Let's Encrypt SSL Verschlüsselung

  • Hallo,


    im Interesse aller Forenbenutzer empfehle ich das derzeit von Browsern als "nicht vertrauenswürdig" eingestufte SSL Zertifikat für den https://astro-foren.de Aufruf des Forums durch das kostenlos von der Let's Encrypt Community bereitgestellte SSL Zeritifkat zu ersetzen. Dieses wird von allen aktuellen Browsern als Vertrauenswürdig eingestuft und daher erscheint bei diesem Zertifikat auch keine Warnmeldung mehr im Browser.


    Laut https://www.webhosting-franken…/lets-encrypt-zertifikat/ wird das Let's Encrypt Zertifikat vom Hoster unterstützt bzw. angeboten, und sollte somit ohne großen Aufwand bereitstellbar sein.


    Zudem empfehle ich anschließend im Forum die Option "SSL Verschlüsselte Übertragung (https) erzwingen" zu aktivieren, damit man sich später nicht mehr ohne verschlüsselte Übermittlung vom Browser des Clienten zum Webserver einloggen kann. Dies verhindert das Bot-Netzwerke die via http übertragenen unverschlüsselten Zugangsdaten wie eMail und Passwort im Klartext ausgespäht und missbraucht werden können.


    Viele Benutzer verwenden aus Bequemlichkeit immer die gleiche eMail und das gleiche Passwort für andere Plattformen wie zum Beispiel für eBay, Amazon und PayPal.

  • Hallo,


    Wer einen Domain-Check mit Whois durchführt, der kommt unweigerlich auf den wirklichen Domain-Besitzer
    und muß mich nicht kontaktieren. Insofern fasse ich obigen Beitrag als "Fake-News" auf. Sie haben immer unser
    Bestes im Sinn - unser Geld.

  • Hmpf


    Nein, es sind keine Fake News, ich bin lediglich um die Datensicherheit der Forenbenutzer besorgt. Zudem habe ich nirgendwo etwas von Dienstleistungen oder ähnlichen erwähnt. Lediglich habe ich darauf hingewiesen, das Das Forum, welches vermutlich bei webhosting-franken.de liegt das Let's Encrypt Zertifikat kostenlos anbietet. Dies kann man in der Regel mit wenigen Mausklicks selbst erstellen und einbinden. Von daher ist meine Hilfe gar nicht von Nöten.


    Meine Information diesbezüglich habe ich von der Regulierungsbehörde https://www.denic.de , unter der man Anhand des Zonenverwalters und der Nameservers in den meisten Fällen ableiten kann wo das Forum gehostet wird.


    Einen Selbsttest kann man zudem ausführen in dem man das Forum mal statt mit http://astro-foren.de mit https://astro-foren.de aufruft und sich die Details zum verwendeten SSL Zertifikates anschaut.


    Ich kann auch mit dem selbstsignierten SSL Zertifikat des Forums leben, allerdings habe ich die Erfahrung gemacht das viele Benutzer von der Warnmeldung des Browsers von selbstsignierten nicht validierten Zertifikaten abgeschreckt werden.


    Und in vielen Köpfen ist das Bewustsein der eigenen Datensicherheit noch nicht so stark ausgeprägt. Meist wird sich erst mit dem Thema beschäftigt, wenn einem ein eigener Schaden entstanden ist. In dem Sinne fände ich es schon wichtig das der Forenbetreiber alles erdenkliche dafür tut die persönlichen Daten der Benutzer zu schützen. In diesem Fall geht es um die Übermittlung der Zugangsdaten bei Anmeldung im Forum, da dies aktuell unverschlüsslt stattfindet sofern man nicht bewusst über https://astro-foren.de das Forum aufruft.


    Das Schöne daran ist, das es mit wenigen Schritten ohne weitere Kosten umzusetzen geht. Es handelt sich bei Let's Encrypt um keine kommerzielle Firma, sondern um eine gemeinnützige Community.

  • Danke, hab ich nun auch getan. Hab auch entdeckt, das ich bei meiner Denic Abfrage fälschlicher astro-forum.de statt astro-foren.de abgefragt hatte. Das bedeutet, das die Vermutung für den Hoster bei dem das Forum liegt falsch war.

  • Hallo,


    also ich weiß nicht viel über die technischen Zusammenhänge, aber ich habe in meinem Firefox Browser das Add-on "https everywhere" installiert.


    Das sagt mir, daß das Zertifikat "selbst-signiert" ist, also keiner von den sogenannten "trusted institutions" das Zertifikat geprüft hat.


    Ist das schlimm ? ... Keine Ahnung, aber ich bekomme dieselbe Meldung oft auch bei einem großen (dem größten ?) deutschen Astro-Händler.


    ... ... ?


    Gruß

    Rudi
    ----
    "Das Volk hat das Vertrauen der Regierung verscherzt. Wäre es da nicht doch einfacher, die Regierung löste das Volk auf und wählte ein anderes?"
    (Berthold Brecht)

  • Das ist genau das was ich meine. Es ist prinzipiell möglich sich über eine verschlüsselte Verbindung anzumelden, aber nur mit Warnmeldung des Browsers und es muss bewusst geschehen da es kein Standard ist.


    Seit Dezember 2015 ist es aber möglich kostenlos beliebig viele vertrauenswürdige SSL Zertifikate von der Let's Encrypt zu erhalten. Die meisten Hoster haben dies auch übernommen und den Kunden per Mausklick zur Verfügung gestellt. Die wenigsten Benutzer dieses Forums wissen das man sich auch per https anmelden kann da http vorgegeben ist. Und die wenigsten hab eine Addon im Browser installiert um die Warnung zu umgehen.

  • Also ich bin absolut kein Experte !


    Aber ich habe es gerade noch mal probiert.


    Wenn ich (mit dem Add-on) alle eingehenden unverschlüsselten Anfragen blockiere, komme ich in keines der deutschen Astronomie-Foren und nur bei ganz wenigen Händlern durch !


    So what ?


    Es gibt immer neue Entwicklungen, darunter solche zu - möglicherweise - mehr Sicherheit im Internet.


    Im konkreten Fall wäre aber die - in diesem Fall bestehende - konkrete Sicherheislücke (im Verhältnis zu anderen Foren) noch zu beweisen, da sehr viele Server den neuen Standard offenbar noch nicht haben.


    Es istmir schon klar, daß die Server mit Zahlungsverkehr sichere = "trusted" Verbindungen brauchen.


    Auch für die Privatsphäre ist Verschlüsselung sicher sehr wichtig.


    Aber, nochmals, das ist - wahrscheinlich - eine generelle Zukunftstendenz und es macht keinen Sinn hier jetzt Panik zu verbreiten !



    ... Wie gesagt: Just my two cents (bin kein Experte).

    Rudi
    ----
    "Das Volk hat das Vertrauen der Regierung verscherzt. Wäre es da nicht doch einfacher, die Regierung löste das Volk auf und wählte ein anderes?"
    (Berthold Brecht)

  • Wenn ich (mit dem Add-on) alle eingehenden unverschlüsselten Anfragen blockiere, komme ich in keines der deutschen Astronomie-Foren und nur bei ganz wenigen Händlern durch !

    Was du beschreibst ist ja normal, wenn du die Seite als https aufrufst und sagst es sollen über https keine eingebundenen unverschlüsselten Inhalte angezeigt werden.



    Im konkreten Fall wäre aber die - in diesem Fall bestehende - konkrete Sicherheislücke (im Verhältnis zu anderen Foren) noch zu beweisen, da sehr viele Server den neuen Standard offenbar noch nicht haben.

    Such mal bei Google dieses Astro Forum. Du wirst einen http statt einem https Link erhalten da das Forum Standard gemäß auf http statt erzwungenem https Aufruf eingestellt ist.


    Ich rede auch nicht von einer Sicherheitslücke, sondern ich rede von Datensicherheit im Sinne von Daten schützen! Um genau zu sein, persönliche Daten vor dem Ausspähen von Bot-Netzwerken bei der Übermittlung vom Browser des Benutzers zum Webserver.


    Findet eine Anmeldung via http Übertragung ohne SSL Verschlüsselung (https) statt, dann werden die Daten vom Browser des Benutzers zum Webserver unverschlüsselt und im Klartext für jeden lesbar übertragen. Und das, ist alles andere als Sicher. Genau das, ist auch ein Grund warum so viele E-Mail und Benutzer Konten gekapert werden. Das ganze kann man ganz leicht im eigenen Netzwerk ausprobieren.


    Installiere dir Wireshark und scanne deinen Netzwerkverkehr. Dann besuch während Wireshark läuft das Forum hier und melde dich über http an. Dann wirst du im Verlaufsprotokoll von Wireshark deine Anmeldedaten im Klartext wiederfinden und sehen können.


    Google Suche mit http Link


    astroforen_ssl_01.jpg


    Webseiten Details von Google Chrome bei klick auf den Google Link


    astroforen_ssl_02.jpg


    Webseiten Details beim Aufruf über https mit dem selbst signiertem SSL Zertifikat


    astroforen_ssl_04.jpg
    astroforen_ssl_03.jpg


    astroforen_ssl_05.jpg


    Hier der SSL Aufruf eines meiner Foren mit der Let's Encrypt Verschlüsselung


    4noobs_ssl.jpg





    Aber, nochmals, das ist - wahrscheinlich - eine generelle Zukunftstendenz und es macht keinen Sinn hier jetzt Panik zu verbreiten !

    Es ist mittlerweile keine Zukunftstendenz, sondern gelebte Realität. Zudem heißt doch dieser Threed "Board-Vorschläge" und hiermit habe ich einen Vorschlag zur verbesserten Datensicherheit der Benutzerdaten gegeben. Das ist keine Panikmache zudem der Aufwand das ganze umzusetzen minimal ist.

  • Nochmals:


    Das ist eine Diskussion, die man mit dem Domain-Inhaber Christoph Peter, Minden, Alias Saghon, führen muß.
    Da ich meinen eigenen Internet-Auftritt mit http://r2.astro-foren.com/index.php/de/ habe, interessiert es
    mich eigentlich nicht.
    Solange sich Saghon hier nicht dazu äußert, ist es für mich eine luftleere Diskussion. Er unterhält dieses
    Forum, und er ist der Ansprechpartner. Ich bitte deshalb, das zu respektieren.

  • Hallo nochmal lieber Unbekannter,


    also für mich - ich bin (oder war bis vor kurzem) Jurist und interessiere mich seit Jahrzehnten sozusagen hobbymäßig für Datenschutz - ist es für die Privatspähre / datenschutzmäßig viel gefährlicher, ein Konto bei


    - Google,
    - Microsoft
    - Facebook


    oder sonst noch wo bei einem der großen sozialen Foren zu haben, und sich jedesmal dort anzumelden, wenn man in's Net geht, was aber Abermillionen von irregeführten Menschen machen, als das hier.


    Siehe z.B. hier: What-are-the-real-risks-to-having-a-google-account

    Rudi
    ----
    "Das Volk hat das Vertrauen der Regierung verscherzt. Wäre es da nicht doch einfacher, die Regierung löste das Volk auf und wählte ein anderes?"
    (Berthold Brecht)

  • Hallo,


    Normal nennt man sich hier mit dem Vornahmen, und unterzeichnet seine Beiträge damit!


    Wir hatten schon einige Foren hijacker, die hier als Unruhestifter; versteckte Werbung unterbringen wollten, oder mit besonderem Sendungsbewusstsein, hier ihre gerade angelesenen verquerten Weisheiten unterbringen wollten!


    Ich hoffe mal nicht, dass wir Uns hier einen der zweibeinigen Trojaner eingefangen haben, die mit Hacker - Kenntnissen, so wie die sich in anderen Ländern häufig tummeln, mal von Innen versuchen ein paar Foren aufzumischen!


    Es bedarf schon einer besonderen Erklärung, warum man als Astro Interessierter, hier so eine Diskussion lostritt, nur weil der Forenbetreiber sich nicht wie gewünscht geäußert hat!


    Der Forenbetreiber hätte Es verdient, das Ihm die Zeit bleibt, sich bei dem Forum - Hersteller zu dem Problem erkundigen kann, bevor man hier Wirbel macht!



    Gruß Günter

  • Ich muss schon sagen das ich mit so einer Reaktion nicht gerechnet hatte. Ich bin beruflich als Informatiker mit Spezialisierung auf Webtechnologien und Datenbanken unterwegs. Zudem habe ich tiefe Kenntnisse über die Art und Weise wie Daten ausgespäht und missbraucht werden können.


    Es war nie meine Absicht Unruhe zu stiften, Panik zu verbreiten oder sonstiges. Ich habe lediglich einen Verbesserungsvorschlag mit geringem Aufwand der ohne Kosten verbunden ist, aber einen großen Mehrwert für die Datensicherheit der Benutzer dieses Forums eingereicht.


    Von daher verstehe ich diesen Shitstorm einfach nicht. Ich hatte nie vor jemanden ans Bein zu pinkeln oder jemanden zu kritisieren. Ich weiß auch gar nicht wie man sich in dieser Form belästigt fühlen kann. Wir leben in einem Zeitalter wo Trojaner immer intelligenter werden, die Daten Sammelwut immer größer wird und Privatsphären ausgehebelt werden. Da bin ich der Meinung, wenn man mit persönlichen Daten dritter zu tun hat, das diese nach Möglichkeit mit allen gegebenen Mitteln auch geschützt werden sollten.


    Ich habe hier auf einen Mangel der Sicherheit bei der Datenübertragung von persönlichen Daten hingewiesen und einen Lösungsweg aufgezeigt. Ich habe es weder gefordert, noch kommerzialisiert oder sonstiges. Ich habe auf kostenfreie Community Lösungen hingewiesen ohne Hintergedanken.


    Ich werde hiermit auch die Diskussion beenden, da es mir einfach unverständlich ist, wie man derart Angenervt auf einen für die Allgemeinheit nützlichen Verbesserungsvorschlag in der dafür vorgesehenen Kategorie "Board-Vorschläge" so regieren kann.

  • Es ist ein weiteres Beispiel von Tunnelblick, lieber Unbekannter, also der eigenen Unfähigkeit,
    die Reaktion der Mitmenschen aufs eigene Handeln zu erahnen oder richtig einzuschätzen.


    Zuerst kontaktiert der Unbekannte mich per Email und vermutet, ich sei der Foren-Betreiber.
    Daß es eine Whois-Abfrage gibt, die den Domain-Inhaber nennt, weiß der Unbekannte nicht, also
    schließe ich messerscharf, so versiert kann er nicht sein, der Unbekannte. Auch tut er sich mit
    einem Beitrag zur Radio-Astronomie hervor, der Zweifel aufkommen läßt, ob er in diesem Bereich
    fit ist.


    Sollte er aber in einem schmalen Bereich mehr wissen, als wir, so wäre Saghon der richtige
    Ansprechpartner und damit auch ein Hinweis, wie ernsthaft es der Unbekannte meint. Aus seinen
    Beiträgen kann ich das aber nicht erkennen.


    Also komme ich zu einem Eindruck, wie ihn Günther schildert. Ab und zu läuft einem ein Weltverbesserer
    über den Weg, obwohl man ihn gar nicht braucht.

  • Hallo h3rb3rn,



    > Ich muss schon sagen das ich mit so einer Reaktion nicht gerechnet hatte <

    Das hast Du doch selbst hier praktisch eingefordert, so wie Du das Thema hier angegangen bist!


    Das es dauernd neue Gefahren für die Foren gibt ist klar und ein Hinweis darauf auch legitim, aber in angemessener Form und Ton!


    Mit einem Anhang zu deinem Beitrag, in der Form > Ich bin beruflich als Informatiker mit Spezialisierung auf Webtechnologien und Datenbanken unterwegs. Zudem habe ich tiefe Kenntnisse über die Art und Weise wie Daten ausgespäht und missbraucht werden können. <
    Deshalb möchte ich Euch hier aufmerksam machen, dass es völlig freie + kostenlose leicht zu installierende Möglichkeiten gibt, mehr Sicherheit für dieses Forum herzustellen.
    Die ich gerne dem Forenbetreiber hiermit aufzeigen möchte usw....


    Das hätte ein ganz anderes Geschmeckle, als Anonym > im Interesse aller Forenbenutzer empfehle ich das derzeit von Browsern als "nicht vertrauenswürdig" eingestufte SSL Zertifikat ... < Was sich eher wie ein Stirnstupser anfühlt, he wie Rückständig seit Ihr bloß!


    So will doch Keiner angesprochen werden! Auch wenn es sich um einen seriösen Hinnweis handeln mag!




    Gruß Günter

  • Noch zwei Links (für Leute, die kein Google / Microsoft / Firefox oder Facebook Konto haben):



    http://www.google.com/history/optout?nzb=1


    "Signed out search history" muß auf "off" stehen


    (Für die "Cookies" gibt es folgenden Firefox "add-on", der es erlaubt nur Cookies von "genehmen" Seiten zu akzeptieren: https://addons.mozilla.org/en-…-with-buttons/?src=search)



    https://www.youtube.com/feed/history


    (Youtube und Google tauschen Informationen über den Nutzer aus; siehe Hinweise zum Datenschutz bei Google)


    auf "Watch history" klicken, dann "Clear all watch history", danach: "Pause watch history"


    daselbe mit "Search history" machen !

    Rudi
    ----
    "Das Volk hat das Vertrauen der Regierung verscherzt. Wäre es da nicht doch einfacher, die Regierung löste das Volk auf und wählte ein anderes?"
    (Berthold Brecht)

  • Moin Forum,


    War nur kurz mal in Urlaub und hatte keine Lust auf dem Tablet zu tippen. Das Wlan war da auch mal wieder nicht so toll.
    Aber ein spannendes Thema.
    Grundsätzlich ist mehr Übertragungssicherheit durchaus im kommen und auch erwünscht.
    Aber ich werd sicherlich kein fremdes Zertifikat außer eines von meinem Hoster einsetzen. Und das kostet aktuell 2€ pro Monat.
    Ist zwar nicht viel, aber das geb ich gerade nicht aus. Hatte gerade erst einige Module neu gekauft. Falls das wer Sponsorn möchte, nur zu.


    CS
    Chris

  • Hallo Saghon,


    finde ich gut das du das so siehst mit der Übertragungssicherheit.


    Verstehe nur deine Sichtweise gegenüber Let's Encrypt nicht. Das Zertifikat wird schließlich auf deinem eigenen Server erst generiert und nur von der Community signiert. Jeder gängige Browser hat Let's Encrypt als Vertrauenswürde Signierstelle hinterlegt und bisher ist mir kein Skandal bekannt.


    Würde dir empfehlen wenigstens mal nach Let's Encrypt zu googeln. Dann könntest du die Kosten für ein vom Browser akzeptiertes und als vertrauenswürdig eingestuftes Zertifikat sparen und es müsste niemand erst Sponsern.


    https://www.heise.de/security/…pt-im-Umlauf-3758821.html


    Grüße,


    Philipp.

  • Hallo Philipp,


    hast Du auch das Geschäftsmodell von "Let's encrypt" analysiert ?


    Wir leben in einer interessengelenkten Gesellschaft. Eine Firma, die ihre Dienstleistungen für "lau" anbietet, ist innerhalb kürzester Zeit pleite, weil sie viel Arbeit hat / haben wird, ... aber keinerlei Einnahmen hat / haben wird.


    Also was ist das Interesse von "Let's encrypt" so ein - von Anfang an zum Scheitern verurteiltes - "business model" durchzuziehen !


    [Ich denke mal, es geht um Daten (-klau) !]


    Liebe Grüße

    Rudi
    ----
    "Das Volk hat das Vertrauen der Regierung verscherzt. Wäre es da nicht doch einfacher, die Regierung löste das Volk auf und wählte ein anderes?"
    (Berthold Brecht)