Kategorien
Blog

Let’s encrypt! Jetzt aber richtig!

Mehr TLS für alle!

Ich habe endlich angefangen, alle Blogs auf diesem Server auf https-only umzustellen. Das liegt zum Teil daran, dass die Übertragung von Daten über unverschlüsseltes http von den Browsern (zurecht) immer mehr als unsicher gekennzeichnet wird. Und es verringert natürlich die Überwachungsgefahr für alle Besucherinnen und Besucher der Blogs. Ja, wahrscheinlich ist der Besuch dieser Seiten für Geheimdienste, Ermittlungsbehörden und ähnliche Parteien kein interessanter Datenpunkt, aber ich will mir nicht anmaßen, das für andere Leute zu entscheiden.

Deshalb gibt es jetzt schon percanta.de, streifzug.me, freifunk-stuttgart.de  und weitere nur noch über verschlüsselte Verbindungen. Die Zertifikate dafür kommen von Let’s Encrypt, wo sie endlich automatisiert generiert und erneuert werden können, weshalb die ganze Aktion nicht mehr in einem Albtraum an Ablaufterminen enden muss.

Trotzdem steckt noch einiges an Arbeit in der weiteren Einrichtung und der Beseitigung von Mixed-Content-Warnungen. Sollte sich irgendwas seltsam verhalten, dann meldet Euch.

Von dentaku

Site Reliability Engineer, Internet-Ureinwohner, Infrastrukturbetreiber, halb 23-Nerd halb 42-Nerd, links, gesichtsblind.

Schreibt mit "obwaltendem selbstironischem Blick auf alles Expertentum" (Süddeutsche Zeitung)

10 Antworten auf „Let’s encrypt! Jetzt aber richtig!“

Ach, da gibt’s jetzt einen Erneuerungs-Automatismus? Soso. Danke für den dezenten Hinweis.

dentaku sagt:

Ja klar, sonst wären die kurzen Gültigkeitszeiträume auch wirklich schmerzhaft. Wende Dich an die Dokumentation Deines ACME-Clients (ich verwende getssl).

[TODO-Listen-Erweiterungs-Geräusch]

Mein neuer Hosting-Provider (manitu.de) bietet ebenfalls SSL via „Let’s Encrypt“ an, so dass ich mein Blog auch gleich mal „sicher“ gemacht hab 🙂

dentaku sagt:

Sehr schön. Fehlt noch HSTS.

Hmm, HTST muss ich mir mal genauer anschauen. In welcher Form hast Du das denn implementiert? (max-age, mit oder ohne preload?)

dentaku sagt:

Nein, mit Preload habe ich mich nicht auseinandergesetzt. Ich lasse einfach nur einen Header ausgeben mit max-age auf ein Jahr.
Falls Du Apache benutzt (und mod_header geladen hast) sieht das einfach nur so aus:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert