Aktion #60

Updated by Nicolai Parlog over 4 years ago

Siehe message#40. Prinzipiell bieten sowohl Alfahosting als auch Saas Secure SSL-Verschlüsselung an. Nach umfassender Recherche und Abwägung der Kosten (siehe unten) wurde beschlossen, nur _orga.do-foss.de_ auf ein authentifiziertes Zertifikat zu sichern. verzichten. Für Details siehe unten im Abschnitt *Vorhaben*.

{{>toc}}

h3. Alfahosting / Blog

Eine
Recherche in den "Alfahosting FAQ zu dem Thema":http://alfahosting.de/antworten-auf-ihre-fragen/?cid=61 hat folgende Situation ergeben:

Je Tarif ist nur ein SSL-Zertifikat buchbar. Das günstige Power-SSL-Zertifikat (1,29 EUR / Monat) gilt allerdings nur für eine (Sub-)Domain. Um Redmine und Blog unter do-foss.de zu betreiben, benötigen wir mindestens zwei (Sub-)Domains, die aktuelle [[Domains|Strukturierung der Domains]] verwendet sogar drei.
Deswegen benötigen wir mindestens ein "Multi-SSL-Zertifikat":http://alfahosting.de/ssl-zertifikate-vergleich2/, das 6,99 EUR / Monat kostet.

Dazu kommen noch Kosten für eine statische IP (0,99 EUR / Monat).

Ein selbstsigniertes oder anderweitig erworbenes Zertifikat kann ebenfalls verwendet werden. Bei Alfahosting fällt neben einer Einrichtungsgebühr von 15 EUR weiterhin die Gebühr für die IP-Adresse an.

h3.
h4. SaaS Secure / Redmine

Unser Redmine-Provoider SaaS Secure nimmt bereits https-Verbindungen an. Dabei wird jedes Zertifikat zwangsläufig sowohl für Verbindungen zu _orga.do-foss.de_ als auch zur kanonischen Adresse _saas1402qx.saas-secure.com_ verwendet. Die SaaS-URL wird aktuell mit dem Zertifikat von SaaS Secure gesichert, was korrekterweise keine Warnung hervor ruft. Bei Verbindungen mit _orga.do-foss.de erhält der Nutzer allerdings eine Warnung, weil die Domain nicht zum Zertifikat passt.

SaaS Secure bietet an, Zertifikate für unsere Domain zu erstellen, aber das ist verhältnismäßig teuer. Die Einrichtung eines selbstsignierten oder anderweitig erworbenen Zertifikats ist hingegen kostenlos; der Einsatz kostet monatlich 0,19 EUR.

Ich habe bei beim Redmine-Provider SaaS Secure eine Support-Anfrage mit folgenden Fragen gestellt:
# fangen die Links in den Benachrichtigungsmails mit https an?
# funktioniert SSL zusammen mit dem Alias? (Also wäre der Redmine-Server dann unter https://orga.do-foss.de erreichbar ohne dass die Browser sich beschweren? Z.B. wegen einer URL, die nicht zum Zertifikat passt.)
# gibt es sonst etwas zu beachten?

Antwort:
> Um in den Mails https Links zu bekommen, muss in den den Redmine Einstellungen https aktiviert sein.
> SSL funktioniert auch mit einem Alias. Passt allerding der Alias nicht zum Domainnamen des Zertifikats, gibt es eine Warnung im Browser.
> Wenn Sie für orga.do-foss.de ein Zertikat bestellen senden Sie uns bitte alle erhalten Informationen wie Key, Zertifikat und Root Zert. zu damit wir die Einrichtung vornehmen können.

Interpretation:
# die Redmine-Einstellung ist kein Problem
# die Alias-Sache klingt so, als müssten wir das Zertifikat bei Alfahosting für die dort verwaltete Domain _do-foss.de_ erstellen lassen - zu den oben genannten Kosten.
# wie ist es sicherheitstechnisch zu bewerten, dass wir das gesamte Zertifikat rausrücken müssen?

h3. Mögliche Szenarien

h4. SSL für alle Domains Alfahosting

Für eine komplette Sicherung von _do-foss.de_ fallen Eine Recherche in den "Alfahosting FAQ zu dem Thema":http://alfahosting.de/antworten-auf-ihre-fragen/?cid=61 hat folgende Kosten an: Situation ergeben:

* Multi-SSL-Zertifikat: Je Tarif ist nur ein SSL-Zertifikat buchbar. Das günstige Power-SSL-Zertifikat (1,29 EUR / Monat) gilt allerdings nur für eine (Sub-)Domain. Um Redmine und Blog unter do-foss.de zu betreiben, benötigen wir mindestens zwei (Sub-)Domains, die aktuelle [[Domains|Strukturierung der Domains]] verwendet sogar drei.
Deswegen benötigen wir mindestens ein "Multi-SSL-Zertifikat":http://alfahosting.de/ssl-zertifikate-vergleich2/, das
6,99 EUR / Monat
*
kostet.

Dazu kommen noch Kosten für
eine statische IP bei Alfahosting: 0,99 (0,99 EUR / Monat
* HTTPS-Gebühr
Monat) und bei SaaS Secure: Secure 0,19 EUR / Monat
* *zusammen: ~ 98 EUR / Jahr*

h4. SSL
für den Blog Einsatz.

Da der Blog und Piwik unter zwei verschiedenen Subdomains laufen und beide verschlüsselt werden müssen, muss das gleiche (teure) Ein selbstsigniertes oder anderweitig erworbenes Zertifikat gewählt werden:

* Multi-SSL-Zertifikat: 6,99
kann ebenfalls verwendet werden. Bei Alfahosting fällt neben einer Einrichtungsgebühr von 15 EUR / Monat
* eine statische IP bei Alfahosting: 0,99 EUR / Monat
* *zusammen: ~ 96 EUR / Jahr*
weiterhin die Gebühr für die IP-Adresse an.

h4. SSL für Redmine Kostenüberblick

Ausschließlich h5. Redmine zu sichern wäre mit einem günstigen Zertifikat, z.B. von "SSL-Trust":https://ssl-trust.com/ möglich:

* Multi-SSL-Zertifikat: 6,99 EUR / Monat
* eine statische IP bei Alfahosting: 0,99 EUR / Monat
* HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
* *zusammen: ~ 98 EUR / Jahr*

h4. Selbstsignierte Zertifikate Alternative

Selbstsignierte Zertifikate erzeugen grundsätzlich Sowohl der Blog als auch Redmine nehmen bereits https-Verbindungen an. Da diese von den jeweiligen Providern ausgestellt wurden und nicht zu unserer Domain passen, erhält der Nutzer allerdings eine Warnung. Deswegen ist nicht davon auszugehen, dass sie umfangreich genutzt werden würden. Ein Einsatz im Blog ist dennoch denkbar, um überhaupt eine SSL-Verbindung Verbindungen zu ermöglichen. Im Redmine wiederum wäre sie kontraproduktiv, da dann weder über _orga.do-foss.de_ noch über _saas1402qx.saas-secure.com_ warnungsfrei mit Redmine kommuniziert werden könnte. unter der kanonischen Adresse https://saas1402qx.saas-secure.com/ unterliegen dieser Einschränkung nicht - hier wird das Zertifikat unseres Providers SaaS Secure verwendet.

h3. Vorhaben

Wegen der Kosten verzichten wir (schweren Herzens) zunächst auf die Verwendung eines SSL-Zertifikats authentifizierten SSL-Zertifikats.

SSL-gesicherte Verbindungen sind dennoch möglich, allerdings wird der Nutzer durch seinen Browser vor einer potentiell unsicheren Verbindung gewarnt, da die Domains (typischerweise) nicht zu den URLs passen.

h4. Blog

Im Blog werden wir keine weiteren Maßnahmen ergreifen.

h4. Redmine

Im Redmine wird jedes Zertifikat zwangsläufig sowohl
für _*.do-foss.de_. Verbindungen zu https://orga.do-foss.de als auch zu https://saas1402qx.saas-secure.com/ verwendet. Die SaaS-URL wird aktuell mit dem Zertifikat von SaaS Secure gesichert, was korrekterweise keine Warnung hervor ruft. Ein selbst signiertes Zertifikat (was immer eine Warnung erzeugt), würde also die letzte warnungsfreie https-Verbindung zu *.do-foss.de verhindern.

Stattdessen sichern Alternativ könnten wir nur ein einfaches Zertifikat für orga.do-foss.de erstehen (für die Redmine-Instanz wie oben beschrieben.

obigen ~1,50 EUR / Monat) und damit zumindest Redmine ordnungsgemäß sichern. Die Domain saas1402qx.saas-secure.com würde dann auf orga.do-foss.de weiterleiten und wir könnten in Redmine https als Protokoll einstellen. Das würde sich auch in den E-Mail-Benachrichtigungen und allen internen Links niederschlagen.

h3. Umsetzung

Bei "SSL-Trust":https://ssl-trust.com/ wurde ein Zertifikat erstanden. Für Details zur aktuellen Situation siehe den Wiki-Artikel _[[SSL]]_. ...

Back

Add picture from clipboard (Maximum size: 300 MB)