Sonntag, 26. Februar 2017
[*]

Let’s encrypt! Jetzt aber richtig!

, 23:30

Mehr TLS für alle!

Ich habe endlich angefangen, alle Blogs auf diesem Server auf https-only umzustellen. Das liegt zum Teil daran, dass die Übertragung von Daten über unverschlüsseltes http von den Browsern (zurecht) immer mehr als unsicher gekennzeichnet wird. Und es verringert natürlich die Überwachungsgefahr für alle Besucherinnen und Besucher der Blogs. Ja, wahrscheinlich ist der Besuch dieser Seiten für Geheimdienste, Ermittlungsbehörden und ähnliche Parteien kein interessanter Datenpunkt, aber ich will mir nicht anmaßen, das für andere Leute zu entscheiden.

Deshalb gibt es jetzt schon percanta.de, streifzug.me, freifunk-stuttgart.de  und weitere nur noch über verschlüsselte Verbindungen. Die Zertifikate dafür kommen von Let’s Encrypt, wo sie endlich automatisiert generiert und erneuert werden können, weshalb die ganze Aktion nicht mehr in einem Albtraum an Ablaufterminen enden muss.

Trotzdem steckt noch einiges an Arbeit in der weiteren Einrichtung und der Beseitigung von Mixed-Content-Warnungen. Sollte sich irgendwas seltsam verhalten, dann meldet Euch.

10 Reaktionen:

  1. Gravatar

    ❤️

    via facebook.com

  2. Gravatar

    Marc Werner hat diesen Artikel auf facebook.com geliked.

  3. Gravatar

    Dr. Superjörn hat diesen Artikel auf twitter.com geliked.

  4. Gravatar

    Ach, da gibt’s jetzt einen Erneuerungs-Automatismus? Soso. Danke für den dezenten Hinweis.

  5. Gravatar

    Ja klar, sonst wären die kurzen Gültigkeitszeiträume auch wirklich schmerzhaft. Wende Dich an die Dokumentation Deines ACME-Clients (ich verwende getssl).

  6. Gravatar

    [TODO-Listen-Erweiterungs-Geräusch]

  7. Gravatar

    Mein neuer Hosting-Provider (manitu.de) bietet ebenfalls SSL via „Let’s Encrypt“ an, so dass ich mein Blog auch gleich mal „sicher“ gemacht hab 🙂

  8. Gravatar

    Sehr schön. Fehlt noch HSTS.

  9. Gravatar

    Hmm, HTST muss ich mir mal genauer anschauen. In welcher Form hast Du das denn implementiert? (max-age, mit oder ohne preload?)

  10. Gravatar

    Nein, mit Preload habe ich mich nicht auseinandergesetzt. Ich lasse einfach nur einen Header ausgeben mit max-age auf ein Jahr.
    Falls Du Apache benutzt (und mod_header geladen hast) sieht das einfach nur so aus:

    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Kommentare willkommen