Sehr schöner Beitrag.

Eben habe ich nach über Sicherheit nachgedacht: Ich saß nu grad auf Toilette und dachte, dass ein fieser Kollege mit einem Vierkant bewaffnet das Licht ausmachen und im Dunkeln das Toilettenpapier klauen könnte. Dann sitze ich im wörtlichen Sinne ganz schon in der S... .
Aber des macht ja keiner. Es reicht, wenn die Tür letzlich zu ist.

Man benötigt für Privatsphäre keine extreme Sicherheit.
Ich habe auf meinem Server zwar ein Zertifikat, aber bei einer https-Seite moppert Firefox, dass das Zertifikat nicht vertrauenswürdig ist.
Deswegen hatte ich auch die Idee auf meinen Server ein freies Zertifikat von Let's Encrypt zu installieren.
Hast Du ne Idee, wie ich das Problem anders lösen kann?
Die Seiten, die ich eigentlich schützen will, ist der Zugriff auf meine owncloud.

Der Schutz der Owncloud ist unbedingt sinnvoll. Aber ein selbstsigniertes Zertifikat könnte ausreichen, wenn man sich nicht weiter daran stört, dass der Browser sagt, dass das unsicher sei, weil es nicht von einer CA signiert wurde, die irgendwann mal Geld dafür gelöhnt hat, vom Firefox als vertrauenswürdig eingetragen zu werden.

TLS ist sowieso rettungslos kaputt. Bei mehreren CAs gab es »Lecks«. Und wenn das noch nicht gruselt, dann wirf mal unter Erweitert->Zertifikate->Zertifikate anzeigen einen Blick drauf, wem da alles vertraut wird. Jede dieser Unternehmungen und Institutionen kann ein Zertifikat machen, mit dem man sich als jede mögliche Website ausgeben kann und einen Man-in-the-Middle-Angriff fahren könnte. Zum Beispiel bei Google Mail. Oder bei einem Diaspora-Pod. Oder beim Online-Banking. Oder sonstwo. Das ganze Konzept mit der zentralen Organisation über eine Gruppe von CAs, denen von Browsern und Betrübssystemen »blind« vertraut wird, zusammen mit der drangehängten »einfachen« Sicherheit ist fraktal im Eimer – fraktal in dem Sinn, dass es egal ist, welchen Teilbereich man sich davon näher anschaut. Es muss eigentlich einfach nur weg und durch etwas anderes, weniger leicht für Staaten, Unternehmen und die Organisierte Kriminalität angreifbares ersetzt werden. Ich vertraue der Deutschen Telekom nicht. Und schon gar nicht einigen Bundesbehörden der BRD. Dieses Schlösschen im Browser ist ganz gefährliches Schlangenöl. Leider ist es ein gutes Geschäft, wenn man sich anschaut, was für Mondpreise die CAs dafür nehmen, dass sie ein Perlskript starten…

Ach! So viele Worte und keine Lösung…

Schade.

Dennoch ist mir erst durch deinen Post kkar geworden, dass Mozilla mir auf meine Klotür hinter de4 ich mein privates Geschäft verrichte sxhreibt: Kein vertrauenswürdiger Inhalt. Ich suche noch mal, wo ich ein Zertifikat erhaschen kann. Ich will nämlich meinen Freunden mal ein Linknschicken, dass die nicht direkt denken ich mach irgend nen Schmu.

@Frunu:

startssl.com rückt für solche Zwecke private Zertifikate raus. - Das funktioniert dementsprechend auch für Leute, bei denen Du den Rechner nicht kontrollierst.

Alternativ - das ist aber ein ziemlicher Aufwand, wenn man es "richtig"¹ machen will - kann man natürlich selbst eine solche CA bauen, deren Zertifikat man in den entsprechenden Cert-Stores von Android, Firefox, Seamonkey, Konqueror, Opera, Windows, Linux, ... hinterlegt. Damit ist man das "Problem", lokal einer prinzipiell nicht vertrauenswürdigen Entität vertrauen zu müssen, los - im Tausch dagegen, dass man diese Zertifikate alle Jubeljahre auf allen betroffenen Plattformen erneut wechseln muß.

¹openssl hat nicht nur lauter TLS-Sicherheitslücken, man kann damit auch Keys und Zertifikate erzeugen. Es "richtig" zu machen, heißt aber mindestens eine Datenbank dazuzukleistern, die Buch über die vergebenen Seriennummern führt, da openssl standardmäßig konsekutiv hochzählend vergibt. Von einem "sicheren" Key-Management, das an sich eine Offline-Maschine mit manuellem Datenaustausch auf sicheren (muhahaha) Medien verlangt, mag ich lieber gar nicht reden.

---

@Elias:

Leider muß ich Dir (und fefe) in allen Punkten Recht geben. Zur Mozilla-Foundation bleibt mir noch hinzuzufügen, daß die Browser-Produkte aus dem Hause Mozilla die Unart entwickelt haben, kein unverschlüsseltes HTTP mehr zuzulassen, sobald sie mit einem DNS-Namen/Host auch nur ein einziges Mal über HTTPS kommuniziert haben, unabhängig davon, daß die URL über HTTPS möglicherweise gar nicht zu Verfügung steht.

Nachdem Mozilla jüngst angekündigt hatte, Thunderbird auf Eis zu legen, brauchen wir hier, denke ich, keine Sprünge mehr erwarten.

Sehr traurig, dem Niedergang dieser einstmals guten Produkte beizuwohnen.

@Cocker68:

Das müsste dann jeden Browser betreffen und das tut es nicht. Davon abgesehen, daß betroffene Sites ebenfalls unter meiner Kontrolle stehen und HSTS definitiv nicht verwenden, bzw. keinen HSTS-Header senden.

Insofern muß ich davon ausgehen, daß die Mozilla-artigen an dieser Stelle versuchen, schlauer zu sein, als ihr Benutzer. Und sowas kann ich auf den Tod nicht leiden. Wenn ich sage, daß da HTTP zu sprechen ist, dann hat sich die Software daran zu halten. Wenn sie das nicht tut, ist sie kaputt.

Nein, mir braucht niemand den Mozilla-Bugtracker dafür zu empfehlen, das habe ich schon bei anderen Dingen versucht und ich werde es nicht nochmal versuchen.

Nein, mir braucht niemand den Mozilla-Bugtracker dafür zu empfehlen, das habe ich schon bei anderen Dingen versucht und ich werde es nicht nochmal versuchen

Ein mir wohlbekannter Schmerz!

Nein, mir braucht niemand den Mozilla-Bugtracker dafür zu empfehlen, das habe ich schon bei anderen Dingen versucht und ich werde es nicht nochmal versuchen

Ein mir wohlbekannter Schmerz!

Und da das vermutlich eine Designentscheidung war, diesen Mist umzusetzen, wird ein Bugreport eh nach drei Minuten als WONTFIX wieder rausfliegen. Die Mühe mache ich mir nicht.