staging.inyokaproject.org

Hallo,

die nächsten Tage wird es einen Ikhaya Artikel geben, das Thema wird unsere Migration der SSL Zertifikate nach Letsencrypt sein.

In diesem Thread soll die Diskussion dazu erfolgen, vor allem im Hinblick auf folgende Themen:

1. Einstellung der Unterstützung von Android Versionen älter als 4.4, um das Modern Level zu erreichen? ▶ Link zur Erklärung

2. HTTPS als Standard soll kommen, geplant ist eine Weiterleitung von HTTP=>HTTPS und anschließendes setzen des HSTS Headers um den Client zu HTTPS zu zwingen. Frage: Habt ihr Probleme mit HTTPS weil z.b. schlechtes Netz oder ähnliches vorliegt?

Punkt 1 ist für Anfang 2017 geplant, Android 4.4 kam 31. Oktober 2013 raus. Aktuell haben laut Google ca. 30% der Endgeräte noch eine ältere Version, ein Thema das sich bis 2017 hoffentlich bereinigen sollte.

Punkt 2 ist zeitnah geplant, spätestens aber bis Ende Februar 2016.

Die Diskussion ist eröffnet 😉

mfg Stefan Betz

Ich verwende Ubuntuusers schon eine zeitlang per https und habe keine Seitenaufbauprobleme. Falls wirklich mal die Internetverbindung gestört ist, betriffts hier eh verschlüsselte und unverschlüsselte Verbindungen.

Gegen Zwangs-https habe ich also nichts, hab ich in Joomla seit der Letsencrypt-Umstellung auch für Back- und Frontend erzwungen.

Android betrifft mich nicht, da ich kein Gerät mit dem Betriebssystem nutze.

Es gibt vermutlich kein einfache Möglichkeit ältere Clients einfach nicht auf HTTPS umzuleiten oder?

Dazu müsste man den User-Agent am Loadbalancer rausfiltern und das auswerten. Aber auch diese User bekommen schon seit längerer Zeit alle Notifications per Mail/Jabber mit HTTPS Links.

Technisch gesehen wäre dies aber möglich, ob man den Aufwand betreiben will steht auf einem anderen Blatt.

mfg Stefan Betz

encbladexp schrieb:

In diesem Thread soll die Diskussion dazu erfolgen, vor allem im Hinblick auf folgende Themen:

1. Einstellung der Unterstützung von Android Versionen älter als 4.4, um das Modern Level zu erreichen? ▶ Link zur Erklärung

2. HTTPS als Standard soll kommen, geplant ist eine Weiterleitung von HTTP=>HTTPS und anschließendes setzen des HSTS Headers um den Client zu HTTPS zu zwingen. Frage: Habt ihr Probleme mit HTTPS weil z.b. schlechtes Netz oder ähnliches vorliegt?

Zu 2) Damit habe ich definitiv kein Problem. Ich kenne auch niemanden mit Problemen dieser Art.

Zu 1) Logt ihr irgendwo den User-Agent? Dann hätten wir mehr Daten anhand deren wir diese Entscheidung treffen könnten. Die Sache mit den Filtern nach den UA können wir, meiner Meinung nach, vergessen.

Mit dem HSTS Header hab ich absolut auch kein Problem. Bin dafür den einzuführen. Dank Let's Encrypt, Zertifikate für alle und immer mehr Webhoster die das direkt anbieten, wird die TLS-Rate im Web deutlich zunehmen - und auch HSTS und ich hab ehrlich gesagt noch nei von Problemen in diesem Zusammenhang gehört.

Beim "Modern Level" fällt es mir schwer eine Aussage zu machen. Ich finde das es für uns nicht relevant ist wie hoch der Android "kleiner als 4.4" auf der Welt ist. Wichtiger wäre da eher wie viele davon es noch im "deutschsprachigen Europaraum" gibt, bzw. direkte Daten direkt von den Zugriffszahlen von Ubuntuusers. Damit hätte man ein "grobes" Bild wie viele Leute direkt betroffen wären.

Ein Logging von Daten habe ich nicht, ich könnte aber ein tcpdump für Zeitraum X mitlaufen lassen. Welcher Zeitraum wäre ausreichend repräsentativ?

mfg Stefan Betz

senden9 schrieb:

Es gibt vermutlich kein einfache Möglichkeit ältere Clients einfach nicht auf HTTPS umzuleiten oder?

Naja, besonders schwer ist das nicht. Mit dem Einbau dieser Möglichkeit würden wir aber Tür und Tor für sog. "Downgrade Attacks" öffnen.

Jeder User, der über HTTP auf ubuntuusers.de zugreift, unabhängig von "neuem" oder "altem" Client, kann einem Man-in-the-Middle Angriff unterliegen (bspw. offenes Café-WLAN) in dem der Angreifer ubuntuusers.de einen alten Client vorgaukelt. Folglich bekommt dann der User mit einem eigentlich neuen Client nach wie vor nur HTTP und kein HTTPS.

/Markus

encbladexp schrieb:

Punkt 1 ist für Anfang 2017 geplant, Android 4.4 kam 31. Oktober 2013 raus. Aktuell haben laut Google ca. 30% der Endgeräte noch eine ältere Version, ein Thema das sich bis 2017 hoffentlich bereinigen sollte.

Wenn man sich so den Verlauf der Android-Versionen der letzten Jahre ansieht, dürfte Android 4.4 oder höher Anfang 2017 bei etwa 95% (oder zumindest über 90%) Verbreitung liegen. Ich denke also, dass das ganz gut klappen wird und nur für sehr wenige Nutzer eine Einschränkung darstellt.

Man könnte ja, gegen Ende des Jahres, auf ubuntuusers etwas wie browser-update integrieren. Anders gesagt: Eine Hinweisbox, die auf alten Browsern eine entsprechende Meldung anzeigt. Wie genau man das allerdings konfigurieren kann und ob man es schafft, da genau die Android-Versionen rauszupicken, die davon betroffen sein werden: Keine Ahnung. Möglich ist das bestimmt irgendwie™, ob sich der Aufwand lohnt ist allerdings auch so eine Frage…

Frage: Habt ihr Probleme mit HTTPS weil z.b. schlechtes Netz oder ähnliches vorliegt?

Nachdem ich seit Monaten HTTPS-only auf ubuntuusers unterwegs bin: Nö, keine Probleme. Hab das auch mit mehreren Browsern unter diversen Betriebssystemen ausprobiert.

Eine kleine Anmerkung möchte ich aber noch dazu geben.

Allgemein tummeln sich in Linuxforen - ubuntuusers dürfte hier keine Ausnahme sein - einige Anwender mit etwas exotischeren Browsern. Sagen wir z.B. Qupzilla oder Epiphany. Diese weisen sich aber unzureichend aus und werden oft als "veraltete Browser" erkannt. Mit einem fehlerhaften Browser-Update-Check könnten wir uns also möglicherweise selbst ein Bein in Form sehr vieler Supportanfragen stellen...

Ich möchte noch darauf hinweisen, dass ubuntuusers ja ein Forum auch für Neulinge ist, die wenig Ahnung haben. Ich weiß nicht, ob denen ein Hinweisfenster helfen würde...

encbladexp schrieb:

Ein Logging von Daten habe ich nicht, ich könnte aber ein tcpdump für Zeitraum X mitlaufen lassen. Welcher Zeitraum wäre ausreichend repräsentativ? […]

Mittels TShark könnte man, hinter der TLS Terminierung, z.B. so die User-Agents aufzeichnen:

1

tshark -Y "http.request.method==GET" -T fields -E quote=d -e http.user_agent -Q "port 80" >> user_agents

Wenn das nicht zu viel Last verursacht könnt man das ganze 7 Tage laufen lassen und somit eine halbwegs repräsentative Statistik erstellen. Was sagt ihr dazu?

Edit: Hier noch ein Skript zur Auswertung:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

#!/usr/bin/env python3
import operator

d = dict()
f = open("user_agents")

for line in f:
    current = d.get(line)
    if current == None:
        d[line] = 1
    else:
        d[line] = current+1

f.close()
sorted_d = sorted(d.items(), key=operator.itemgetter(1))
sorted_d.reverse()
print("Nr.\tUser Agent")
for entry in sorted_d:
    print("%d\t%s" % (entry[1], entry[0].strip()))

senden9 schrieb:

Wenn das nicht zu viel Last verursacht könnt man das ganze 7 Tage laufen lassen und somit eine halbwegs repräsentative Statistik erstellen. Was sagt ihr dazu?

Die Last davon ist eher überschaubar, kann man sowohl mit tcpdump als auch tshark machen. Ich such mir mal einen Zeitraum aus 😉

mfg Stefan Betz

Wer testen möchte ob HSTS und der HTTP=>HTTPS Redirect auch sauber funktionieren, sollte folgende in seine /etc/hosts packen:
Test ist vorbei...

Hierdurch nutzt man nicht den normalen Loadbalancer, sondern den der "eigentlich" für die Redundanz zuständig ist. Bitte nach dem Test die Zeilen wieder entfernen und ein kurzes Feedback mit folgenden Infos wäre nett:

• Verwendeter Browser inkl. Version

• Info ob HTTP ⇒ HTTPS Redirect funktioniert (hierzu ubuntuusers.de zuerst via HTTP aufrufen)

• Info ob sich ubuntuusers.de nach dem ersten Aufruf (pro Subdomain/Modul) weigert per HTTP mit euch zu sprechen und automatisch HTTPS genommen wird (HSTS)

Wenn es keine Einwände gibt geht dieses Setup die nächsten 2-3 Tage in Produktion.

mfg Stefan Betz

encbladexp schrieb:

Hierdurch nutzt man nicht den normalen Loadbalancer, sondern den der "eigentlich" für die Redundanz zuständig ist. Bitte nach dem Test die Zeilen wieder entfernen und ein kurzes Feedback mit folgenden Infos wäre nett:

• Verwendeter Browser inkl. Version

Firefox 44.0-1-x86_64

• Info ob HTTP ⇒ HTTPS Redirect funktioniert (hierzu ubuntuusers.de zuerst via HTTP aufrufen)

Funktioniert.

• Info ob sich ubuntuusers.de nach dem ersten Aufruf (pro Subdomain/Modul) weigert per HTTP mit euch zu sprechen und automatisch HTTPS genommen wird (HSTS)

Alles gut, HTTPS everywhere.