HTTP? HTTPS? Warnung? INFO hier!
/dev/lol
TL;DR
Unsere Webseite ist nur über HTTPS erreichbar. Allfällige Terrorwarnungen deines Webbrowsers bedeuten nicht, dass die Verbindung unsicher ist, sondern dass Du dass letsencrypt Root-Zertifikat nicht installiert hast.
Weitere Informationen zu letsencrypt findest du auf der Webseite des Projekts
/dev/lol und SSL/TLS
Nicht nur unsere Webseite, sondern auch andere Dienste wie Jabber, werden bei /dev/lol nur verschlüsselt angeboten. Nachdem die verfügbare Rechenleistung und Bandbreite groß genug ist, besteht einfach kein Grund Daten unverschlüsselt zu übertragen.
Bringt das überhaupt was?
Nachdem das Projekt Bullrun der NSA publik wurde, stellt sich
natürlich die Frage, ob es überhaupt noch sinnvoll ist zu verschlüsseln. Wie
Bruce Schneier erklärt besteht aber keine Grund, Kryptographie
an sich als obsolet zu bezeichnen. Jeder Betreiber (auch DU falls du eine eigene
Webseite, einen eigenen Server oder auch nur einen eigenen WLAN-Accesspoint
betreibst) sollte seine Installationen auf allfällige Sicherheitsprobleme mit
den eingesetzten Protokollen überprüfen.
Da gibt es einige davon, der englischsprachige Wikipedia Artikel zu
TLS enthält eine Übersicht bekannter Schwachstellen und Angriffe. Die
EFF hat sich 2010 das SSL Deployment und Zertifizierungen angesehen und
dokumentiert, wie schlimm es mit dem Einsatz von SSL
wirklich ist...
Tipps zum erfolgreichen Einsatz von SSL/TLS finden sich in den SSL/TLS Deployment Best Practices von ssllabs. Dort kann man auch die Qualität seines SSL Server Deployments testen.
Ein Projekt, um allgemeine Richtlinien zum erfolgreichen Einsatz von Kryptografie zu erstellen, ist bettercrypto.