober 2013, 15:41:51
was macht der telefonbucheintrag? :P
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 08. Oktober 2013, 18:13:46
was macht der telefonbucheintrag? :P

Frag mal Micha... ;D
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 08. Oktober 2013, 19:27:02
was macht der telefonbucheintrag? :P

Frag mal Micha... ;D

@Micha: "was macht der telefonbucheintrag?" :P
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 08. Oktober 2013, 19:39:10
rofl ... keine Ahnung, hab ich vor Monaten beantragt ... ich check das nochmal ...
Titel: Re: Wann kommt https?
Beitrag von: Steingesicht am 08. Oktober 2013, 21:42:44
Oh Gott, was man bei so einer Vereinsgründung alles beachten muss...
Gute Arbeit Jungs!
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 09. Oktober 2013, 07:04:18
Oh Gott, was man bei so einer Vereinsgründung alles beachten muss...
Gute Arbeit Jungs!
Der Telefonbucheintrag ist für die Vereinsgründung nicht nötig gewesen. Den brauchen wir nun für das Zertifikat.
Titel: Re: Wann kommt https?
Beitrag von: Jörg am 09. Oktober 2013, 07:56:54
Der Telefonbucheintrag ist für die Vereinsgründung nicht nötig gewesen. Den brauchen wir nun für das Zertifikat.
Ähm, man braucht für nen Zertifikat im Medium Internet nen Telefonbucheintrag (quasi aus nem anderen Medienkanal)?  :o

(Dolles Autentifizierungskonzept...)
Titel: Re: Wann kommt https?
Beitrag von: teufli am 10. Oktober 2013, 00:51:01
Jo. Und die SSL-Seite selbst ist immer noch nicht da, geschweige denn ein Server dafür aufgesetzt...
(Nur zur Info: Dafür braucht man kein Zertifikat einer besonderen Zertifizierungsstelle, ganz im Gegenteil!)
Titel: Re: Wann kommt https?
Beitrag von: centeraudio am 15. Oktober 2013, 01:40:07
das ganze Thema hab ich mir jetzt mal durchglesen.

Als Nutzer warte ich sehr auf die Option. Für mich Erstmal egal wie. Alles ist besser als nichts...
Soweit ich jedoch die bisherigen Beitrage beurteilen kann dreht sich alles nur um die Beschaffung eines Zertifikates.

von Tests mit selbst signierten Zertifikat auf der Testumgebung/-Server/-Instanz/-was auch immer zum ausprobieren habe ich noch nichts gelesen. Wenn ich die Beitrage so durchlesen könnte man fast auf die Idee kommen ihr habt das nicht gemacht - es gibt doch irgendein Testsystem?!? - oder??

Jo. Und die SSL-Seite selbst ist immer noch nicht da, geschweige denn ein Server dafür aufgesetzt...
(Nur zur Info: Dafür braucht man kein Zertifikat einer besonderen Zertifizierungsstelle, ganz im Gegenteil!)

sollte er da recht haben dann gibts wirklich anderes zu tun als Ressourcen in Zertifikatsbeschaffung zu stecken.

Insgesamt Teile ich auch Teufli's Einschätzung das es mit dem Datenschutz und IT-Security hier nicht zum besten steht. Aus eigener Erfahrung... nur weil es geht und bequem oder nützlich ist ist es eben nicht unbedingt gut und/oder richtig...


und ja, ich hab CAroot Zertifikate schon lange installiert, bin also eher der "nicht-repräsentative" user...
Andererseits es muss ja nicht gleich per default für alle kommen.
Erstmal gut versteckt in den Profil Einstellungen oder bei direktem https Aufruf würde mir schon mal ausreichen.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 07:28:13
Hiho Nils,

unsere Telefonnummer ist nun schonmal in dastelefonbuch.de unter meinem Namen zu finden - Firmeneintrag würde Geld kosten.

Noch 1-2 Tage und der Eintrag sollte auch in dasoertliche.de zu finden sein.

Also, Du kannst mit der Zertifikatsbestellung loslegen.

Wenn Du irgendwelche Daten brauchst o.ä. sag Bescheid.

Danke
Micha
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 07:49:04
So,

jetzt habe ich noch die Möglichkeit eines 3-monatigen Firmentesteintrages gefunden.

Also, jetzt können wir auch noch 2-3 Tage mit der Beantragung warten, dann ist auch der Eintrag öffentlich.

LG
Micha
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 08:14:50
gar nichts, nur dass ich lieber bei unserem "haus- und hof-lieferanten" psw bestellen wuerde, die haben naemlich definitiv einen engagierten deutschen support... kostet aber etwa doppelt soviel (39,- fuer ein, 69,- fuer zwei jahre)

das zertifikat das ich meine ist das Limitbreaker http://www.psw.net/ssl-zertifikate.cfm (=identisch zu Thawte123) und unterstuetzt bei dem preis die meistmoeglichen browser (inkl. mobile)...

und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...
Und hello again :)

Wie hatten uns ja hierdrauf geeinigt - Limit Breaker, das war der mit dem grünen Adressbalken, richtig?
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 15. Oktober 2013, 13:17:01
[...]
Und hello again :)

Wie hatten uns ja hierdrauf geeinigt - Limit Breaker, das war der mit dem grünen Adressbalken, richtig?

jein... wir hatten uns auf die gruene adressleiste und psw geeinigt, der limitbreaker waere ohne gruene leiste, aber mit "geburtstags-upgrade" von psw gibt es das erweitert validierte zum preis des limitbreakers... das zertifikat ist dann von comodo...
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 13:18:33
[...]
Und hello again :)

Wie hatten uns ja hierdrauf geeinigt - Limit Breaker, das war der mit dem grünen Adressbalken, richtig?

jein... wir hatten uns auf die gruene adressleiste und psw geeinigt, der limitbreaker waere ohne gruene leiste, aber mit "geburtstags-upgrade" von psw gibt es das erweitert validierte zum preis des limitbreakers... das zertifikat ist dann von comodo...
Jo,

wie auch immer :)
Titel: Re: Wann kommt https?
Beitrag von: SH_Nachtcacher am 15. Oktober 2013, 19:13:57
Hallo,

von wem das Zertifikat stammt ist zweitrangig - so lange die ausstellende CA in den gängigen Stammzertifikatslisten geführt wird. Damit scheidet CAcert schonmal aus. Wir sind dort auch Assurer und fördern das Projekt, für eine praktische Anwendung muss aber die Aufnahme in Browser usw. erfolgen. Bis dahin ist es im praktischen Einsatz nicht nutzbar, da Anwender die dramatischen Fehlermeldungen abspringen lassen.

Wichtig ist, dass die Schlüssel für das Zertifikat selbst erzeugt werden - ansonsten bringt SSL nichts! Wichtig ist auch, bei der Implementierung PFS zu aktivieren:
-> http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html

Eine EV-Zertifikat ist sicher eine gute Idee, da es beim Laien (dem normalen PC-Nutzer) den meisten Eindruck macht und damit neben der eigentlichen Absicherung einen wahrnehmbaren OC-Mehrwert erzeugt. Leider sind EV-Zertifikate aber meist nicht als Wildcard (für unbegrenzt viele Subdomains) erhältlich. Wohl aber als UCC/SAN. Was bedeutet, man kann alle gewünschten Domains einfach eintragen.

StartSSL wurde bereits erwähnt. Beim kostenlosen Class1 gibt es teilweise Warnmeldungen, weil die Identität natürlich nicht bestätigt werden kann. Abhilfe schafft ein dort für bereits 30$ pro Jahr erhöltliches Class2 Zertifikat. Die Grüne Leiste gibt es für 70$ pro Jahr...
-> http://www.startssl.com/?app=40

Von daher: Wenn über SSL nachgedacht wird, dann gleich ein EV-Zertifikat und dabei keine Subdomain vergessen! Ob Ihr das nun der guten Beziehung wegen bei Eurem Hoster bestellt oder beim günstigen Anbieter StartSSL macht technisch keinen Unterschied :)
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 21:30:09
Hallo SH_Nachtcacher,

löblich, dass Du auch Assurer bist, aber es ist nicht unbedingt richtig, dass CAcert ausscheidet, nur weil es nicht in den Browsern ist.

Nochmal: Zunächst sollte "die SSL-Seite" überhaupt erstmal existieren (mit selbst erzeugten Schlüsseln -- die man später, völlig unabhängig von der Zertifikatsstelle, sowieso benötigt). Nur davon ist bis jetzt auf weiter Flur überhaupt gar nichts zu entdecken. Stattdessen wird lamentiert über den Anbieter und sonstiges Beiwerk, das aber gar nicht Priorität hat, denn sonst würde man teures Geld ausgegeben, hätte dann aber unter Umständen den preiswerteren Anbieter nebenan außer Acht gelassen und sich womöglich -- das schreibst Du völlig richtig -- zuwenig Gedanken um Subdomains und weitere Hauptdomains gemacht.

Was CAcert angeht: Selbstverständlich ist ein im Browser integriertes Zertifikat bequemer und für einige Anwender möglicherweise verständlicher. Aber erstens kostet es Geld und zweitens sind die hier angesprochenen User nicht so computerunaffin, wie vielleicht Anwender anderer Webseiten und man hätte den SSL-Zugang ja optional anbieten können.

Aber das Thema möchte ich gar nicht weiter aufwärmen, bis jetzt sehe ich nur, dass schon viele Monde vertane Zeit ins Land gegangen sind, ohne, dass sich auch nur das Geringste bewegt hätte in Richtung Zielerreichung SSL-Seite. Dabei wurden meine vor vielen Monaten abgegebenen Angebote der deutlichen Mithilfe im Support oder in der technischen Umsetzung im Fall der Umsetzung mit CAcert-Zertifikaten, mit denen man hätte schon mal viel experimentieren können, bevor man in die Welt der Kaufzertifikate einsteigt, in den Wind geschlagen und ich wurde bedroht, ich hätte ja keine Ahnung von SSL, weil ich angegeben hatte, ich wüsste nicht, was "damals bei Facebook" passiert sei (ok, ich wusste es doch bereits vorher ;) aber ich finde es interessant zu sehen, als wie wichtig und dringend hier Nebenschauplätze aufgebauscht werden, die dazu führen, dass es eben sehr lange dauert, bis etwas passiert.

Deine Ideen, SH_Nachtcacher, bzgl. EV und Subdomains, sowie PFS finde ich auf jeden Fall einen guten Einwurf :-)
Titel: Re: Wann kommt https?
Beitrag von: SH_Nachtcacher am 15. Oktober 2013, 22:05:53
Moin,

wie gesagt, bei CAcert bekommt jeder Besucher eine gewaltige Fehlermeldung, dass der Verbindung nicht vertraut wird und er die Seite besser verlassen soll. Alternativ bietet der Browser nach ein paar Klicks auf "ich weiß, was ich tue" an, eine Ausnahmeregel zu erstellen. Das ist so dramatisch, dass faktisch 90 Prozent der Nutzer abspringen. Damit ist CAcert außerhalb der Nerd-Welt heute unbenutzbar. Wie gesagt, das Projekt ist toll - aber ohne Aufnahme in die Stammzertifikatslisten im Produktiveinsatz nicht nutzbar. Hier wurden Projektintern lange Zeit die falschen Prioritäten gesetzt. Seit 2005 hat man sich in diversen Aspekten verzettelt, statt die wichtigste Aufgabe, mit der das ganze Vorhaben steht und fällt, zu verfolgen. Aber das ist eine andere Geschichte.

Mit einem EV-Zertifikat für alle (Sub-)Domains ausgestattet hätte OC einen gewaltigen Mehrwert, der jedem Besucher auf den ersten Blick ins Auge springt. Zu Umsetzung möchte ich empfehlen, erst SSL/HTTPS zu aktivieren und das Zertifikat einzubinden. Besucher die über HTTP kommen, sollten während des "Testbetriebs" komplett auf HTTP bleiben. Such-Robots sollte man vorerst daran hindern HTTPS zu crawlen (dazu nachfolgend eine robots.txt Anregung). Wenn HTTPS überall funktioniert, daher auch externe Elemente müssen bei einem HTTPS-Seitenaufruf über HTTPS laden lassen und auch intern müssen die Links von HTTPS zu HTTPS führen, kann man die ganze Seite umstellen und alle HTTP Aufrufe automatisch auf HTTPS umleiten (dann das Entfernen der robots-Einschränkung nicht vergessen).

.htaccessRewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule ^robots.txt$ robots_ssl.txt

robots_ssl.txtUser-agent: *
Disallow: /

robots.txtUser-agent: *
Allow: /

.htaccess wenn alles auf HTTPS soll, wichtig hier ist der 301!    RewriteEngine On
    RewriteCond %{SERVER_PORT} !^443$
    RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 22:25:55
Ja, aber man müsste die Seite(n) erstmal haben. Dagegen ist/sind sie seit Monaten nicht da, obwohl sie hätte da sein können. Und das hat mit dem Zertifikatsherausgeber erstmal gar nichts zu tun, der kommt erst danach ins Spiel.
Titel: Re: Wann kommt https?
Beitrag von: SH_Nachtcacher am 15. Oktober 2013, 22:35:20
So eine Umstellung will auch geplant sein (siehe z.B. Robots). Die Jungens von OC sind doch am Ball, wie die beiden Beiträge (von heute) vor meinem zeigen. Die machen den Job ja auch nur nebenbei for fun... :)
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 22:37:20
@teufli

Schonmal überlegt, dass wir momentan in der Technik ausschließlich eine Person haben, die das komplette Projekt stemmt? Dies in der Freizeit und in den vergangenen Monaten haben wir einen kompletten Neuaufbau von zig VMs inkl. etlicher neuer Softwareprodukten ...

So gern wir https lieber morgen als übermorgen hätten, gibt es wichtigere Prioritäten.

Nachdem Ausfall unseres kommissarischen Entwicklungsleiter hat nun auch noch unser Technikleiter den CodeReview übernommen und ist beim Aufsetzen eines Entwicklersystemes.

Statt hier Druck aufbauen zu wollen, könnte man sich ja auch im Team mal vorstellen und aktiv mithelfen, auch wenn das Ziel nicht Deine präferierte Lösung ist.

Das ist hier ein Projekt von Freiwilligen und bei solch einem Team Forderungen stellen bzw. "rummeckern" find ich nicht toll.

Unterstütze doch aktiv mit Deinem Wissen in der Technik.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 22:37:45
Ich hatte schon vor Monaten meine Mitarbeit angeboten, weil ich das Thema und die Technik kenne. Aber diese Hilfe wurde abgelehnt. Na denn...
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 22:44:54
Ich hatte sogar beschrieben, was in welcher Reihenfolge zu tun ist. Als "dankeschön" gab es einen Rüffel, ich hätte keine Ahnung, und alle wollten möglichst schnell ein Zertifikat kaufen, haben gedrängelt, einige absichtlich (und voreilig) Geld überwiesen, nichts wurde jedoch geplant.

Bis heute ist aber weder das Eine, noch das Andere da. Weder konnte irgendwas intern getestet werden, noch die preisgünstige Variante, die immerhin * bietet, ausprobiert werden und auch die teure Variante ist - dies allerdings zu meinem Erstaunen - nicht in Sicht. Tja, so kann's gehen... :)
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 22:46:33
Es hilft nicht zu schreiben was zu tun ist, es muss getan werden und dafür fehlen Ressourcen ... was ist daran so schwer zu verstehen?
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 15. Oktober 2013, 22:49:49
Zitat von: teufli
Ich hatte schon vor Monaten meine Mitarbeit angeboten, weil ich das Thema und die Technik kenne. Aber diese Hilfe wurde abgelehnt.

Link?
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 22:53:36
Nochwas, weil Du "rummeckern" schreibst: Entschuldige bitte, aber gerade Du weißt, dass ich vor Monaten gegen extreme Widerstände ankämpfen musste und sich original _niemand_ auch nur ansatzweise um eine Projektplanung, Support und technische Umsetzung kümmern wollte, deren intensive Mitarbeit ich angeboten hatte und die _niemand_ wollte! Lies gerne nochmal den Thread von damals und finde dann zwar zum Ende Deinen abschließenden Hinweis, dass ich ja gerne mit dem gleichen Engagement OC promoten sollte -- aber ernsthaft: Mit diesem Gegenwind, der jegliches Engagement von mir im Keim zu ersticken suchte, statt echte Lösungen finden wollte? Nein, danke!

Ich beobachte nun seitdem das Treiben und stelle fest, dass sich nicht auch nur das Geringste tut. Das ist nicht "meckern", das ist ein extrem sachlicher und fachlich richtiger Kommentar!
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 23:00:21
"Meckern" stand nocht ohne Grund in Anführungsstrichen ;)

Und nein, Du hast Deine präferierte Lösung angebracht und nach einigen Beiträgen hat man Dir mitgeteilt, dass die Entscheidung getroffen wurde eine "grüne Adresszeile" zu wollen.

Dabei handelte es sich um eine demkratische Entscheidung.

Richtig wäre jetzt gewesen entweder diese Entscheidung zu aktueptieren und daran mitzuarbeiten sie umzusetzen, oder es dabei zu belassen.

Jetzt aber die Fäuste in die Hüften zu stemmen und eine "Schnute" zu ziehen ...
Titel: Re: Wann kommt https?
Beitrag von: SH_Nachtcacher am 15. Oktober 2013, 23:12:05
Entspannt Euch ;) Alle hier sind sich doch einig, dass HTTPS kommen soll und das ein EV-Zertifikat keine schlechte Idee ist. Das Team muss aber auch Zeit dafür haben. Dass von Nutzerseite hier bereits großer Bedarf angemeldet wurde, steht ja außer Frage :)

Zur Umsetzung möchte ich wie gesagt anregen, dass wenn, dann die Umstellung des gesamten Angebotes auf HTTPS das Ziel sein sollte - und nicht nur für Kenner als Option oder während des Logins. Denn wenn nur der Login gesichert ist, ist das Cookie ein leichtes Ziel. Zudem wie gesagt bitte nicht PFS vergessen :)

Vielleicht kann das OC-Team einen unverbindlichen Zeithorizont hier posten - und uns über die geplanten Schritte dann ein wenig auf dem Laufenden halten, wäre klasse :)
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 23:23:14
4_Vs: Nein, Deine Aussage über die von mir angeblich präferierte Lösung ist nicht zutreffend.

Ich habe keineswegs gesagt, dass ein im Browser integriertes Root-Zertifikat nicht die bessere Lösung ist, sondern ich habe gesagt: SSL-Seite einrichten, CAcert ausprobieren und wenn alles läuft und auch für die unbedarften Nutzer freigegeben werden soll, dann das Geld für ein im Browser integriertes Root-Zertifikat entsprechend der dann präferierten Domains verwenden (siehe frühere Seiten in diesem Thread -- ich habe für diesen Aspekt sogar eine eigene numerierte Aufzählung verwendet). Daran hätte ich mitgearbeitet, das war aber nicht gewünscht. Wenn ich das nun widergebe, ist das keineswegs eine "Schnute" ziehen, sondern ich lasse mich für intensive Freizeitarbeit für euch doch nicht von euch ärgern.

Mehrfach in diesem Thread habe ich erwähnt, dass die Integration von CAcert nicht das Problem darstellt, um das es hier eigentlich geht. Aber das wurde von allen ignoriert, vielmehr wurde ja gegeiert nach einem käuflichen Zertifikat.

Die Wahl eines käuflichen Zertifikats ist übrigens auch keine demokratische Lösung gewesen, in der Form, wie Du sie zitierst. Vielmehr entstammt sie einer Meinungsfindung, die zum einen über einen längeren Zeitraum durchgeführt wurde und keineswegs zu dem Zeitpunkt beendet war, als ich eingestiegen bin, noch zu dem Zeitpunkt beendet war, als Du sie für mich für beendet erklärt hast -- siehe beides in diesem Thread --, noch hat sie öffentlich überhaupt vernünftig stattgefunden (wenigstens habe ich sie auch nach intensiver Recherche nicht gefunden).

Ich stelle deshalb fest: Es war eine einsame Entscheidung von den Vorstandsmitgliedern und wenigen weiteren im nahen Umfeld, die aufgrund von Unkenntnis der Sache und des pragmatischen Vorgehens (Projektplanung) so "entschieden" wurde. Dann wurde Geld gesammelt. Und dann wurde noch immer vergessen, die technische Umsetzung überhaupt erst mal zu beginnen (die hätte als erstes stehen müssen, bevor man sich um die nachgelagerten Dinge kümmert), wobei der vorhin genannte Index-Sperreintrag von SH_Nachtcacher ein richtiger und wichtiger Beitrag dazu ist.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 23:31:56
Die Entscheidung ist sehr wohl demokratisch getroffen worden, nur nicht in einem Kreis, in dem Du dabei warst.

In einer Teamspeaksitzung wurde einstimmig festgestellt, das bis auf den Preis alle Vorteile beim grünen Balken liegen.

Nachdem 4 Personen eine zweckgebundene Spende gemacht haben, sprach/ spricht nichts mehr gegen diese Lösung und das habe ich mitgeteilt.

Zitieren würd ich ja jetzt gern, aber mit Tapatalk aus ndwren Tjreas kopieren / zitieren ist ein wenig umständlich.

Und nochmal - es hilft nicht zu sagen was man tun soll, sondern man muss es auch anpacken.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 15. Oktober 2013, 23:43:36
Zitat
Die Entscheidung ist sehr wohl demokratisch getroffen worden, nur nicht in einem Kreis, in dem Du dabei warst.

In einer Teamspeaksitzung wurde einstimmig festgestellt, das bis auf den Preis alle Vorteile beim grünen Balken liegen.

"grüner Balken"? Soso, das muss ja _erheblich_ nach mir gewesen sein! Das ist für die technikfremden Personen inhaltlich zutreffend, war aber im Juni noch kein Thema und ist fachlich auch nicht richtig (das wissen aber nur diejenigen, die sich mit den Zertfikaten beschäftigen).

Zitat
Nachdem 4 Personen eine zweckgebundene Spende gemacht haben, sprach/ spricht nichts mehr gegen diese Lösung und das habe ich mitgeteilt.

Auch das war nach meinen Beiträgen im Juni. Siehe dazu Lagebericht von ich meine mic@ gegen Ende des damaligen Austauschs.

Zitat
Und nochmal - es hilft nicht zu sagen was man tun soll, sondern man muss es auch anpacken.

Völlig richtig - hatte ich angeboten, wollte keiner!
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 15. Oktober 2013, 23:53:26
Ich habe den kompletten Thread gelesen und Du hast mit keinem Wort Deine aktive Mithilfe in der Umsetzung angeboten.

Du hast ausführlich geschildert, was zu tun ist - aber warst nicht bereit - zumindest war das nicht zu erkennen - diese Schritte anzupacken.

Ferner muss ich mich mit Zertifikaten auch nicht auskennen - ich kann mir aber eine Meinung bilden. Und wenn es zum Zertifikat als Geburtstagbonus auch noch den grünen Balken bekomme - der bei allen nicht in der Zertifizierungstechnik tief bewanderten - DAS Zeichen von Sicherheit ist, dann ist das für mich der ideale weg.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 16. Oktober 2013, 00:23:25
Hallo 4_Vs,

ich habe mich auf Seite 5 in einem Beitrag für Support beworben, etwas tiefer in einem anderen Beitrag (der mit den Nümmerchen) explizit gesagt, dass ein kommerzielles Zertifikat bestimmt schön ist, und, ich bin mir sicher, in einem weiteren Beitrag, den ich jetzt nicht finde, mich für Support oder Technik beworben.

Denkt dran: Um es sicher zu machen muss jeder Dienst, der unter einem anderen Server als www erreichbar ist, erfordert ein Zertifikat. Dazu gehören wahrscheinlich API, Datenbank, E-Mail und Ticket und selbst Wiki und das Forum.
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 16. Oktober 2013, 03:06:26
Nur kurz zwei Dinge: Der Support hat nichts mit dem Serverbetrieb zu tun, also auch nichts mit der Umsetzung von SSL. Darüber hinaus habe ich dich exakt so in Erinnerung, wie du dich hier gerade wieder gibst. Alle sind schlecht, nur du hast wirklich Ahnung und die Welt ist gemein. Typisches Trollverhalten eben, dass nicht unbedingt dazu geeignet ist, mit offenen Armen in einem Team aufgenommen zu werden...
Titel: Re: Wann kommt https?
Beitrag von: OcRacher am 16. Oktober 2013, 06:23:50
Ich habe mir mal den Thread durchgelesen, und ich denke das Team ist auf einem guten Weg.
Als kleiner Verein wurde, natürlich Vereinintern, ersteinmal die Finanzierbarkeit eines solchen Projektes besprochen und durch Spenden eine Grundlage geschaffen. So, und nicht anders ist der richtige Weg. Ich fange auch kein Projekt an, was ich nicht bezahlen kann. Auch nicht, wenn es erst kostenlos geht, ich aber weiss, dass ich eine kostenpflichtige Variante brauche. Und dazu sage ich auch JA. Es muss für den Anwender so bequem wie möglich sein. Ich glaube nicht, dass hier nur Computerfraks sich anmelden. Ich unterstelle, der normale Dosensucher will sich nicht mit Zertifikaten und sowas rumschlagen. Und wenn jemand das erste mal auf die Seite kommt, und ihn springt eine Warnmeldung an, der kommt nie wieder.
Also, die Finanzierung ist geklärt. Nun werden die Grundlagen für das Zertifikat geschaffen. Ist soweit auch gut. Aber bitte, warum schon kaufen???
Hier gehe ich mit Teufli mit, jetzt müssen die technischen Grundlagen geschaffen werden. Da dies ein größeres Projekt ist würde ich es aufteilen, und erst einmal einen Plan erstellen was überhaubt alles zu tun ist. Vielleicht findet sich dann schneller jemand für die Umsetzung.
Bevor nicht das HTTPS läuft, würde ich kein Zertifikat kaufen. Wenn das Team erst in einem Jahr fertig wird, bezahlt das Team 1 Jahr umsonst, oder sehe ich da was falsch?
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 16. Oktober 2013, 07:13:06
Bevor nicht das HTTPS läuft, würde ich kein Zertifikat kaufen. Wenn das Team erst in einem Jahr fertig wird, bezahlt das Team 1 Jahr umsonst, oder sehe ich da was falsch?

Die Einrichtung der Server und die Beschaffung des Zertifikates liegen in einer Hand. Somit ist auch dafür gesorgt, dass alles zeitgleich an den Start kommt. :)
Titel: Re: Wann kommt https?
Beitrag von: OcRacher am 16. Oktober 2013, 07:57:53
Danke Schrotti,
Das ging so aus dem Thread nicht hervor. Dann wird es schon werden.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 16. Oktober 2013, 08:09:42
Hiho,

ich möchte das nur mal richtig stellen:

Bevor Du das erste Posting in diesem Thread gemacht hast
Ein teures SSL-Zertifikat ist nicht notwendig zum Betrieb einer SSL-Webseite. Ich hatte darüber mal vor ca. einem Jahr schon mal mit mic@ gesprochen. Mich wundert, dass er es erst jetzt nochmal hier anspricht, offenbar gibt es doch noch mehr sicherheitsbewusste Menschen.

Für oc.de schlage ich ein Zertifikat von CAcert vor. Das ist kostenlos verfügbar und ermöglicht eine sichere Verbindung.
war die Entscheidung schon bekannt gegeben
gar nichts, nur dass ich lieber bei unserem "haus- und hof-lieferanten" psw bestellen wuerde, die haben naemlich definitiv einen engagierten deutschen support... kostet aber etwa doppelt soviel (39,- fuer ein, 69,- fuer zwei jahre)

das zertifikat das ich meine ist das Limitbreaker http://www.psw.net/ssl-zertifikate.cfm (=identisch zu Thawte123) und unterstuetzt bei dem preis die meistmoeglichen browser (inkl. mobile)...

und wenn sich vier leute finden, die sich die 69,- fuer zwei jahre teilen, bin ich einer davon...
Gut, dass war in dem Thread nicht klar zu erkennen und es spricht ja auch nichts dagegen, wenn man Entscheidungen hinterfragt, aber spätestens nach diesen beiden Beiträgen sollte klar gewesen sein, dass die Entscheidung wirklich steht
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.

Ich werde auch nochmal was rüberschieben aufs Bankkonto und wenn sich sonst noch wer berufen fühlt das Ganze zu unterstützen - nur zu.

Lieben Gruß
Michael
Heho teufli ...

Die Entscheidung ist gefallen, und  zwar nicht weil irgendwer "mal was gesagt hat", sondern weil mehrere kompletente und verantwortungsbewusste Leute die Argumente gegeneinander abgewogen haben und sich alle einig darin sind, dass ein professionelles Zertifikat für www.opencaching.de derzeit die bessere Alternative ist.

So eine Entscheidung kann man auch mal respektieren und akzeptieren. Wenn du Opencaching voranbringen möchtest, kannst du das z.B. auch tun indem du deine Argumentationskünste einsetzt und im Netz Werbung für die beste Geocaching-Plattform machst. :)

Und in Deinen ganzen Beiträgen - die ich zum Großteil sehr schätze - wurde von Dir zwar immer wieder der Weg aufgeführt
Hi following,

deshalb habe ich "irgendwer mal was gesagt hat" in Anführungsstriche gesetzt. Es geht mir, das sollte aus meinen Beiträgen hervorgehen, nicht alleine darum, kein kommerzielles Zertifikat einzusetzen, sondern wie man es tut. Hier soll in Torschlusspanik etwas voreilig gekauft und falsch eingesetzt werden, mit Begründungen, die hahnebüchener nicht sein könnten: "Weil wir etwas beschlossen haben". Das ist Unfug! Richtig wäre es, wenn man begründen könnte, wofür man was einsetzt. Dazu habe ich bislang genau ein einziges Argument gehört: Weil es dem User leichter zu vermitteln ist. Das ist in Ordnung, reicht mir aber bei weitem nicht aus, um das im selben Ticket geforderte Thema Sicherheit umzusetzen. Die Details habe ich bereits genannt, einen Umsetzungsvorschlag auch. Darauf wurde von niemandem bis jetzt eingegangen.

Ich fasse nochmal (unsortiert) zusammen:
- Die Domain opencaching.de soll verschlüsselt werden.
- Der Dienst soll sicher werden.
- Das betrifft wahrscheinlich mindestens vier Hosts, was nicht einem, sondern vier Zertifikaten (ggf. Kosten * 4) entspricht. Zusätzlich besteht ggf. Bedarf für noch weitere, bereits genannte Hosts.
- Aufwände müssen sich aus Ressourcengründen in Grenzen halten.
- Die Kosten müssen sich aus Kostengründen in Grenzen halten.
- Es gibt zurzeit keine Verschlüsselung, die meisten können zurzeit damit leben.
- Es gibt in den Geschäftsbedingungen der Zertifikatsanbieter keine Garantie dafür, dass sich das gekaufte Zertifikat im Browser befindet oder dort bleibt.
- opencaching.de will sich vorteilhaft von dem Angebot der Konkurrenz abheben (das formuliere ich jetzt mal für OC so).

Ich habe noch mehr geschrieben, das bezieht sich aber auf Philosophie-Unterschiede zwischen CAcert und einem kommerziellen Anbieter, die für die Betrachtung für welches Zertifikat ich mich entscheide eine Rolle spielen können, aber nicht müssen.

Dann geht es darum, wie man gescheit vorgeht (in dieser Reihenfolge!):
1. Die Dienste werden so umgebaut, dass sie unter https erreichbar sind und funktionieren.
2. Es wird ein CAcert-Zertifikat eingesetzt.
3. Benutzerfreundlichkeit und Massenkompatibilität werden so wichtig, dass für www.opencaching.de ein kommerzielles Zertifikat gekauft wird - und, je nachdem, auch für die anderen Hosts.

Je nach Vorankommen können sich die einzelnen Phasen überlappen. Ob und wann man das SSL-Angebot bewirbt, ist abhängig von der Einschätzung der Benutzer seitens der Betreiber. Und ich habe sogar vollstes Verständnis für Punkt 3 in dieser Reihenfolge - aber es wurde ja noch nicht einmal mit Punkt 1 begonnen!

Und mehrfach habe ich gehört, es gehe ja nur über opencaching.de, der betreffende Autor hat aber übersehen, das ein Zertifikat nur für einen einzigen Host funktioniert (es sei denn, man verwendet ein sehr teures Wildcard-Zertifikat)!

Und ich habe vor allem ein Problem damit, wenn der dritte Schritt vor dem ersten gemacht wird und wenn wichtige Dinge übersehen werden, auf die ich mehrfach hingewiesen habe, zu denen ich aber noch keine Rückmeldung gehört habe. Was Dein Gefallen mit der Werbung angeht, so wird diese CAcert sicher gerne machen, wenn ihr ein CAcert-Zertifikat einsetzt. Wie im echten Leben auch: Wenn ihr lieber kommerzielle Dienstleister nutzt, muss auch für Werbung bezahlt werden ;) (die dann aus verständlichen Gründen natürlich nicht im Rahmen von CAcert stattfindet)

Viele Grüße, Alexander.
Und auch in Deinen anderen Beiträgen sprichst Du immer von "Du", "Ihr" und "man", aber niemals von "wir" oder "uns" - also ist aus den ganzen Beiträgen keine Mitarbeitsgedanke zu erkennen.

Ob Dir die Antwort von dem ein oder anderen rüberkam, als ob man Dich nicht haben wollte - nun ja, das mag sein, das mag auch nicht sein - so ist das in Foren - das solltest Du auch kennen.

Weder bohrsty als Technikleiter noch ich als Vorsitzender haben von Dir eine PM oder Mail bekommen, in der Du die Mitarbeit im Team anbietest oder aber unser Interesse an Deiner Mitarbeit anfragst.

Ungerne bin ich Teil einer Verallgemeinerung und habe daher den thread erneut Wort für Wort durchgelesen und konnte keinen einzigen Anhaltspunkt finden, der Dich annehmen lassen könnte, dass ich Dich nicht gewollt hätte bzw. wollen würde. Jeder hier im Forum ist ein Individuum, dass seine Meinung und Sichtweisen äußern kann und jeder ist willkommen im Team mitzuarbeiten und da ist es grundsätzlich mal unerheblich, ob derjenige mit seiner Sichtweise alleine steht oder "alle" hinter sich hat.

Wie ich schon mehrmals erwähnte - aber das überliest Du ja, weil ansonsten der Thread nicht weitergehen würde - fand ich Deine Einwände, Erklärungen und Tipps zu dem Thema mehr als hilfreich und hat uns dazu gebracht die Entscheidung erneut zu überdenken, aber dennoch haben wir uns für die ursprüngliche Variante entschieden.

Und anstatt hier immer wieder darauf rumzureiten, dass es nicht vorwärts geht , hätte von Dir so einfach das ganze beendet werden können, in dem Du tatsächliches Interesse an einer Mitarbeit zeigst und bohrsty bspw. eine Mail/PM schreibst und Deine Mithilfe aktiv anbietest bzw. nachfragst, wie der Stand der Dinge ist und ob er Hilfe brauchst - aber das wäre ja ohne "Medien"aufmerksamkeit passiert und das passt dann wohl nicht auf den Plan.

Also, um es noch einmal zusammen zufassen (und bitte, wenn Du einem Thema widersprichst / nicht der Wahrheit entspricht, dann zitiere bitte die entsprechenden Passagen, denn ansonst ist es Hören/Sagen):


Und wenn man diese Punkte mit "Ja, (leider) richtig" beantworten kann, verstehe ich den ganze Bohei nicht. Ich ziehe mich hier jetzt auch raus, es sei denn, mir wird per Zitat das Gegenteil dargestellt. Das Thema hat mich schon viel zu viel Zeit gekostet.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 16. Oktober 2013, 08:20:19
Hi Alexander,

jetzt habe ich die Stelle mit dem Support gefunden - okay, dass kann man als "Bewerbung" oder "Wink" sehen, man kann aber auch vermuten, dass Du uns dann wieder sagen willst, was zu tun ist ::)

Die Installationsanleitung ist bis auf wenige Ausnahmen trivial und entsprechende Supportanfragen können, wenn sie überhaupt kommen, zumeist mit einem Standardtext beantwortet werden. Dafür, bzw. alternativ für die schwierigen Fälle, die es bei kommerziellen Zertifikaten übrigens in gewissem Umfang auch geben dürfte, kann ich mich auch gerne einbringen.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 16. Oktober 2013, 22:30:52
Hallo Schrottie+4_Vs,

@Schrottie:
der Support hat aber ganz effektiv mit der Umsetzung zu tun. Das wurde mir im Juni immer wieder gesagt und darauf hatte ich mich auch immer wieder bezogen. Insofern frage ich mich, was Du jetzt an dieser Stelle plötzlich willst! Jedenfalls hast Du meine Nachrichten offenbar nicht gelesen. Ein "Troll" ist einer, der fernab jeder Fachkenntnis einfach herumpupt. Und - entschuldige, wenn ich das jetzt so sage - genau das tust Du mit Deinem Angriff gegen mich! Ich habe dagegen niemals jemanden angegriffen, sondern bin stets fachlich und sachlich geblieben, auch wenn es mir manchmal schwergefallen ist.

Ich habe auch niemals behauptet, alle sind schlecht - ganz im Gegenteil:
- Ihr habt behauptet, eure User wären doof - ich habe das Gegenteil vermutet und das auch so geschrieben!
- Ihr habt mir gesagt, eine "demokratische Abstimmung" sei bereits im Vorfeld erledigt gewesen - nur dass eine Anzahl Leute im Juni-Thread davon nichts wussten.
- Ich habe euch geschrieben, wie man ein solches Vorhaben vernünftig umsetzt - ihr wolltet davon nichts hören, sondern es wurden Scheinargumente vorgebracht, die dazu geführt haben, dass bis jetzt noch nichts umgesetzt ist.

@4_Vs:
Mit meinen mehreren Ansätzen zu zeigen, wie man ein solches Projekt angeht, wollte ich euch implizit zeigen, dass ich auch neben Support und technischer Umsetzung sogar Projektplanung könnte - denn dafür hatte ich mich nicht explizit beworben. Ich wollte anfangs auch gar nichts dazu schreiben, nur ging die Diskussion schnell in diese Richtung. Wenn ich nun jedoch mich entsprechend äußere und dann ausschließlich gegen Windmühlen ankämpfen soll, die wiederkäuend in meinen Augen Scheinargumente hervorbringen und überhaupt nicht auf meine jeweils vorgebrachten Argumente eingehen, dann habe ich natürlich in keinem Gebiet Lust, euch irgendwobei zu helfen:

Ständig wurde ich angeraunzt, dass alles, was ich vorschlage schlecht ist (ist ja jetzt nicht anders). Solange ihr es besser könnt, ist mir das sogar egal - aber ich stelle fest, dass ihr es eben nicht besser könnt. Deinen Ansatz mit meiner Schreibweise Du/Ihr/man statt wir/uns ist ein Aspekt, den ich tatsächlich für richtig halte. War mir damals so nicht aufgefallen. Andererseits hätte ich mir genauso eine persönliche Anfrage gewünscht à la "Du gibst vor, so viel zu wissen, magst Du mal mit uns Kontakt aufnehmen", denn die "aktive Arbeit" habe ich aus meiner Sicht bereits im Forum versucht.

Wenn ich Projektplanung gemacht hätte, hätte ich euch natürlich wieder gesagt, was wann zu tun ist ;) Aber ich ging ursprünglich von schnellen, einfachen und gleichzeitig einvernehmlichen Entscheidungen aus, in denen ich übrigens nicht erwartet habe, das Resultat vorzugeben (denn dann braucht man kein Team und keine gemeinsamen Entscheidungen). Aber ich setze voraus, dass man sich inhaltlich mit den Punkten auseinandersetzt. Das war im Juni bei vielen im Thread vertretenen Personen nicht der Fall gewesen. Deshalb hat das Thema zu viel Zeit gekostet und hat mich dazu veranlasst, mich wieder zurück zu ziehen: Freiwillige Arbeit in meiner Freizeit soll mindestens Spaß machen und da es für mich so aus sah, dass nur wenige sich inhaltlich mit meinen Argumenten auseinandergesetzt haben (sondern insgesamt nur einer oder zwei, die darüberhinaus nicht im aktiven Team sind), war mir diese Zeit für mich zu kostbar, um sie für Opencaching zu investieren. Danke, dass Du nun sagst, dass Du doch mit dem ein oder anderen Punkt etwas anfangen konntest, damals schien es für mich jedoch nicht so zu sein.
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 16. Oktober 2013, 22:52:52
Ein "Troll" ist einer, der fernab jeder Fachkenntnis einfach herumpupt. Und - entschuldige, wenn ich das jetzt so sage - genau das tust Du mit Deinem Angriff gegen mich!

Interessant. Abgesehen davon, das Du Dich ein wenig damit befassen solltest, was so alles zu Trollverhalten zählt, ist das hier...

- Ihr habt behauptet, eure User wären doof...

...nicht nur eine glatte Lüge, sondern eben aus Deiner Position auch waschechtes Getrolle.

Ich werde mir deshalb jetzt auch ersparen, hier reihenweise Zitate von Dir herauszusammeln, die eben ganz klar aufzeigen das Du bisher lediglich entweder etwas verlangt hast, und zwar immer in der "Ihr müsst" Form und nicht in der "Wir sollten" Form, gefolgt von einem "ich mache es" oder uns allen pauschal unterstellt hast, keine Ahnung von der Materie zu haben, während Du der einzige bist, der sie hat.

Also nur noch einmal kurz zum mitmeißeln: Mai/Juni wurde im Team beschlossen, das wir künftig einen verschlüsselten Zugriff auf OC ermöglichen werden, es wurde festgelegt auf welche Weise das geschieht und die Finanzierung wurde festgelegt und sichergestellt. Alles läuft und SSL wird kommen. Das braucht alles seine Zeit und wenn Dir das nicht klar ist, dann hast Du vermutlich doch nicht soviel Ahnung wie Du gern und oft zu haben vorgibst. Und jetzt auf einer anderen Lösung zu bestehen bzw. uns erklären zu wollen das unsere (benutzerfreundliche) Lösung schlecht ist und wir doch besser die nerdige (benutzer- und anfängerunfreundliche) Lösung bevorzugen sollen, nur weil sie vielleicht ein oder zwei Monate eher umgesetzt ist, ist einfach nur panne.

Daran ändern auch persönliche Angriffe nichts. Und deshalb ist für mich an dieser Stelle die Diskussion auch beendet.
Titel: Re: Wann kommt https?
Beitrag von: teufli am 16. Oktober 2013, 23:10:24
Hallo Schrottie,

wenn ich hätte trollen wollen, dann hätte ich geschrieben:
[ ] Du hast meine Posts gelesen.
[ ] Du hast meine Posts verstanden.

Aber soweit will ich es ja gar nicht kommen lassen ;-)

Mir ist es eigentlich fast egal (hatte ich im Juni schonmal geschrieben), welche CA ihr für euer Zertifikat benutzt. Wichtig ist, dass ihr euch vorher Gedanken macht, weshalb was ausgewählt wird. Das war bis dato nicht geschehen und sämtliche Argumente von mir wurden von euch nicht aufgegriffen. Lediglich ca. zwei Benutzer, haben sich damals inhaltlich überhaupt mit meinen Argumenten befasst. Das heißt nicht, dass alle meinem Resümee gefolgt sind, sondern sie haben sich überhaupt befasst. Das ist ein Meilenstein, der mir bei Dir und einigen anderen fehlt. Wenn Du das als "Trollen" ansiehst, dann schenke ich Dir das gerne.
Titel: Re: Wann kommt https?
Beitrag von: erdbot am 17. Oktober 2013, 08:02:28
Wenn Interesse besteht schaue ich mir als PKI Admin gerne mal den Request der final ausgearbeitet wurde noch mal an aber ein Cert für https zu requesten ist nun wirklich keine Wisschenschaft, das bekommen unsere Webserver zu Hauf von einer unserer drei Sub-Ca´s per Autoenrollment draufgebügelt  :)
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 25. Juli 2014, 17:15:43
Sorry, wenn ich dieses alte Thema wieder aufwärme.
Aber gerade gibt es im Ticketsystem eine Anfrage dazu von einem User:

Zitat
Könnt ihr bitte SSL/TLS auf aktuellem Stand (forward secrecy) auf euren
Servern (auch im Forum) anbieten? Sehr gerne auch mit selbst signiertem
Zertifikat oder von cacert.

@Schrottie: Hast Du einen Überblick, wieviele Spenden für SSL schon
zusammengekommen sind?
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 25. Juli 2014, 18:22:05
Hi,

wir haben zweckgebundene Spenden in ausreichender Höhe ... das Problem ist nicht das Geld, sondern die entwicklungstechnische Umsetzung :)

LG
Micha
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 25. Juli 2014, 21:15:26
Hindernis war doch inzwischen nur noch der Telefonbucheintrag, oder?
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 26. Juli 2014, 10:13:56
Zitat
Könnt ihr bitte SSL/TLS auf aktuellem Stand (forward secrecy) auf euren
Servern (auch im Forum) anbieten? Sehr gerne auch mit selbst signiertem
Zertifikat oder von cacert.

die antwort lautet fuer die oc.de website eindeutig "nein" (das geben die pakete von centos aktuell nicht her), fuer das forum muesste Micha da was zu sagen...

https an sich ist moeglich (natuerlich auch ohne heartbleed) aber pfs ist in den paketen nicht einkompiliert...
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 16. Dezember 2014, 10:07:34
Zitat von: bohrsty
https an sich ist moeglich (natuerlich auch ohne heartbleed) aber pfs ist in den paketen nicht einkompiliert...

Hat sich an dieser Lage etwas geändert?
Ich frage deshalb, weil Google plant, in Chrome vor nicht-https-Seiten zu warnen:
http://www.golem.de/news/netzverschluesselung-mythen-ueber-https-1412-111188.html
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 16. Dezember 2014, 12:39:40
Zitat von: bohrsty
https an sich ist moeglich (natuerlich auch ohne heartbleed) aber pfs ist in den paketen nicht einkompiliert...

Hat sich an dieser Lage etwas geändert?
Ich frage deshalb, weil Google plant, in Chrome vor nicht-https-Seiten zu warnen:
http://www.golem.de/news/netzverschluesselung-mythen-ueber-https-1412-111188.html

ja... und vermutlich wird es sich fuer die version 6 von centos auch nicht aendern... 7 muesste ich pruefen...
Titel: Re: Wann kommt https?
Beitrag von: geochris70 am 17. Dezember 2014, 07:45:25
Hallo liebe Betreiber!
Mal meine Meinung hierzu. Prinzipiell finde ich es nicht gut, sich von einzelnen Sponsoren abhängig zu machen. Selbst wenn dann die Qualität einer Seite bzw. und das in erster Linie eines Forums nachlassen würde oder halt nicht so hoch ist. Da das aber wohl schon passiert ist würde ich Burning Board vorschlagen. Dort bekommt man für relativ wenig Geld alles was man braucht.
Weiter und das war der Hauptgedanke, dass ich was hierzu schreibe. Ich kann mir vorstellen, dass es den User verunsichert, wenn er neu ist (So wie ich) und nicht die ganz tolle Ahnung vom Internet hat, dass er sich sehr erschreckt, wenn er auf einmal liest, dass die Seite ja nicht sicher ist. Darum mein Vorschlag, besprecht dass doch im nicht öffentlichen Bereich.

Einen schönen Mittwoch wünscht
Chris
Titel: Re: Wann kommt https?
Beitrag von: Schrottie am 17. Juni 2015, 14:34:32
http://www.heise.de/newsticker/meldung/SSL-Zertifizierungsstelle-Lets-Encrypt-will-Mitte-September-2015-oeffnen-2714819.html
Titel: Re: Wann kommt https?
Beitrag von: following am 20. August 2015, 19:07:17
Mag sich jemand um #798 (http://redmine.opencaching.de/issues/798) kümmern?
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 21. August 2015, 09:50:26
Wir haben in Zukunft ein SSL Zertifikat ...
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 21. August 2015, 11:44:02
@Peter: ich lade mir heute abend das entwicklerimage runter und teste am wochenende mal die ssl-einrichtung...

@Micha: hier geht es u.a. um anpassungen im code um eine parallelnutzung von http (fuer alte clients, ocprop, etc.) und https zu ermoeglichen... das alte entwicklerimage ist aber nicht fuer ssl vorbereitet und der apache nicht aus den repositories installiert, daher muss ich mir das erstmal angucken (s.o.)
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 21. August 2015, 22:15:51
@Peter: ich lade mir heute abend das entwicklerimage runter und teste am wochenende mal die ssl-einrichtung...

das sieht schon mal schlecht aus fuer den anfang, denn wer immer das entwicklerimage erstellt hat, hat leider den apache ohne ssl-funktionalitaet kompiliert...

ich habe mich mal durchgefummelt und eine (ohne es mit dem aktuellen code getestet zu haben, ein phpinfo() hat aber funktioniert) ssl konfig erstellt (s. http://redmine.opencaching.de/issues/798)
Titel: Re: Wann kommt https?
Beitrag von: mambofive am 22. August 2015, 08:42:05
Ich habe das alte Image als Basis genommen, da habe ich nicht drauf geachtet...
Ich werde den Apache mal raus werfen und durch den aus dem OS-Repo ersetzen.
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 22. August 2015, 08:57:29
besser nicht, das php 5.3 was aktuell laeuft, gibt es nicht in den repos und selbst kompiliert... bau lieber ein aktuelles auf basis von centos7, die pakete und die konfig findest du im teamwiki, die doku ist aber noch nicht vollstaendig...
Titel: Re: Wann kommt https?
Beitrag von: mambofive am 22. August 2015, 13:52:15
Ok, neues 'to do' für die kommende Woche... ;)
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 22. August 2015, 15:59:56
Ok, neues 'to do' für die kommende Woche... ;)

::) dann lass uns bevor du anfaengst das todo ab zu arbeiten noch mal per mail schreiben ich habe schon einige centos (auch 7) installiert und da eine ganz brauchbare konfig im petto (partitionierung, pakete etc.)...
Titel: Re: Wann kommt https?
Beitrag von: following am 22. August 2015, 16:14:22
Generell fände ich es sinnvoll, die Themen Serverumstellung und HTTPS-Freigabe zeitlich zu entkoppeln, und beides auch von sonstigen OC-Softwareupdates (mindestens 1-2 Wochen Abstand). Das sind alles Dinge bei denen schnelle Nachbesserungen im OC-Programmcode nötig werden können, weil man beim Test etwas übersehen hat. Könnte sonst stressig werden, oder man rätselt welche der Umstellungen ein Problem verursacht hat.
Titel: Re: Wann kommt https?
Beitrag von: mambofive am 22. August 2015, 17:59:14
Das ist schon richtig, aber dennoch sollte die Entwicklungsumgebung möglichst schnell https unterstützen - und - da gebe ich bohrsty Recht - das dann auch mit CentOS 7. Drei größere Changes gleichzeitig wären allerdings wirklich unklug. Der Umzug ist doch noch ein paar Wochen hin, wenn ich das richtig verstanden habe. Vorab können wir die v14 einspielen. Und nach dem Umzug, wenn der Code https fähig ist, stellen wir das um.
Oder habe ich da was übersehen?
Titel: Re: Wann kommt https?
Beitrag von: following am 22. August 2015, 21:22:01
Das klingt nach einer guten Reihenfolge. :)

Zu den Anforderungen an die Entwicklungsumgebung gab's in der Vergangenheit sehr verschiedene Ansichten (http://forum.opencaching-network.org/index.php?topic=4139.0). Wenn die neue so nah wie möglich an der Produktivumgebung dran ist fände ich das toll, natürlich inklusive SSL.
Titel: Re: Wann kommt https?
Beitrag von: mambofive am 23. August 2015, 10:14:05
Zu den Anforderungen an die Entwicklungsumgebung gab's in der Vergangenheit sehr verschiedene Ansichten (http://forum.opencaching-network.org/index.php?topic=4139.0). Wenn die neue so nah wie möglich an der Produktivumgebung dran ist fände ich das toll, natürlich inklusive SSL.
Du meinst jetzt an der neuen Produktivumgebung, also CentOS 7.0, nehme ich an?

Mein Plan ist es, basierend auf CentOS 7 und der Doku im Teamwiki die Entwicklungsumgebung von scratch neu aufzubauen, dabei soviel Pakete wie möglich aus dem CentOS-Repository zu benutzen. Die sollte dann auch https-fähig sein.

Titel: Re: Wann kommt https?
Beitrag von: following am 23. August 2015, 12:41:45
Zu den Anforderungen an die Entwicklungsumgebung gab's in der Vergangenheit sehr verschiedene Ansichten (http://forum.opencaching-network.org/index.php?topic=4139.0). Wenn die neue so nah wie möglich an der Produktivumgebung dran ist fände ich das toll, natürlich inklusive SSL.
Du meinst jetzt an der neuen Produktivumgebung, also CentOS 7.0, nehme ich an?

Ja.

In der alten Entwicklungsumgebung habe ich gerade mal die Anleitung von bohrsty (http://redmine.opencaching.de/issues/798#note-2) getestet, hat auch einwandfrei funktioniert: https läuft. Hab nur im Moment keine Zeit, um mich selbst um die #798 zu kümmern.
Titel: Re: Wann kommt https?
Beitrag von: following am 03. September 2015, 15:51:40
Gehe ich recht in der Annahme, dass das SSL-Zertifikat domainabhängig ist, also nur für die Hauptdomain www.opencaching.de gelten wird? Müsste dann auch im Code getrennt behandelt werden nach Domains.
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 03. September 2015, 20:06:35
richtig, und eigentlich noch schlimmer (ausser man leistet sich ein wildcard) nur fuer eine subdomain... also entweder fuer www.opencaching.de oder nur fuer blog.opencaching.de... opencaching.de benoetigt immer ein eigenes, falls man das auch noch moechte...
Titel: Re: Wann kommt https?
Beitrag von: following am 19. September 2015, 16:32:39
Opencaching.pl hat's mit einem kostenlosen Globalsign-Zertifikat versucht, aber der Antrag wurde abgelehnt:

Zitat
Hi Andrzej,

Thank you for submitting an application to receive a free SSL Certificate for your Open Source Project. I'm sorry to inform you that at this time we cannot grant you a free SSL certificate because it does not meet all of our requirements.

Our Requirements are as follows:

- Must be licensed with a license approved by the Open Source Initiative (http://www.opensource.org/licenses/?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz-9BjICbOciYC_YvMjboXH-aBzDu8ErN34aJwgqJ70lgEINjkc12ASXgNjTdBchobsMBYVM6DqmsJPmsnu7Su_3Na1qmEg&_hsmi=13143962)

- Project must be actively maintained

- Order must meet all vetting requirements

- Follow industry best practices in configuring your SSL and get an "A" when tested with the SSL Checker (https://sslcheck.globalsign.com/?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz--3Iy5kBY63d0ddfFhoLa8KJTReBa_magN6ZFrR77LezW2o0BjkmuCR76LrX7q9z6d6csqsiPmCFtCShVOGu0UAxdkmzA&_hsmi=13143962)

- Agree to the standard Subscriber Agreement (https://www.globalsign.com/repository/globalsign-subscriber-agreement-digital-certificates-and-services.pdf?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz--5ugoCRaNuJJsZkB5iVqOUgu_I6EP8XWtpa5E0wneY76CIVLFQitozAcZj8h8UH5mJhL4EurKZbV0jtiUCKAG__xfl-g&_hsmi=13143962)

- Not be a site that is also used for commercial purposes

Thank you for your cooperation. If you make the appropriate changes to your project please feel free to apply again.

Sincerely,

Chris Algiere

GlobalSign Marketing

GMO GlobalSign   2 International Drive     Portsmouth  NH   03801   United States

You received this email because you are subscribed to Marketing Information from GMO GlobalSign.

(Quelle: https://github.com/opencaching/opencaching-pl/issues/181)
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 19. September 2015, 16:36:55
Zitat von: following
Opencaching.pl hat's mit einem kostenlosen Globalsign-Zertifikat versucht, aber der Antrag wurde abgelehnt...

So ganz kann ich da nicht rauslesen, welcher der Punkte nun gegen oc.pl sprach?
Denn opensource sind sie ja, und non-commercial auch.
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 19. September 2015, 17:48:23
Opencaching.pl hat's mit einem kostenlosen Globalsign-Zertifikat versucht, aber der Antrag wurde abgelehnt:

wir werden fuer ein jahr eins kostenlos von hosteurope bekommen, aber die requirements erfuellen wir auch...

Zitat
[...]
Our Requirements are as follows:

- Must be licensed with a license approved by the Open Source Initiative (http://www.opensource.org/licenses/?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz-9BjICbOciYC_YvMjboXH-aBzDu8ErN34aJwgqJ70lgEINjkc12ASXgNjTdBchobsMBYVM6DqmsJPmsnu7Su_3Na1qmEg&_hsmi=13143962)

passt: GPL v2

Zitat
- Project must be actively maintained

ist dank Peter der fall...  :)

Zitat
- Order must meet all vetting requirements

was auch immer das heissen soll... wenn ich "vetting requirements" mit "voraussetzungen fuer eine sicherheitspruefung" uebersetze, wuesste ich immer noch nicht was das soll, aber zumindest die sicherheit unserer server haelt einer pruefung stand...

Zitat
- Follow industry best practices in configuring your SSL and get an "A" when tested with the SSL Checker (https://sslcheck.globalsign.com/?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz--3Iy5kBY63d0ddfFhoLa8KJTReBa_magN6ZFrR77LezW2o0BjkmuCR76LrX7q9z6d6csqsiPmCFtCShVOGu0UAxdkmzA&_hsmi=13143962)

das A klappt sogar schon auf dem testserver und wenn die wollen, kann ich das auch auf A+ steigern:
https://www.ssllabs.com/ssltest/analyze.html?d=test.opencaching.de&hideResults=on
das rote T gibts nur, weil wir ein selbstsigniertes zertifikat verwenden, der wichtige satz steht unter dem T...

Zitat
- Agree to the standard Subscriber Agreement (https://www.globalsign.com/repository/globalsign-subscriber-agreement-digital-certificates-and-services.pdf?utm_campaign=Open+Source+Requests&utm_source=hs_automation&utm_medium=email&utm_content=13143962&_hsenc=p2ANqtz--5ugoCRaNuJJsZkB5iVqOUgu_I6EP8XWtpa5E0wneY76CIVLFQitozAcZj8h8UH5mJhL4EurKZbV0jtiUCKAG__xfl-g&_hsmi=13143962)

hier halten meine juristischen englischkenntnisse nicht mit, aber das zu unterschreiben, sollte jetzt ja nicht so das problem darstellen...

Zitat
- Not be a site that is also used for commercial purposes

passt... ;)
Titel: Re: Wann kommt https?
Beitrag von: mic@ am 17. November 2015, 22:18:26
Gerade im gc.de Forum gesehen (danke maltee_h):

# Let's Encrypt: Ab dem 3. Dezember Gratis-SSL-Zertifikate für alle
# http://www.heise.de/newsticker/meldung/Let-s-Encrypt-Ab-dem-3-Dezember-Gratis-SSL-Zertifikate-fuer-alle-2920357.html
Titel: Re: Wann kommt https?
Beitrag von: following am 23. Dezember 2015, 11:38:12
Der https-Probebetrieb ist gestartet. Dazu einfach folgende URL verwenden:

https://www.opencaching.de/

Die OKAPI ist noch nicht an https angepasst (-> https://github.com/opencaching/okapi/issues/343); dort bitte erst mal weiter nur http verwenden.

Auch hier nochmal Danke an die Firma Host Europe, die uns für ein Jahr das SSL-Zertifikat gesponsort hat.
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 23. Dezember 2015, 12:03:42
Cooool, erstes Feeling: Funktioniert :)
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 23. Dezember 2015, 14:21:09
Der https-Probebetrieb ist gestartet. Dazu einfach folgende URL verwenden:
[...]

kann man die einbindung der google-maps-api auch auf https umstellen? mein firefox meckert an, dass teile der seite unverschluesselt seien... und der einzige http-eintrag unter "medien" ist die maps-api...
Titel: Re: Wann kommt https?
Beitrag von: following am 23. Dezember 2015, 14:29:24
kann man die einbindung der google-maps-api auch auf https umstellen? mein firefox meckert an, dass teile der seite unverschluesselt seien... und der einzige http-eintrag unter "medien" ist die maps-api...

Die sollte per https eingebunden sein. Bei mir meckert auch weder der Firefox noch Chrome, und in der Medienliste steht nur https:// ... seltsam.

Um welche Seite geht es denn? Startseite, Cachelistings oder die große Karte?
Titel: Re: Wann kommt https?
Beitrag von: OConly am 24. Dezember 2015, 08:12:23
Irgendwas ist aber noch immer im Argen...
Titel: Re: Wann kommt https?
Beitrag von: dl6hbo am 24. Dezember 2015, 10:16:17
So auf die Schnelle kann ich feststellen, dass "Diese Website stellt keine Informationen über den Besitzer zur Verfügung." Teil der Fehlermeldung ist. Ich habe https://www.opencaching.de/map2.php
getestet. Auf dieser Seite "kaufen wir Bestandteile zu", die nicht per se verschlüsselt sind. In meinem Fall sind es lauter Kacheln mit OSM Daten. Diese Teile kommen über http, also unverschlüsselt herein.
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 24. Dezember 2015, 12:41:47
[...]
Die sollte per https eingebunden sein. Bei mir meckert auch weder der Firefox noch Chrome, und in der Medienliste steht nur https:// ... seltsam.

Um welche Seite geht es denn? Startseite, Cachelistings oder die große Karte?

bei mir ist es firefox und gesehen habe ich es auf der startseite...

screenshots als anhang...

stichproben in listings sind ok, die karte auch (vollbild und eingebettet)...

edit: den unterschied auf der startseite macht angemeldet oder abgemeldet, abgemeldet ist der "fehler"-zustand, angemeldet alles gruen...
Titel: Re: Wann kommt https?
Beitrag von: OConly am 24. Dezember 2015, 15:30:08
Bei mir wird es auch angemeldet nicht grün.

Übrigens, das ganze Google-Gedöns lässt sich aber auch via https einbinden.
Titel: Re: Wann kommt https?
Beitrag von: following am 26. Dezember 2015, 11:03:52
edit: den unterschied auf der startseite macht angemeldet oder abgemeldet, abgemeldet ist der "fehler"-zustand, angemeldet alles gruen...

Ok, das ist ein Problem mit dem Smarty-Cache. Zeile 20 in index.php ändern in

$tpl->cache_id = $sUserCountry . '|' . $opt['page']['protocol'];

Und das Gleiche am besten auch in der Kommentarzeile 80 in viewcache.php.
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 27. Dezember 2015, 20:11:56
wiki und teamwiki sind auch auf https umgestellt... zertifikate sind die kostenlosen von "letsencrypt"...

bitte mal  die wikis durchgucken, ob es noch per http eingebundene bilder gibt, diese seiten koennten von browsern blockiert oder zumindest als unsicher gekennzeichnet werden...

die anderen seiten auf unseren servern folgen demnaechst...
Titel: Re: Wann kommt https?
Beitrag von: bohrsty am 28. Dezember 2015, 11:36:06
wiki und teamwiki sind auch auf https umgestellt... zertifikate sind die kostenlosen von "letsencrypt"...

bitte mal  die wikis durchgucken, ob es noch per http eingebundene bilder gibt, diese seiten koennten von browsern blockiert oder zumindest als unsicher gekennzeichnet werden...

die anderen seiten auf unseren servern folgen demnaechst...

das ist erstmal wieder gecancelt, da gibt es im moment probleme mit der zertifikatsauswahl, dass muss ich erstmal analysieren...
Titel: Re: Wann kommt https?
Beitrag von: Slini11 am 28. Dezember 2015, 22:12:22
Haben in dem Zuge Wiki, Teamwiki, Blog und Redmine den Geist aufgegeben oder hat das andere Gründe?
Titel: Re: Wann kommt https?
Beitrag von: 4_Vs am 28. Dezember 2015, 22:22:39
Haben in dem Zuge Wiki, Teamwiki, Blog und Redmine den Geist aufgegeben oder hat das andere Gründe?
Das ist beim Domainumzug passiert ...

... ich habe die DNS Einträge mal angepasst, ich hoffe richtig :)

SG
Micha

P.S.: Dauert 10-15 Minuten ...
Titel: Re: Wann kommt https?
Beitrag von: following am 22. Januar 2016, 13:16:26
Im aktuellen OC-Talk hieß es, dass nach Ablauf der Testphase nach https weitergeleitet werden soll. Anscheinend hab ich was verpasst. :) Bislang war ein Parallelberieb geplant, wobei der manuelle Login nach https weitergeleitet werden könnte. Hat jemand die Kompatiblität zu den bestehenden Tools geprüft und bestätigt, dass die alle mit https klarkommen (z.B. Ocprop)?
Titel: Re: Wann kommt https?
Beitrag von: ClanFamily (Mirco) am 22. Januar 2016, 15:02:28
Mh. okay. da hab ich vielleicht nich 100% auf dem Schirm. Ich bin zuletzt davon ausgegangen dass SSL nur Sinn macht wenn man es einsetzt. Können wir es denn "nur" parallel laufen lassen ?

Gesendet von meinem SM-G800F mit Tapatalk

Titel: Re: Wann kommt https?
Beitrag von: following am 22. Januar 2016, 15:27:34
Können wir es denn "nur" parallel laufen lassen ?

Das tut es bereits. In Version 15 wurde viel Arbeit (https://github.com/OpencachingDeutschland/oc-server3/commit/f995f49a1cb2b8e40edd6ca0400d5573b5b0c484) investiert, damit das funktioniert.

Wenn's nur um die interaktive Bedienung der Seite ginge wäre ich auch dafür, es komplett umzuleiten. Tatsächlich sind auf www.opencaching.de aber auch (unabhängig von der OKAPI) diverse APIs intergriert, und es gibt Tools wie Ocprop die weitere Teile der Website automatisch bedienen. Für solche Anwendungen ist es durchaus üblich, beides parallel anzubieten.
Titel: Re: Wann kommt https?
Beitrag von: ClanFamily (Mirco) am 22. Januar 2016, 19:54:52
Naja.. dann macht man das halt so...
Wir haben in der Agentur auch Kunden, die nur den Warenkorb und Profil mit SSL absichern.
Die Detailseiten und Contentseiten müssen ja nicht SSL sein.