Aktion #60

SSL einrichten

Added by Nicolai Parlog about 5 years ago. Updated over 4 years ago.

Status:GeschlossenStart date:06/11/2014
Priority:NormalDue date:02/12/2015
Assignee:Nicolai Parlog% Done:

100%

Category:Infrastruktur
Target version:Infrastruktur fertigstellen
Assoziiert mit:Nicolai Parlog

Description

Siehe SSL-Probleme. Prinzipiell bieten sowohl Alfahosting als auch Saas Secure SSL-Verschlüsselung an. Nach umfassender Recherche und Abwägung der Kosten (siehe unten) wurde beschlossen, nur orga.do-foss.de zu sichern.

Alfahosting / Blog

Eine Recherche in den Alfahosting FAQ zu dem Thema hat folgende Situation ergeben:

Je Tarif ist nur ein SSL-Zertifikat buchbar. Das günstige Power-SSL-Zertifikat (1,29 EUR / Monat) gilt allerdings nur für eine (Sub-)Domain. Um Redmine und Blog unter do-foss.de zu betreiben, benötigen wir mindestens zwei (Sub-)Domains, die aktuelle Strukturierung der Domains verwendet sogar drei.
Deswegen benötigen wir mindestens ein Multi-SSL-Zertifikat, das 6,99 EUR / Monat kostet.

Dazu kommen noch Kosten für eine statische IP (0,99 EUR / Monat).

Ein selbstsigniertes oder anderweitig erworbenes Zertifikat kann ebenfalls verwendet werden. Bei Alfahosting fällt neben einer Einrichtungsgebühr von 15 EUR weiterhin die Gebühr für die IP-Adresse an.

SaaS Secure / Redmine

Unser Redmine-Provoider SaaS Secure nimmt bereits https-Verbindungen an. Dabei wird jedes Zertifikat zwangsläufig sowohl für Verbindungen zu orga.do-foss.de als auch zur kanonischen Adresse saas1402qx.saas-secure.com verwendet. Die SaaS-URL wird aktuell mit dem Zertifikat von SaaS Secure gesichert, was korrekterweise keine Warnung hervor ruft. Bei Verbindungen mit orga.do-foss.de erhält der Nutzer allerdings eine Warnung, weil die Domain nicht zum Zertifikat passt.

SaaS Secure bietet an, Zertifikate für unsere Domain zu erstellen, aber das ist verhältnismäßig teuer. Die Einrichtung eines selbstsignierten oder anderweitig erworbenen Zertifikats ist hingegen kostenlos; der Einsatz kostet monatlich 0,19 EUR.

Ich habe bei SaaS Secure eine Support-Anfrage mit folgenden Fragen gestellt:
  1. fangen die Links in den Benachrichtigungsmails mit https an?
  2. funktioniert SSL zusammen mit dem Alias? (Also wäre der Redmine-Server dann unter https://orga.do-foss.de erreichbar ohne dass die Browser sich beschweren? Z.B. wegen einer URL, die nicht zum Zertifikat passt.)
  3. gibt es sonst etwas zu beachten?

Antwort:

Um in den Mails https Links zu bekommen, muss in den den Redmine Einstellungen https aktiviert sein.
SSL funktioniert auch mit einem Alias. Passt allerding der Alias nicht zum Domainnamen des Zertifikats, gibt es eine Warnung im Browser.
Wenn Sie für orga.do-foss.de ein Zertikat bestellen senden Sie uns bitte alle erhalten Informationen wie Key, Zertifikat und Root Zert. zu damit wir die Einrichtung vornehmen können.

Interpretation:
  1. die Redmine-Einstellung ist kein Problem
  2. die Alias-Sache klingt so, als müssten wir das Zertifikat bei Alfahosting für die dort verwaltete Domain do-foss.de erstellen lassen
  3. wie ist es sicherheitstechnisch zu bewerten, dass wir das gesamte Zertifikat rausrücken müssen?

Mögliche Szenarien

SSL für alle Domains

Für eine komplette Sicherung von do-foss.de fallen folgende Kosten an:

  • Multi-SSL-Zertifikat: 6,99 EUR / Monat
  • eine statische IP bei Alfahosting: 0,99 EUR / Monat
  • HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
  • zusammen: ~ 98 EUR / Jahr

SSL für den Blog

Da der Blog und Piwik unter zwei verschiedenen Subdomains laufen und beide verschlüsselt werden müssen, muss das gleiche (teure) Zertifikat gewählt werden:

  • Multi-SSL-Zertifikat: 6,99 EUR / Monat
  • eine statische IP bei Alfahosting: 0,99 EUR / Monat
  • zusammen: ~ 96 EUR / Jahr

SSL für Redmine

Ausschließlich Redmine zu sichern wäre mit einem günstigen Zertifikat, z.B. von SSL-Trust möglich:

  • SSL-Zertifikat: ~ 2,90 EUR / Monat
  • HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
  • zusammen: ~ 37 EUR / Jahr

Selbstsignierte Zertifikate

Selbstsignierte Zertifikate erzeugen grundsätzlich eine Warnung. Deswegen ist nicht davon auszugehen, dass sie umfangreich genutzt werden würden. Ein Einsatz im Blog ist dennoch denkbar, um überhaupt eine SSL-Verbindung zu ermöglichen. Im Redmine wiederum wäre sie kontraproduktiv, da dann weder über orga.do-foss.de noch über saas1402qx.saas-secure.com warnungsfrei mit Redmine kommuniziert werden könnte.

Vorhaben

Wegen der Kosten verzichten wir (schweren Herzens) zunächst auf die Verwendung eines SSL-Zertifikats für *.do-foss.de.

Stattdessen sichern wir nur die Redmine-Instanz wie oben beschrieben.

Umsetzung

Bei SSL-Trust wurde ein Zertifikat erstanden. Für Details zur aktuellen Situation siehe den Wiki-Artikel SSL.

History

#1 Updated by Nicolai Parlog about 5 years ago

  • Description updated (diff)
  • % Done changed from 10 to 20

Antwort von SaaS eingetragen - jetzt sind wir dran zu entscheiden, ob wir das wollen. Siehe dazu die Punkte 2. und 3. der Interpretation.

#2 Updated by Till Schäfer about 5 years ago

prinzipiell sollten wir auf verschlüsselte Kommunikation (https) setzten (alleine schon deshalb, damit keine Geheimdienst-Absaug-Einrichtung auf Massenbasis funktioniert). Die Kosten sind für mich OK. Das wir das Zertifikat unseren Hostern geben müssen, bleibt wohl nicht aus, solange man keinen eigenen Server bei uns zu Hause stehen haben.

#3 Updated by Anonymous about 5 years ago

Ich stimme Till zu. Die Kosten sind dabei leider unumgänglich.

#4 Updated by Nicolai Parlog about 5 years ago

  • Subject changed from Einsatz von SSL entscheiden to SSL einrichten
  • Description updated (diff)
  • % Done changed from 20 to 40

Beim Telefonat am 29.06.2014 wurde beschlossen, dass SSL unter diesen Bedingungen eingesetzt werden soll. Wenn eine Recherche in den Alfahosting FAQ zu dem Thema keine Überraschungen zu Tage fördert (insbesondere, was das Übertragen des Zertifikats an SaaS Secure angeht), soll ein Zertifikat bestellt werden.

#5 Updated by Nicolai Parlog about 5 years ago

  • Description updated (diff)
  • % Done changed from 40 to 50

Ergebnisse der Recherche bei Alfahosting eingetragen.

@All: Wie viel Geld ist uns die Verschlüsselung wert?

#6 Updated by Anonymous about 5 years ago

Jede Geldausgabe und Preiserhöhung schmerzen. Aber ich sehe nicht wie wir dieser Tage als gefühltes "Vorzeigeprojekt" um eine Verschlüsselung herumkämen. Ich würde die Kosten daher mittragen.

#7 Updated by Denis Kurz about 5 years ago

Ich bin auf jeden Fall dafür.

Wäre ich auch, wenn das Arbeiten mit dem Redmine nicht so furchtbar umständlich wäre. Im Moment klicke ich nämlich immer auf die Links in den Mails, nur um festzustellen, dass ich mich über orga.do-foss.de sowieso nicht einloggen kann...

#8 Updated by Till Schäfer about 5 years ago

dafür

#9 Updated by Nicolai Parlog about 5 years ago

  • Description updated (diff)
  • % Done changed from 50 to 60

Habe die Abwägung und unseren Beschluss in der Beschreibung festgehalten und werde mich demnächst um die Umsetzung kümmern.

#10 Updated by Nicolai Parlog almost 5 years ago

  • Description updated (diff)
  • % Done changed from 60 to 70

Jüngste Recherchen und Beschluss vom Treffen am 06.09.2014 eingetragen.

#11 Updated by Nicolai Parlog almost 5 years ago

  • Description updated (diff)
  • % Done changed from 70 to 80

Ergebnis der Nachfrage bei Saas Secure eingetragen (siehe den Abschnitt Redmine ziemlich weit unten). Ich schlage vor, das so zu machen.

#12 Updated by Till Schäfer almost 5 years ago

klingt für mich auch nach einer guten Lösung (einfaches Zertifikat für orga.do-foss.de / 1,50€ pro Monat). Dadurch werden etwaige Workarounds unnötig und die Verschlüsselung an wichtigen Stellen lässt sich auch in der Praxis einfach anwenden.

=> Ich votiere dafür.

#13 Updated by Denis Kurz over 4 years ago

  • Assoziiert mit Nicolai Parlog added

#14 Updated by Nicolai Parlog over 4 years ago

  • Description updated (diff)
  • Due date set to 01/12/2015
  • Status changed from In Bearbeitung to Erledigt
  • % Done changed from 80 to 100

Erledigt. Wenn keine Rückmeldungen kommen, schließe ich das Ticket demnächst.

#15 Updated by Nicolai Parlog over 4 years ago

  • Description updated (diff)

Korrekturen...

#16 Updated by Nicolai Parlog over 4 years ago

  • Due date changed from 01/12/2015 to 02/12/2015
  • Status changed from Erledigt to Geschlossen

Das 30-tägige Probezertifikat wurde durch ein einjähriges "echtes" abgelöst. Die Validationsverfahren und unsere Probleme damit sind im Wikiartikel festgehalten.

Also available in: Atom PDF

Add picture from clipboard (Maximum size: 300 MB)