[Eisfair] CERTS aus User-Sicht

[Juergen Edner]

Hallo Christian,

> Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
>> Gebe den Namen eines bestehenden Zertifikats ein und es wird
>> automatisch auf eine existierende CSR-Datei zurück gegriffen die Du
>> sofort signieren kannst.
> 
> Hier schon mal die Möglichkeit für eine einfache Verbesserung: Warum
> muss ich den Namen eingeben? Wäre es nicht möglich, einfach auf die
> Liste bestehender CSR-Dateien zuzugreifen? "Wähle CSR-Datei 1-22, n
> für neu, q für quit".

dies ist nun einmal der Skriptstruktur geschuldet, da das Ganze
der Erstellung einer Zertifikatsdatei dient und diese somit als
Auswahlkriterium dient. Wenn noch keine Datei vorhanden ist, kann
auch keine ausgewählt werden.

> Genau da sollte ein Wizard einen unterstützen. Das Verfahren sollte
> sein "Menüpunkt 'Neues Zertifikat erstellen' -> 'CSR auswählen oder
> neu'" und nicht "Da muss ich jetzt Menüpunkt x auswählen und drei
> Dinge eingeben, dann Punkt y, dann Punkt q und nochmal zwei andere Dinge
> eingeben". Das ist zwar überspitzt ausgedrückt, aber ich denke, für
> die Mehrheit ist das sehr nahe an der Realität.

Deshalb werden ja schon alle Punkte die bereits durchgeführt wurden
mit einem Haken versehen. Darüber hinaus ist genau der Punkt den Du
bemängelst, nämlich wie man ein Zertifikat verlängert, detailliert
in der Dokumentation beschrieben. Für die die nicht lange suchen
wollen nennt sich der Absatz "Ein Zertifikat aktualisieren".

Meiner Ansicht nach zeigt sich hier ein generelles Problem, mit
welchem man heutzutage zu kämpfen hat. Anwender wollen zwar Alles
kostenlos und mit wenig Aufwand und eigener Initiative benutzen,
sind aber noch nicht einmal bereit eine Dokumentation vorab zu
lesen.
Gerade der Umgang mit Zertifikaten erfordert ein hohes Maß an
Verantwortung und vernünftigen Handeln um ein gewisses Maß an Sicherheit
zu gewährleisten. Wenn man gedankenlos ein paar Knöpfe
drücke ohne darüber nachzudenken was man überhaupt macht, ist dies
in meinen Augen nichts anderes als "Security by obscurity".

> Und was den Schritt 15 betrifft: Wie viele Leute, die ihre Zertifikate
> auf dem Eisfair verwalten, brauchen tasächlich ein PKCS#12-Dokument
> für einen Nicht-Apache-Webserver? Und selbst wenn man diese Option
> anbietet - was ja OK ist - könnte z.B. bei einer Verlängerung des
> Zertifikates das Script einfach nachsehen, ob eine solche Datei schon
> mal erstellt wurde, und dann einfach fragen, ob es den Schritt gleich
> mit erledigen soll.

Klar lässt sich so etwas machen, jedoch wer garantiert mir, dass der
Anwender nicht bewusst die alte Datei aus welchen Gründen auch immer
behalten will?

> Leider erinnert mich gerade das CERTS-Paket da eher an den LANZ
> Bulldogg, wo ich vor dem Starten eine Lötlampe unter den Motorblock
> stellen muss, bevor ich das Schwungrad anwerfe. 

Dann bleibt Dir immer noch die Verwendung des
oepnssl-Kommandozeilen-programms welches es Dir ermöglicht durch
Holzreibung und Pusten Feuer
zu machen ;-)

> Sorry, da war ich in der Hast ungenau. Aber ich wette, für 90% der
> Benutzer Deines Tools ist diese Unterscheidung sowieso zu hoch und
> gefühlt irrelevant. Die wollen nur fertig werden damit und raus aus dem
> CERTS.

Dies ist genau das Problem, Sicherheit darf niemals mit "Die wollen nur
fertig werden ..." abgetan werden.

> Ich finde es gut, dass man mit dem CERTS alles machen kann, was man auch
> für die abstrusesten Sonderfälle benötigt, aber es geht an der
> Realität der meisten User einfach vorbei.

Ich kann Deine Argumentation durchaus nachvollziehem, aber der Umgang
mit OpenSSL erfordert nun einmal einen Gewissen Grat an Aufmerksamkeit.

Da man Zertifikat primär für einen abgesicherten Zugriff über das
Internet benötigt kannst du ja einen gewissen Grat an Verantwortung
an z.B. Let's Encrypt abgeben und Dir über das entsprechende
certs_dehydrated-Paket ein Zertifikat generieren.

> Das ist richtig, aber warum taucht es in der Auswahlliste nicht auf? Und
> jetzt sag nicht, dass sei, weil es noch nicht fertig ist. Für mich als
> User ist die (.key+.csr)-Kombo ein 'Zertifikat-Objekt' mit dem Status
> "unfertig" oder "unsigniert", während ein (.crt|.cer|.pem)-File ein
> Zertifikat mit dem Status "Gültig bis" oder "Abgelaufen seit" ist, und
> ich würde alle diese Fälle in einer Auswahlmöglichkeitz erwarten.

Man kann sicherlich noch den einen oder anderen Sonderfall abdecken aber
es das generelle Problem bleibt leider bestehen.

> Ich weiß nicht, wie viel Zeit ich in diese Thema investieren sollte.
> ...
> aber im Moment hörst Du Dich leider nicht so an, als würdest Du
> von der vorhandenen Struktur wirklich abweichen wollen, sondern
> verteidigst den Status Quo mit mehr Vehemenz, als m.E. gut ist.

In der Tat habe ich hier ein anderes Verständnis der Materie, vielleicht
weil ich mich schon so lange mit der Thematik auseinander setze. In den
letzten 13 Jahren habe ich sehr Freizeit u.a. in dieses Paket gesteckt
und habe keine große Lust mehr hier übermäßig viel Zeit zu investieren.
Darüber hinaus betreue ich noch eine Vielzahl von anderen Paketen,
sodass ich hier Prioritäten setzen muss.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org