Einfach sicher? SSL und Folgen
Zunächst einmal ist es meiner Meinung nach absolut nicht notwendig eine so simple private Seite wie meine hier mit TLS verschlüsselt auszuliefern. Aber ich dachte mir, ich fange einfach mal klein an und arbeite mich dann vor. Allerdings gab es bereits schon hier so viele Schwierigkeiten, dass ich mir gar nicht ausmalen möchte, wie kompliziert es auf anderen Seiten werden kann.
Der erste Schritt war noch relativ leicht. Zunächst benötigte ich ein Zertifikat. Ich habe mich dabei für ein kostenloses StartSSL-Zertifikat entschieden. Natürlich hätte ich auch einfach selbst eines erzeugen können, aber das würde selbstverständlich gleich von allen Webbrowsern als unsicher klassifiziert. Nach der Anmeldung und Authentifizierung bekam ich also die Zertifikate und installierte sie auf dem Server. Dann noch die Konfiguration des Webservers angepasst und das erste Mal auf https://hanig.de gegangen. Dort wurde ich mit der Meldung überrascht, dass das verwendete Zertifikat nicht zum Domainnamen passt. Ein Freund, mit dem ich diesen Server teile, hatte nämlich schon für seine Seiten/Domain ein Zertifikat eingerichtet. Eine kurze Internetrecherche ergab, dass es mittels SNI möglich sein sollte, mehrere Zertifikate parallel installiert zu haben. Also wurde auch dies kurzfristig eingerichtet. Beim zweiten Anlauf wurde also mein Zertifikat erkannt und die Seite als unsicher eingestuft. Was hatte ich jetzt falsch gemacht?
Obwohl die Startseite so minimalistisch gestaltet ist, sind dort externe Inhalte zu finden - nämlich die Bilder der W3C-Validatoren. Nun ist es nicht ganz unmöglich andere Inhalte einzubinden, nur müssen diese eben auch via https verschlüsselt ausgeliefert werden. Dies ist in diesem Fall (bzw. oftmals) aber nicht vorgesehen. Als Notlösung muss man diese Inhalte erst einmal lokal speichern und eben vom eigenen Server laden. Praktischerweise ließ sich die Seite nun nicht mehr mit einem einfachen Klick überprüfen, da der Referrer einer sicheren Verbindung nicht an eine unverschlüsselte Verbindung weitergegeben wird. Also musste ich auch noch die Links anpassen, bevor ich die Seite standardmäßig mit Verschlüsselung ausliefere.
Nach einem halben Tag funktionierte also eine Seite zufriedenstellend. Das Zertifikat ist aber auch für diese Subdomain gültig, schaute ich mir an, was hier noch zu tun wäre. Für die Bildergalerie waren die Anpassungen noch überschaubar und einfach gemacht. Für die Hauptseite allerdings ist es etwas schwieriger. Dabei habe ich drei Baustellen identifiziert:
- Gravatar-Bilder bei den Kommentaren
- Icognito-Captcha
- sonstige Inhalte, die ich in Beiträgen einbinde
Der erste Punkt ist leicht behoben, denn Gravatar bietet die Bilder auch über eine sichere Verbindung an. Beim zweiten Punkt habe ich den Vorteil, dass ich die volle Kontrolle habe. Natürlich wurmt es mich ein bisschen, dass das Konstrukt als unsicher eingestuft wird, weil es auf unterschiedlichen Domains läuft, wobei beide Domains auf dem selben Server liegen. Eine Möglichkeit wäre die Funktion zu duplizieren und noch einmal unter dieser Domain zur Verfügung stellen. Eine noch unschönere Alternative wäre es für diese Bilder Proxy zu spielen und so zu tun als kämen sie von dieser Domain. Und zu guter Letzt könnte ich natürlich so verrückt sein und auch die missingno.de-Domain auf https umstellen. Auf den letzten Punkt kann ich nur Einfluss nehmen, indem ich nur noch auf https-Inhalte verlinke, sofern vorhanden, oder alternativ die Inhalte zunächst einmal lokal speichere. Allerdings ist das nicht so bequem und dass sich der Mehraufwand lohnt, bezweifle ich doch stark. Deswegen bleibt es hier, auch wenn die Seite mit Warnungen via https erreichbar ist, erst einmal unverschlüsselt als Standard.
Wie bereits eingangs erwähnt frage ich mich, wie das jetzt auf komplexeren Seiten funktionieren soll. Zum Beispiel in einem Forum, wo es prinzipiell sinnvoller ist auf verschlüsselte Verbindungen zu setzen, da sich die Benutzer mit Namen und Passwort anmelden, aber wo auch viel mehr Inhalte von den Benutzern selbst kommen.
Ein Jahr später
Zwei Wochen vor Ablauf der Gültigkeit wurde ich per E-Mail informiert, dass die Zertifikate erneuert werden müssen. So weit, so gut. Nach der Anmeldung bei StartSSL wurde ich zunächst von einem neuen Interface überrascht um dann festzustellen, dass es nicht einfach mit einem Renew, neue Zertifikate und gut getan ist. Zwar ist der erste Schritt ein Klick auf "renew", daraufhin müssen aber erst einmal E-Mail und Domain neu verifiziert werden, da diese Verifizierung immer nur 30 Tage gültig ist. Daraufhin kommt man zur Erstellung eines neuen privaten Schlüssels. Genau an diesem Punkt bin ich zunächst stecken geblieben, da ich, nachdem ich den Schlüssel hatte, nicht auf "Submit" geklickt habe (weil ich den anderen Button zum Herunterladen des Schlüssels gewählt habe), sondern verzweifelt nach einer Möglichkeit gesucht die neuen Zertifikate zu laden. Diese gibt es aber eben erst, wenn der private Schlüssel abgeschickt wurde. Nachdem diese "Hürde" genommen war, klappte das Erstellen der neuen Zertifikate relativ problemlos, auch wenn ich der Meinung bin, dass das vor einem Jahr nicht so kompliziert gewesen ist. Nach dem Update der Zertifikate auf dem Webserver ist mir noch eine fehlerhafte Konfiguration aufgefallen, was jetzt auch wieder behoben sein sollte.
Anscheinend gibt es jetzt(?) Zertifikate für bis zu fünf Subdomains. Da komme ich doch fast ins Grübeln, ob ich mir eines für missingno.de hole ...
Ein weiteres Jahr später
Wieder kam pünktlich zwei Wochen vor Ablauf der Zertifikate eine E-Mail, dass ich mich doch um die Erneuerung kümmern solle. Wieder sieht die StartSSL-Webseite ganz anders aus und wieder kämpfe ich mich durch den geänderten Prozess durch. Diesmal auch wieder neue Überraschungen: Erstens, die Zertifikate sind jetzt drei Jahre gültig und zweitens, die ganzen großen Browser haben sie auf die schwarze Liste gesetzt und erachten sie damit als nicht vertrauenswürdig. Meiner Recherche nach hat das mit einem (nicht kommunizierten) Zusammenschluss von StartSSL und WoSign zu tun und der Tatsache, dass WoSign-Zertifikate nach einem anderen Vorfall nicht mehr vertrauenswürdig eingestuft werden.
Damit habe ich jetzt folgende Optionen:
- Ich harre der Dinge aus, hoffe, dass StartSSL bald wieder als vertrauenswürdig eingestuft wird (sie wollen deshalb neue root-Zertifikate ausstellen) und aktualisiere dann noch einmal.
- Ich wechsle gleich den Anbieter und hole mir neue Zertifikate.
- Ich erkläre das Experiment HTTPS für gescheitert und lasse es bleiben.
Im Grunde genommen ist das alles Mist.
2018
Nachdem auch der allerletzte Browser nun die Zertifikate von StartSSL auf die schwarze Liste gesetzt und StartSSL selbst aufgegeben hat, habe ich jetzt ein selbst-signiertes Zertifikat für hanig.de installiert. Alternativen waren mir entweder zu teuer oder zu kompliziert. Auf absehbare Zeit wird das eine Baustelle auf diesen Internetseiten bleiben.
2019
Mit dem Upgrade unseres Servers sind wir auch auf eine aktuelle Debian-Version umgestiegen und haben uns den Certbot gegönnt. Damit sollten nun alle Seiten mit Let's Encrypt-Zertifikaten versorgt sein.