Aktion #60

Updated by Nicolai Parlog almost 5 years ago

Siehe message#40. Prinzipiell bieten sowohl Alfahosting (1,29 EUR / Monat) als auch Saas Secure (0,19 EUR / Monat) SSL-Verschlüsselung an. Nach umfassender Recherche und Abwägung der Kosten (siehe unten) wurde beschlossen, auf ein authentifiziertes Zertifikat Verschlüsselung zu verzichten. Für Details siehe unten im Abschnitt *Vorhaben*. setzen.

{{>toc}}

h3. Recherche

h4. SaaS Secure

Ich habe beim Redmine-Provider SaaS Secure eine Support-Anfrage mit folgenden Fragen gestellt:
# fangen die Links in den Benachrichtigungsmails mit https an?
# funktioniert SSL zusammen mit dem Alias? (Also wäre der Redmine-Server dann unter https://orga.do-foss.de erreichbar ohne dass die Browser sich beschweren? Z.B. wegen einer URL, die nicht zum Zertifikat passt.)
# gibt es sonst etwas zu beachten?

Antwort:
> Um in den Mails https Links zu bekommen, muss in den den Redmine Einstellungen https aktiviert sein.
> SSL funktioniert auch mit einem Alias. Passt allerding der Alias nicht zum Domainnamen des Zertifikats, gibt es eine Warnung im Browser.
> Wenn Sie für orga.do-foss.de ein Zertikat bestellen senden Sie uns bitte alle erhalten Informationen wie Key, Zertifikat und Root Zert. zu damit wir die Einrichtung vornehmen können.

Interpretation:
# die Redmine-Einstellung ist kein Problem
# die Alias-Sache klingt so, als müssten wir das Zertifikat bei Alfahosting für die dort verwaltete Domain _do-foss.de_ erstellen lassen - zu den oben genannten Kosten.
# wie ist es sicherheitstechnisch zu bewerten, dass wir das gesamte Zertifikat rausrücken müssen?

h4. Alfahosting

Eine Recherche in den "Alfahosting FAQ zu dem Thema":http://alfahosting.de/antworten-auf-ihre-fragen/?cid=61 hat folgende Situation ergeben: leider einige Probleme aufgeworfen:

Je Tarif ist nur ein SSL-Zertifikat buchbar. Das günstige Power-SSL-Zertifikat (1,29 Die günstigen Zertifikate für 1,29 EUR / Monat) gilt allerdings Monat gelten nur für genau eine (Sub-)Domain. Um Nur für Redmine und Blog unter do-foss.de zu betreiben, benötigen orga.do-foss.de müssten wir mindestens zwei (Sub-)Domains, die aktuelle [[Domains|Strukturierung also schon einmal eines erwerben. Soll der Domains]] verwendet sogar drei.
Deswegen benötigen
Blog auch ein Zertifikat erhalten, müssten wir mindestens nicht nur ein "Multi-SSL-Zertifikat":http://alfahosting.de/ssl-zertifikate-vergleich2/, das 6,99 EUR / Monat kostet. weiteres kaufen (für blog.do-foss.de) sondern eigentlich noch ein drittes für Piwik (piwik.do-foss.de) - sonst meldet sich der Browser mit dem Hinweis, dass Teile der Verbindung ungesichert sind.

Dazu kommen noch Kosten für eine statische IP (0,99 EUR / Monat) und bei SaaS Secure 0,19 EUR / Monat für den Einsatz.

Ein selbstsigniertes oder anderweitig erworbenes Zertifikat kann ebenfalls verwendet werden. Bei Alfahosting fällt neben einer Einrichtungsgebühr von 15 EUR weiterhin die Gebühr für die IP-Adresse an.

h4. Kostenüberblick Überblick

h5. Redmine

* Multi-SSL-Zertifikat: 6,99 ein Zertifikat: 1,29 EUR / Monat
* eine statische IP bei Alfahosting: 0,99 EUR / Monat
*
HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
* *zusammen: ~ 98 18 EUR / Jahr*

h4. Alternative

Sowohl der
h5. Blog als auch Redmine nehmen bereits https-Verbindungen an. Da diese von den jeweiligen Providern ausgestellt wurden und nicht zu unserer Domain passen, erhält der Nutzer allerdings eine Warnung. Verbindungen zu Redmine unter der kanonischen Adresse https://saas1402qx.saas-secure.com/ unterliegen dieser Einschränkung nicht - hier wird das Zertifikat unseres Providers SaaS Secure verwendet.

h3. Vorhaben

Wegen der Kosten verzichten wir (schweren Herzens) zunächst auf die Verwendung eines authentifizierten SSL-Zertifikats.

SSL-gesicherte Verbindungen sind dennoch möglich, allerdings wird der Nutzer durch seinen Browser vor einer potentiell unsicheren Verbindung gewarnt. Im Blog werden wir keine weiteren Maßnahmen ergreifen. Im Redmine soll geprüft werden, ob die Verwendung eines selbstsignierten Zertifikats für Verbindungen zu https://orga.do-foss.de möglich sind während weiterhin das Zertifikat von SaaS Secure für https://saas1402qx.saas-secure.com/ verwendet wird. So haben wir die Möglichkeit sicherheitsbewussten Nutzern
* zwei Möglichkeiten zur verschlüsselten Kommunikation zu geben. Zertifikate: 2,58 EUR / Monat
* eine statische IP: 0,99 EUR / Monat
* *zusammen: ~ 43 EUR / Jahr*


Damit Erstbesucher nicht durch den Warnhinweis ihres Browsers abgeschreckt werden, werden sowohl Blog als auch Redmine weiterhin mit http-Links verbreitet.

h3. Umsetzung

... Beginnt demnächst...

Back

Add picture from clipboard (Maximum size: 300 MB)