Mehr TLS für alle!
Ich habe endlich angefangen, alle Blogs auf diesem Server auf https-only umzustellen. Das liegt zum Teil daran, dass die Übertragung von Daten über unverschlüsseltes http von den Browsern (zurecht) immer mehr als unsicher gekennzeichnet wird. Und es verringert natürlich die Überwachungsgefahr für alle Besucherinnen und Besucher der Blogs. Ja, wahrscheinlich ist der Besuch dieser Seiten für Geheimdienste, Ermittlungsbehörden und ähnliche Parteien kein interessanter Datenpunkt, aber ich will mir nicht anmaßen, das für andere Leute zu entscheiden.
Deshalb gibt es jetzt schon percanta.de, streifzug.me, freifunk-stuttgart.de und weitere nur noch über verschlüsselte Verbindungen. Die Zertifikate dafür kommen von Let’s Encrypt, wo sie endlich automatisiert generiert und erneuert werden können, weshalb die ganze Aktion nicht mehr in einem Albtraum an Ablaufterminen enden muss.
Trotzdem steckt noch einiges an Arbeit in der weiteren Einrichtung und der Beseitigung von Mixed-Content-Warnungen. Sollte sich irgendwas seltsam verhalten, dann meldet Euch.
10 Antworten auf „Let’s encrypt! Jetzt aber richtig!“
❤️
Ach, da gibt’s jetzt einen Erneuerungs-Automatismus? Soso. Danke für den dezenten Hinweis.
Ja klar, sonst wären die kurzen Gültigkeitszeiträume auch wirklich schmerzhaft. Wende Dich an die Dokumentation Deines ACME-Clients (ich verwende getssl).
[TODO-Listen-Erweiterungs-Geräusch]
Mein neuer Hosting-Provider (manitu.de) bietet ebenfalls SSL via „Let’s Encrypt“ an, so dass ich mein Blog auch gleich mal „sicher“ gemacht hab 🙂
Sehr schön. Fehlt noch HSTS.
Hmm, HTST muss ich mir mal genauer anschauen. In welcher Form hast Du das denn implementiert? (max-age, mit oder ohne preload?)
Nein, mit Preload habe ich mich nicht auseinandergesetzt. Ich lasse einfach nur einen Header ausgeben mit max-age auf ein Jahr.
Falls Du Apache benutzt (und mod_header geladen hast) sieht das einfach nur so aus:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Mentions