Neue TLS-Zertifikate

25. November 2016 von mtmedia.org

tl;dr*

Wir tauschen alle *.mtmedia.org TLS-Zertifikate aus. Wir wechseln auch die Zertifizierungsstelle von StartCom auf Let’s Encrypt! und Gandi. Nach wiederholtem Fehlverhalten durch StartCom war ein Wechsel angebracht. Um die Zertifikate überprüfen zu können findet ihr die Fingerprints unten und auf unserer Startseite.

Bye bye StartCom

Schon seit einiger Zeit waren wir nicht mehr wirklich zufrieden mit unserem Zertifizierer StartCom. StartCom hatte seine OCSP-Server immer wieder nicht im Griff, was dazu führte, dass Firefox und Thunderbird Fehlermeldungen ausgaben, anstatt unsere Dienste auszuliefern.

Spätestens nachdem WoSign StartCom übernommen hatte wurde es endgültig zu bunt. Beispielsweise datierte WoSign Zertifikate in die Vergangenheit um sie weiterhin mit unsicheren Standards verkaufen zu können. Mozilla (Firefox) und Google (Chromium, Chrome) entschieden sich nach reiflicher Überlegung beiden Zertifizierern zukünftig nicht mehr zu vertrauen.

Hello Let’s Encrypt! und Gandi

Schon vor einiger Zeit wurden Pläne für einen communitybetriebenen Zertifizierer bekannt, der durch kostenlose Zertifikate Verschlüsselung endgültig zum Standard im Internet machen sollte! Let’s Encrypt! stellte im September 2015 das erste Zertifikat aus und wird u.a. von der Electronic Frontier Foundation und der Mozilla Foundation unterstützt.

Seit einiger Zeit setzen wir Let’s Encrypt! Zertifikate ein und sind sehr zufrieden damit. Wir spielten mit dem Gedanken bei allen Diensten Zertifikate von Let’s Encrypt! zu verwenden – das hatte aber einen Nachteil: Bei bestimmten Diensten halten wir es für wichtig, dass die Zertifikate beständig sind und die Fingerprints überprüft werden können (z.B. bei unserem Mailserver) – Let’s Encrypt! tauscht ungefähr alle 3 Monate die Zertifikate automatisiert gegen neue aus.

Aus diesem Grund haben wir für mtmedia.org, mail.mtmedia.org und roundcube.mtmedia.org ein Zertifikat bei Gandi gekauft und veröffentlichen die Fingerprints weiter unten und auf unserer Startseite.

Fingerprints

Neues TLS-Zertifikat: mtmedia.org/mail.mtmedia.org/roundcube.mtmedia.org – zertifiziert durch Gandi

Fingerprint (SHA2, gültig bis: 25.11.2018):

50:DB:89:EB:12:06:F9:30:2F:DA:27:24:45:1D:41:1F:BC:D4:87:D0:09:AA:7E:F0:02:EF:05:84:89:BD:0B:0C

Fingerprint (SHA1, gültig bis: 25.11.2018):

4A:F7:C3:57:59:B4:82:C6:EF:4B:D6:BD:E4:E2:FE:01:05:CE:27:2B

Alle weiteren Zertifikate werden von Let’s Encrypt! zertifiziert und ungefähr alle 3 Monate automatisch erneuert.

* tl;dr steht für Too long; didn’t read. Neben der Info, dass man einen Text aufgrund der länge nicht gelesen hat, wird die Abkürzung im Internet auch dafür verwendet um kurze Zusammenfassungen zu markieren :-)