"Geheime" Subdomain durch SSL-Zertifikat "weltbekannt"?

    @zero24 hat ja gestern den Erklärlink zur Joomla-Installerlücke gepostet. Darin steht, dass Domains, für die man ein SSL-Zertifikat z.B. per Let's Encrypt einrichtet, letztlich der Welt sofort bekannt gemacht werden.


    Ich schließe daraus, dass ich eine "geheime" Subdomain, für die ich ein SSL-Zertfikat angeklickt habe, auch der Welt bekannt mache, also auch eine Test-Domain o.ä., die ich eigentlich aus Sicherheitsgründen oder sonstigen nicht jedem mitteilen wollte.


    Sehe ich das richtig?

    Zitat

    Darin steht, dass Domains, für die man ein SSL-Zertifikat z.B. per Let's Encrypt einrichtet, letztlich der Welt sofort bekannt gemacht werden.


    Ja siehe: https://letsencrypt.org/certificates/ ;)


    Code
    Certificate Transparency
We are dedicated to transparency in our operations and in the certificates we issue. We submit all certificates to [url='https://www.certificate-transparency.org/']Certificate Transparency logs[/url] as we issue them. You can view all issued Let’s Encrypt certificates via these links:


[url='https://crt.sh/?Identity=%25&iCAID=7395']Issued by Let’s Encrypt Authority X1[/url]
[url='https://crt.sh/?Identity=%25&iCAID=16418']Issued by Let’s Encrypt Authority X3[/url]
    Zitat

    "Das von Google entwickelte System Certificate Transparency"
    Zitat, Golem


    War ja eh klar eigentlich... Und alle Schafe machen blind mit, auch die, die es besser wissen müssten, und propagieren die Wichtigkeit von SSL, letztlich, weil Google das nun auch für die Seite von Maxi Mustermann fordert, und die doll erhöhte Sicherheit, aber verschweigen Maxi wichtige Details wie diese... Die Sekte Google, die sich ihr eigenes Internet bastelt. Kann ja nicht mehr lang dauen, bis ein Secure-Google-Layer (SGL) Protokoll zum Standard wird, wo man zuvor seine Handynummer, Schuhgröße und Lieblingsbücher hinterlegen muss, die dann jeder A... auslesen kann.


    Der Grund für CT ist mir durchaus klar, aber man hätte es nicht einem kommerziellen Milliardenkonzern überlassen dürfen, "Standards" zu definieren.

    Zitat von Re:Later

    aber verschweigen Maxi wichtige Details wie diese...


    Damit meinte ich, nur nebenbei, Details, wie zuvor erörtert.


    "Sichere deine Subdomain sofort hart ab, bevor du auch nur 1 Datei hochlädst, am besten händisch im Zielverzeichnis, bevor du die Subdomain überhaupt anlegst, auch, wenn du sie gar nicht unter SSL betreibst und nur optional ein kostenloses Zertifikat beim Einrichten der Subdomain angeklickt hast oder anklicken wirst oder dein Provider das ohne dein Zutun macht. Vergesse nach oder vielleicht vor Install deines CMS nicht, die Verzeichnisschutz-.htaccess mit der htaccess deines CMS zusammenzuführen. Usw. usf."


    Es geht auch nicht um das Handshake, das ein Zertifikat anhand der vom User im Browser eingegebenen URL prüft, sondern um die blinde Bereitstellung von Sudomain-URLs für Leute, die den genauen Wortlaut der URL vorab nicht kennen und so ohne Mühe jedwede und in Massen in Erfahrung bringen können, selbst lange abgelaufene (noch so ein Thema). Und das Protokollieren von Subdomains, die in Browser-Adresszeilen eingegeben werden etc.


    Weiters stellt Google und wohl auch jede andere Suchmaschine, egal wie nun gesicherte oder nicht, Subdomains über den Umweg certificatedetails.com in normalen Suchergebnissen bereit. Nicht nur deshalb muss man sich also klar darüber sein, dass eine Subdomain firma-zirkelmeier-gmbh.example.org ein No-Go ist, auch, wenn du jegliche Indexierung unterbunden hast, sondern lkjsjhoijoinwjpjqwe.example.org genannt werden sollte, wenn sie Suchergebnisse der Firma Zirkelmeier nicht verwässern soll bzw. keine Rückschlüsse auf Historien, ggf. Dienstleister usw. möglich sein sollen.


    Es werden im Laufe der Zeit weitere Empfehlungen dazukommen, wenn die "Szene" ihren kreativen Höhepunkt erreicht hat.


    Ich denke, Maxi Mustermann sollte das in großen, fetten Lettern mitgeteilt bekommen, bevor man ihm mitteilt, dass SSL sicherer ist und kostenlos ja kein Problem mehr.