ubuntuusers.de

[Update] Ubuntuusers goes Lets' Encrypt

ubuntuusers.png

Unbemerkt wurde in den vergangenen Tagen das SSL Zertifikat von ubuntuusers.de durch ein neues auf Basis von Lets' Encrypt ersetzt. Doch weitere Maßnahmen werden auch 2016 erfolgen, um die Sicherheit des Portals weiterhin zu verbessern.

Seit Mai 2015 unterstützt ubuntuusers.de das Übertragungsprotokoll HTTPS. Das hierfür benötigte SSL-Zertifikat wurde von StartSSL ausgestellt und hätte im Januar um weitere 2 Jahre verlängert werden müssen. Doch am Markt der Certificate Authorities (kurz: CA) hat sich einiges getan: Lets' Encrypt 🇬🇧, eine maßgeblich von der EFF und Mozilla ins Leben gerufene CA, bietet kostenlose und durch Browser als vertrauenswürdig eingestufte Zertifikate an.

Der Wechsel auf eine neue CA ist aber nur der erste Schritt. Gleichzeitig haben wir uns von der alten SHA-1 Signatur getrennt und wollen Anfang des Jahres HTTPS als Standard etablieren. Dazu wird eine permanente Weiterleitung von HTTP auf HTTPS eingerichtet sowie der HSTS-Header gesetzt werden. Für Nutzer bedeutet dies, dass jeder Browser automatisch auf die verschlüsselte Verbindung umgeleitet wird und, sofern der Browser HSTS unterstützt, automatisch HTTPS nutzt.

Gegenwärtig verwenden wir für eine sichere SSL/TLS Verbindung Mozillas sogenanntes Intermediate Profil 🇬🇧. Dies erlaubt es auch für ältere Systeme – z.B. Android Geräte ab 2.3 – erreichbar zu sein. Aktuell wird darüber diskutiert, diesen Support für alte Geräte 2017 einzustellen. Eine Diskussion, zu welcher wir euch gerne einladen möchten, gibt es im Forum. Zukünftig soll für ubuntuusers.de das Modern Profil 🇬🇧 verwendet werden. Hierbei handelt es sich um eine Servereinstellungen des TLS-Protokolls um ein besonders hohes Sicherheitsniveau zu erreichen. Ein Konsequenz daraus wäre allerdings, dass das Portal von ubuntuusers.de über einige alte Browser und Betriebssysteme nicht mehr benutzt werden kann.

Update: HSTS aktiviert

Seit heute wird der HSTS-Header versendet. Zudem erfolgt beim ersten Besuch von ubuntuusers.de eine Umleitung auf die https-URL. Damit ist die Website nicht mehr ohne Transportverschlüsselung zu erreichen.