Falk Dübbert ...

Ich bin immer noch kein Let’s encrypt-Fan

| Keine Kommentare

Ich habe echt versucht mich zu öffnen, aber in meinen Augen ist Let’s encrypt weiterhin genau das, was ich Startup-Webbuden-Hipster-Server-Side-Python-Kackscheisse nenne und je mehr ich mich mit dem Zeug beschäftige, desto weniger verstehe ich, dass sich irgendwer darauf einlässt. 

 
Damit das nicht ein Old-Man-yells-at-cloud-Rant wird, mache ich mir mal die Mühe und schreibe meine Punkte mal zusammen. 
 
  1. Default für den ACME-Client ist „root“
  2. Selbst wenn man einen non-root ACME-Client findet, muss man seinen Webserverkonfigurieren, für die Challenge beliebige von diesem Client erzeugte Dateien mit dem generischen content-type „txt/plain“ auszuliefern. Alternativ soll man ihm die Credentials für den DNS-Server geben Sie (SRSLY?)
  3. Die meisten ACME-Skripte sind perl- oder python-skripte, also nicht wirklich signierbar, damit auch nicht signiert und nicht gegen ihre Zertifikate überprüfbar
 
Dann ist da noch die The-winner-takes-it-all-Problematik oder die Kehrseite von Pareto-optimalen Prozessen. Es gibt keine freien anderen Zertifikate  mehr neben LE. Das bedeutet: neben 100% Marktanteil bei Phishing-Sites hat LE auch einen riesigen Share bei den „kleinen“ Sites. Das bedeutet, um eine Karte des (sicheren) Internets zu erstellen, dessen Hosts noch aktiv sind, muss man nur die Transparency-Logs von LE beobachten. 
 
Es ist ein wenig das gebrochene Versprechen. Denn versprochen wurde eine „freie CA“ bekommen haben wir einen Cloud-Dienst. 
 
Kurz: Sobald der neue Server Gestalt annimmt, werde ich ein *-Zertifikat von einem der Anbieter einpflegen, die den Angriffen der Mozilla-Corp widerstehen konnten. 

Keine Kommentare

    Verfasse einen Kommentar

    Pflichtfelder sind markiert *.
    Textile Hilfe

    *