Hallo Wolf, > da ich nicht weiß, wer zuständig ist, folgender Hinweis in die Runde: > Ein potentieller neuer Interessent für die TroLUG wird möglicherweise von > einer Browser-Warnmeldung abgeschreckt, wenn er die Website besucht, s. > Anlage. > > Dieser Schönheitsfehler bestand schon immer, aber jetzt auch weiter mit dem > per 6. 10. neu erstelltem Zertifikat.
"Zuständig" bin ich. Das Problem ist mir bekannt. Ursache sind zwei negative Entwicklungen, die aufeinandertreffen: 1) Aktuell wird die Webseite bei Domainfactory gehostet, die wurden von Hosteurope gekauft, die wurden von Godaddy gekauft. Godaddy möchte gerne Zertifikate verkaufen und bietet keine kostenlosen Zertifikate für alle Domains an. Ich habe noch nicht alle Webseiten von df abgezogen, weil Manitu (mein aktueller Favourit) leider (noch) keine echten Mailinglisten anbietet. 2) Einige Browser neigen zu einer Überreaktion bei https Warnungen. Das hilft niemandem. Ich behaupte sogar, dass der Einsatz von https für jede Webseite auch Quatsch ist. Dahinter steckt ein Milliardengeschäft. Google bekommt Geld von den CA, die gelistet werden wollen, die CA verkauft Zertifikate, die Betreiber kaufen die, damit Google Chrome nicht warnt. >>„Nicht sicher“-Warnungen von Google verhindern << https://www.df.eu/de/ssl-zertifikate/ Ein Schelm, der böses dabei denkt. Die Preise gelten pro Monat pro Domain und der Aufwand ist keine Sekunde Rechenzeit auf dem Server und bei 19,99 EUR/Monat eine Versicherung, die einspringt, falls die Identität nachweislich vorgetäuscht wurde. Wir haben z.B. in Gentoo Pakete, die luden früher den primären Code von http://example.com/tollesprogramm.tar.gz zu den jeweiligen Mirrors herunter. Jetzt ändern das viele auf https://example.com/tollesprogramm.tar.gz dabei wird die Sicherheit über gpg gewährleistet. Der Quelltext ist eh frei und das kostenlose Zertifikat wird möglicherweise in einem Unterdrückerstaat nicht genug Schutz für Whistleblower bieten, die https://example.com/in_diesem_staat_verbotene_crypto.tar.gz herunterladen. Ich kann beides nicht so leicht ändern und sehe nicht ein, 14,99 EUR/Monat für trolug.de mit Subdomains zu bezahlen, damit der Browser nicht zickt. Theoretisch könnte ich auch https ganz abschalten... Mal sehen... Beste Grüße, -- Jonas Stein
