R3s1stanc3

Ich bin root, ich darf das!

Encrypt the Web

Mittlerweile ist über ein Jahr seit meinem letzten Blogpost vergangen und es gibt eine kleine Änderung am Server: sowohl der Blog als auch der Paste-Service sind jetzt nur noch über eine verschlüsselte Verbindung erreichbar. Ich habe mir von StartSSL zwei Zertifikate geholt.

Im Test auf SSLLabs bekommt der Server ein A+-Rating. Für den Paste-Service gilt natürlich das selbe.

Auch wenn der ein oder andere (vorallem Perforin) SSL für Snakeoil hält, war mir dieser Schritt aus einem einfachen Grund sehr wichtig: Es ist notwendig, dass in Zeiten der totalen Überwachung jede Verbindung im Internet verschlüsselt wird. Plaintext Übertragungen sollten die Außnahme werden und nicht anders herum. Wenn die Masse an verschlüsselten Verbindungen zunimmt, wird es für Geheimdienste schwer, den für sie interessanten Traffic von uninteressantem zu unterscheiden. Flächendeckende Nutzung von Crypto macht es dem Überwacher unmöglich jede Kommunikation abzuhören.

Der Blog besteht zwar nur aus statischen Seiten und bietet keine Kommentar- oder Login-Funktion, was Verschlüsselung aus sicherheitstechnischer Sicht unwichtig macht. Bei dem Paste-Service ist das aber anders: Die Pastes erreichen den Server zwar nie unverschlüsselt, da die komplette Crypto per Javascript im Browser passiert, bei einer unverschlüsselten Verbindung hat ein MITM aber die Möglichkeit, die Javascript Dateien so zu verändern, dass ein Paste nach der Entschlüsselung im Browser geloggt und an einen Server übertragen werden.

Vielleicht kann ich mit diesem Schritt auch andere Webmaster motivieren, SSL auf ihren Servern einzurichten. Sollte irgendjemand damit Probleme haben, helfe ich auch gerne per Mail oder Jabber weiter.

Encrypt the Web!