[Talk-de] HTTPS für openstreetmap.DE

[Florian Lohoff]

On Sun, Jan 31, 2016 at 11:18:39AM +0100, Rolf Eike Beer wrote:
> Am Samstag, 30. Januar 2016, 23:11:38 schrieb Andreas Neumann:
> > Moin,
> > 
> > ich kenne die Querelen bezüglich SSL-Zertifikate für OpenStreetMap.DE
> > von CACert. Die Frage ist nun für mich, ob die selben Probleme für
> > Zertifikate von letsencrypt bestehen? (Ich klammere bewusst den
> > höheren Ressourcenverbrauch aus und beziehe mich nur auf das
> > Beantragungsproblem der Zertifikate)
> 
> Let's Encrypt prüft nur, ob du die Domain unter Kontrolle hast, d.h. es ist 
> letztlich völlig unerheblich, wer oder was in den whois-Einträgen steht oder 
> ob es sich dabei um natürliche Personen handelt oder nicht. Man muss das 
> Zertifikat nur alle 3 Monate erneuern.

Das Problem mit den 3 Monaten ist das man das zwangsweise automatisieren
muss. Niemand hat Bock ein Zertifikat alle 3 Monate manuell durch die
Gegend zu kopieren. Und bei so verteilter Infrastruktur braucht man das
Zertifikat relativ häufig auch mal an 20 Stellen und dann wird das
wirklich hakelig das robust hinzubekommen das nicht alle 3 Monate
wieder an irgendeiner kleinen Stelle ein altes Zertifikat liegenbleibt.

Wir reden also schnell über sowas wie cfengine/puppet/ansible/chef.

Flo
-- 
Florian Lohoff                                                 f at zz.de
      We need to self-defend - GnuPG/PGP enable your email today!
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 828 bytes
Beschreibung: Digital signature
URL         : <http://lists.openstreetmap.org/pipermail/talk-de/attachments/20160131/addf5ba6/attachment.sig>