lawblog jetzt mit SSL
Kurze Information aus dem Maschinenraum: lawblog.de funktioniert jetzt auch durchgehend mit https.
Das Setup ist allerdings noch im Testbetrieb, und kann daher vorübergehend oder dauerhaft deaktiviert werden.
Das Zertifikat wurde von CAcert ausgestellt, um die Fehlermeldung beim Besuch der https-Seite zu deaktivieren empfiehlt es sich, das Root-Zertifikat von CAcert zu installieren (andere Versionen)
(Autor: fh)
Dankeschön, warte schon länger darauf.
:-)
M.
Erfreulich … allerdings frage ich mich, wieso sich das «law blog» kein SSL-Zertifikat ohne Fehlermeldung leistet? Kostet ja nicht die Welt …
Welchen Vorteil soll das für die Leser haben, dass https nun unterstützt wird?
CAcert ist gut. Ist eigentlich eine Schande, dass das Root-Zertifikat nicht standardmäßig bei den Browsern integriert ist.
@2: Sicherer wird's auch nicht, wenn man der SSL-Mafia Geld in den Rachen wirft. CACert duerfte ein guter Kompromiss sein. (Auf lange Sicht gehoert sowas aber eigenltich ins DNS, mit DNSSEC gesichert.)
@2: 19.90 sind die welt. wobei ich es bei godaddy zur promotion sogar schon für 10$ bekommen hab. trusted. @3: vorratsdatenspeicherung, schäuble und andere gefährliche personen ;) @5: die ssl mafia muss der browser mafia erstmal geld in den rachen werfen um als sicheres zertifikat aufgenommen werden. habe mal was von nem 6stelligen betrag gelesen. der muss ja auch wieder reinkommen.
kriegt man die feeds auch über ssl? oder geht das nicht? :)
@Maschinenraum: Könnte nicht der Link auf die Kommentare auch umgestellt werden?
Mich würde Frage 3 von Tilman ebenfalls mal interessieren.
Im Zahlungsverkehr kann ich den Sinn von HTTPS verstehen aber für einen Blog habe ich auch noch keine Idee, wozu das dient.
Ich sage es hier auch nochmal, das Zertifikat ist unzureichend implementiert. Mein Browser sagt, dass die Seite teilweise aus ungesicherten Inhalten besteht. Einfacher Vergleich:
https://lawblog.de vs: https://cacert.org
Da ich nicht weiß welche Teile unverschlüsselt übertragen werden ist das ganze imho sinnfrei!
Sehr gut, vielen Dank für diese Neuerung.
Bei einem Blog? Wozu? Versteh ich nicht. Bitte um Erklärung. Es werden ja keine Daten ausgetauscht hier, oder?
Nur doof, dass alle links dann auf http lauten, man darf also keinen internen link anklicken ;-)
Versteh kein Wort.
Habe die Klasse-1 und 3-Zerts in Opera installiert. Warum kommt jetzt immer noch die Warnung?
Ich finde jeden Schritt zu mehr Privatsphäre begrüßenswert und wenn der Datenverkehr zwischen Browser und der Seite hier gesichert ist, ist das zumindest sicher nichts schlechtes :).
danke, lieber fh.
ich bitte höflich um einen rss-feed, der auf https verweist. den hole ich mir aber gerne auch per http.
@11 (chris) und andere:
nein, es kommt selbstverständlich erst zu einem datenaustausch, wenn der blog ausgedruckt wird.
spaß beiseite: es geht niemanden etwas an, welchen artikel auf lawblog.de ich lese oder kommentiere. meinen chef nicht, meinen provider nicht und das <a href="http://de.wikipedia.org/wiki/1984_(Roman)#Ministerien">ministerium für liebe</a> schon gar nicht.
.~.
Hm, leider warnt das Firefox Addon SSL Blacklist, weil das Zertifikat anscheinend einen MD5 Signatur Prozess nutzt, der als nicht mehr sicher angesehen wird?
ssl hat zudem den Vorteil, daß die Daten nicht im Platten-Cache des Browsers landen – es bleiben deutlich weniger Spuren auf dem Surf-Rechner zurück, aus denen man ableiten könnte, welche Seiten angesürft wurden.
Danke, tolle Neuerung!
Der Sinn von HTTPS? Einfach dass man nicht den gesamten Verkehr mitschneiden kann. Es geht das Ministerium für Liebe nichts an, wer wann das Lawblog liest und kommentiert…
Siehe hier Abschnitt "Nächster Schritt.: Kommunikation beobachten"
http://blog.mattiasschlenker.de/2009/05/19/ursula-von-der-leyen-und-kinderpornosperren-per-telefonauskunft/
Der Link zu den Kommentaren geht auch auf der verschlüsselten Seite auf http…. vielleicht sollte man das noch anpassen? Oder mach ich was falsch? :)
@2 Sobald du mir verrätst, was das bei der Crypto verbessert. :-)
@12 und Co: Die Links fixe ich die Tage noch, klar. Erstmal schauen wieviel mehr Last das überhaupt macht.
Und von wegen Sinn oder nicht: Wurde hier ja von mehreren Usern schon hinreichend begründet. Letzten Endes war es schlichtweg von verschiedenen Usern gewünscht, und es schadet nix – vorausgesetzt, die Last eskaliert nicht zu sehr, wovon ich aber nicht ausgehe.
Für mich persönlich waren da gar keine Datenschutzgründe oder ähnliches ausschlaggebend, sondern etwas viel trivialeres: Der law blog ist für mich eine "Spielwiese", auf der ich unter realistischer Last verschiedene Techniken im Bereich Caching und Co ausprobieren kann, ohne dass ein Kunde mir die Ohren abreisst, quasi ein Trainingsbereich. Und varnish hinter ssl wollte ich schon immer mal testen.
Last but not least: Es wird ja keiner gezwungen, https zu nutzen, nicht? :-)
PS: Für die technisch interessierteren hier: Es ändert sich "unter der Haube" hier auch sonst einiges, teilweise auf Anregung von aussen hin, teilweise weil die neue Hardware einfach mehr kann. Von endlich ordentlichen HTTP-Headern (Huhu, nitrox ;)) bis hin zu xcache-tuning. Der Enduser merkt da hoffentlich nichts davon, ausser dass die Seite deutlich schneller generiert wird, siehe z.B. im Quelltext das Kommentar in der vorletzten Zeile.
Firefox meldet erstmal:
"www.lawblog.de verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
(Fehlercode: sec_error_unknown_issuer)"
nicht, dass mich das abhalten würde… aaaber schön ist das nich
Wie wäre es mit IPv6, wenn wir schon bei Neuerungen sind? ;)
@22: Dann inspiziere eben das Zertifikat und wenn es plausibel erscheint, dann akzeptieres eben permanent.
@fh: Ich habe das Rootzertifikat von CAcert installiert und trotzdem die Warnmeldung erhalten. Wie das?
wie läuft lawblog eigentlich technisch (auf einem eigenen server)?
Ich könnte mir vorstellen, dass https doch einiges mehr an cpu-last erzeugt als ein 'normaler' http zugriff, oder?
@22, @24 http://wiki.cacert.org/wiki/BrowserClients
Kann ich jetzt darauf vertrauen, dass die Kommunikation nicht abgehört wird und mein Kollege WS hier nicht mitlesen tut?
Quasi nicht mitlesen können tut?
Wenn ich mir nur das anzeigen lasse was verschlüsselt übertragen wird sieht das bei mir dann so aus *schmunzel*
http://img231.imageshack.us/my.php?image=lawblog.jpg
11X/13 (Nr. 24): Du mußt das "Class 3"-Zertifikat installieren.
Davon abgesehen: Habe mir jetzt alle Kommentare durchgelesen, so ganz erschließt sich mir der Bedarf einer SSL-Verschlüsselung nicht. Gut, wenn man brisante Kommentare hinterlassen will mag das ja vielleicht sein machen, aber wer wann das LawBlog liest, wird doch damit nicht verborgen (=> Vorratsdatenspeicherung).
@27: Bei HTTP benötigt man Logfiles der Server und Einwahlprotokolle, um herauszufinden, wer das Lawblog ansurft. An beide muss man zunächst einmal rankommen — beispielsweise mit einem Beschlagnahmebeschluss. Nun fordern einige konservative Lobbygruppen angesichts der Wirkungslosigkeit der mit den Providern vereinbarten DNS-Sperren bereits eine Cleanfeed-ähnliche Lösung. Hierbei wird per DNS-Manipulation oder per Router der Verkehr auf einen transparenten Proxy umgeleitet. So kann man HTTP-Requests loggen und die zurückgegebenen Daten analysieren. Da die Technik zunächst transparent ist, können die Behörden, welche die Listen erstellen, großzügiger arbeiten: Man kann einerseits recht präzise den Traffic verdächtiger Domains analysieren, andererseits benötigt es keine chinesische Infrastruktur mit vielen Kaskaden, bei der gesamte Traffic über transparente Proxies läuft.
Verwendet man HTTPS, ist Cleanfeed für den A. weil die Behörden, die den Cleanfeed-Proxy betreiben kein gültiges Zertifikat bekommen. Noch ist die Debatte recht akademisch, aber es gibt bereits europäische Staaten, die Cleanfeed einsetzen und Schäuble und Co. dürften angesichts massiver Lobbyarbeit in diese Richtung bald auf den Cleanfeed-Trichter kommen. Die Verfassung sollte dabei nicht im Wege stehen, die kann man ändern.
Wozu eigentlich noch? Wer Webseiten mit SSL verschlüsselt muss etwas zu verbergen haben. Ergo, wird eh bald verboten.
M. (Nr. 28) – genau diese Information bekommt man doch dank der Vorratsdatenspeicherung(bzw. wird sie bekommen)? Die Inhalte, die übermittelt werden, sind ja ohnehin im Klartext beziehbar.
Bei der Vorratsdatenspeicherung muss man aber zunächst die Serverlogs anfragen. Und dann hat man keine Garantie, dass die Logs über einen gewünschten Zeitraum zurückreichen. Udo Vetter ist bspw. nicht verpflichtet, HTTPD-Access-Logs über sechs Monate aufzubewahren.
Zudem ist bei Clearfeed die Traffic-Analyse u.U. schwer (DNS-Manipulation) oder sehr schwer zu erkennen (Routing-Lösung). Und kein Stopschild macht darauf aufmerksam, dass man jetzt auf beobachteten Seiten surft. BKA, Verfassungsschutz etc. könnten daher geneigt sein, die Listen großzügiger anzulegen, um bereits bei geringem Verdacht zu ermitteln.
Ich glaube einige haben die VDS irgendwie falsch verstanden, denn damit werden "lediglich" (ich bin übrigens GEGEN die VDS) Verbindungszeiten ins Internet, zugeteilte IP, Uhrzeit o.Ä. gespeichert, aber das hat schlicht GAR NICHTS mit irgendwelchen Serverlogs zu tun, sorry! Erst belesen, dann posten.
@32:
volle Zustimmung!
genau durch solch gefährliches Halbwissen macht man es den Befürwortern der VDS zu einfach, Datenschützer als Lügner darzustellen und sie können sogar mit Recht behaupten, es wär alles gar nicht so schlimm wie alle denken
Fakt ist, dass die VDS, so wie sie heute Anwendung findet (auch mit den temporären Einschränkungen durch das BVG), einen eklatanten Eingriff in den Datenschutz/informationelles Selbstbestimmungsrecht und die Unschuldsvermutung darstellt
was als nächstes auf uns zukommt, machen schon mal die Briten vor: blog.fefe.de/?ts=b4d590c8
übrigens: in Italien wird neben der VDS gemäß EU-Richtlinie auch jede SMS gespeichert (also auch der Inhalt)
siehe: http://www.vorratsdatenspeicherung.de/content/view/83/87/lang,de/#Kommunikationsinhalte_werden_nicht_gespeichert
@13 Daniel spricht mir aus der Seele.
@Udo: Schau dir bitte mal http://www.startssl.com an. Die Firma erzeugt kostenlosen SSL Zertifikate. Deren CA ist mittlerweile sogar in Firefox, Safari und Opera aufgenommen worden. Das ist etwas wovon CAcert schon seit Jahren geträumt und versprochen hat.
Normale SSL Zertifikate sind dort kostenlos. Für Wildcard Certifkate und sonstige spezialitäten machen die eine Authentifzierung die dich dann einmal 20€ oder so kostet mittels PostIndent. Danach kannst du auch Wildcard SSL Zertifikate bekommen ala *.lawblog.de
@fh: Mein Blog läuft ausschließlich mit SSL, der Overhead durch die Verschlüsselung macht ca. 10% CPU aus. Wäre spannend, da von Euch irgendwann Vergleichswerte zu lesen. Ich hatte auch mit CAcert angefangen; da die nicht in den Browsern sind, benutze ich das aber nur noch für Dienste mit eher übersichtlichen Benutzerkreisen. Die Einführung von SSL-only hatte vorübergehend die Spam-Last reduziert, die Bots konnten da wohl nicht mit um. Nach ca. einem Jahr hatten die sich aber angepasst.
An alle, die sich fragen, was das soll: Was spricht denn Eurer Meinung nach gegen Verschlüsselung?
Ist es nicht ein bisschen paranoid zu glauben irgendjemanden würde (derzeit) ernsthaft interessieren wer hier welchen Artikel liest. Man muss es auch nicht übertreiben.
Aber gut, der wahre Grund wurde ja schon aufgeklärt und ist durchaus nachvollziehbar :-)
Und übrigens ist es ja nun nicht so das man wegen ein bisschen HTTPS sicher surft… es ist nur ein bisschen schwieriger mitzulesen ;-)
Wüstensturm: Wer ist hier paranoid? Was wollen Sie mit "nicht sicher" und "schwieriger mitzulesen" sagen?
Markus Hansen: Eben, das ist genau die Frage. Aber erklären Sie das mal den sieben Zwergen hinter den sieben Bergen, die wo haben nichts zu verzollen.
OT: Vetter wählt FDP
http://twitter.com/udovetter/status/2063647695
FDP gewinnt überdurchschnittlich.
http://www.spiegel.de/politik/ausland/0,1518,628668,00.html#Europa-2009
Im September wünsche ich mir eine andere Wahl.
#k.
@42. Ich meinte damit die Personen, die in anderen Kommentaren geschrieben haben, wie sie sich freuen das jetzt keiner mehr "mitlesen" kann welche Artikel sie hier anschauen oder welche Kommentare sie verfassen. Ich finde es einfach übertrieben. Punkt.
Und achso, ich kann auch gerne ein Computerbildgewäsch wiedergeben: Ja mit Https sind sie völlig super sicher im Internet unterwegs, da kann niemand jemals irgendwas mitlesen oder sonst was. 100%ig sicher das ganze?
Besser so? Ich werde mich sicherlich nicht auf eine technische Diskussion zu Angriffsszenarien auf SSL Verbindungen mit jemandem einlasse, der ganz toll bewiesen hat das er Englisch übersetzen kann…
@40 Es spricht garnichts gegen Verschlüsselung. Ich denke es ist aber doch legitim zu fragen warum es hier Personen gibt, die sich freuen das sie jetzt HTTPS haben, wärend sie hier den Blog lesen und damit ganz "sicher" ihre Daten übertragen, aber zuhause wahrscheinlich P2P Netzwerke benutzen und sich freuen wie toll doch Emule ist ;-) Die Richtung stimmt ja, nur der Weg ist noch lang…
@36/PK, @42: Ich habe tatsächlich mißverständlich formuliert: Bei der VDS hat man zunächst die Verbindungsdaten, nutzbar sind diese erst zusammen mit den Serverlogs. Und an die muss man erstmal rankommen. Als Betreiber eines Weblogs ist man zunächst nicht verpflichtet, Logs aufzuheben und zudem fällt eine Nachfrage eben auf.
Wenn bislang bereits die Google-Suche nach "Dussmann" als Argument für eine Hausdurchsuchung herangezogen werden kann, wieso sollte dann nicht hin und wieder besonderes Augenmerk auf Blogs gelegt werden, auf denen sich zwielichte Gestalten in den Kommentaren herumtreiben (so wie ich)?
Du magst es paranoid nennen, ich nenne es gesundes Mißtrauen in Kombination mit technischem Spieltrieb.
schade, dass die artikellinks auf der ssl seite dann immernoch auf http:// verlinken.
Es wird leider wie @30 schreibt nicht verschluesselt,
derzeit wird nur signiert, man kann also sicher sein das der richtige inhalt angezeigt wird, aber jeder kann mitlesen.
MfG Freddy
@46 Eh, wie, wo, was? Natürlich ist hier verschlüsselt, wie kommst Du bitte auf sowas?
UPS, sry mein Fehler, ganz am Anfang war das mal so, hab heute leider erst den Text geschrieben, alle Verschluesselungen sind jetzt an.
MfG Freddy
Ja, am Anfang gabs ein Problem mit dem CSS – das wurde unverschlüsselt eingebunden. Der HTTP-Traffic selbst war aber auch damals schon verschlüsselt, die Warnung besagte nur, dass eben http-Objekte mit eingebunden wurden. Ist bei WordPress relativ aufwendig, das überall gerade zu ziehen, leider.
Irgendwie wäre es schon sinnvoller gewesen, sich das zu melden, wenn es bereits funktioniert und scharf geschaltet ist. Bis jetzt ist es ja immer noch so, dass alle Verweise absolut sind und zu unverschlüsseltem HTTP führen. Im Prinzip ist das wieder ein Paradebeispiel für vorgegaukelte Sicherheit und damit kontraproduktiv. Dabei ist sichere Umgang mit SSL an sich schon recht komplex. Spätestens bei der ersten weggeklickten Warnung ist es mit der Sicherheit in der Regel vorbei und wenn die Benutzer erst einmal daran gewöhnt sind, wildfremde Zertikate einfach so zu akzeptieren, kann man es irgendwie auch gleich bleiben lassen.
Selbst die "Experten" bei Banken wollen meist nicht verstehen, dass ohne Vergleich des Schlüsselfingerprints, der Blick aufs Schloßsymbol trügerisch sein kann. In Zeiten von Trojanern, leicht knackbaren (Billig-)Routern und kommerziellen Hackern ist eine Man-In-The-Middle-Attack alles andere als unrealistisch.
Selbst bei SSH ist die Kompetenz der verantwortlichen "Experten" oft mangelhaft. Wenn der Schlüsselfingerprint nicht im Voraus bekannt ist, kann und darf man sich nicht einloggen. Natürlich tut es trotzdem jeder. Als BOFH würde ich konsequent jeden Nutzer permanent aussperren, der nicht nach dem Fingerprint fragt, aber oft genug haben wie gesagt die Operators noch weniger Ahnung als die Nutzer.