[Berlin-wireless] Tunnelalternative der Community - Zertifikat zeitliche Gültigkeit in versch. Längen oder kein Zertifikat
Malte
freifunk at antenne.yagii.de
So Sep 10 23:10:31 CEST 2017
On Sun, 10 Sep 2017, Holger wrote:
> a) rel. kurze Zertifikat-Gültigkeit 1-2 Jahre
> a) kann man als Kontrolle über irgendwas sehen oder als Ermunterung, sich ab
> und an mit "dem" Freifunk-Router auseinanderzusetzen, weil z.B. die firmware
> krass veraltet ist und sich darin verschiedene security-flaws wie in Kathleen
> 0.1.2 und älter befinden.
Ich hatte das schonmal an anderer Stelle gesagt, aber nochmal:
1. Der Gedanke, dass Leute beim Aktualisieren des Zertifikats auch noch
die Firmware an sich einfach so aus Langeweile aktualisieren, ist
Wunschdenken.
2. Ablaufende Zertifikate sorgen dafür, dass mehr kaputte Nodes in der
Gegend rumstehen, die die SSID "berlin.freifunk.net" blockieren. Der
"Erfolg" wird schlechte PR sein und die Tatsache, dass die SSID wieder aus
den Endgeräten ausgetragen wird.
3. Mit ablaufenden Zertifikaten bestraft man insbesondere auch die
Aktiven, die gerne bei Bekannten Nodes aufstellen. Wer glaubt, dass diese
Aktiven auch noch Lust haben, dann viel Admin zu machen und ständig Keys
auszutauschen, kann sich ein Bild in den Statistiken verschaffen:
einfach in Hopglass ansehen, wieviele Backbone-Nodes noch auf veralteter
Firmware laufen.
4. Das Ganze funktioniert auch nur, wenn die Erinnerungs-Mails auch
ankommen. Sind E-Mail-Adressen nach einem Jahr noch aktuell? Kommen die
Mails, die der Server verschickt, auch sicher an? Letzteres ist schon
jahrelang ein (ungelöstes) Problem.
Kurz: Viele Punkte gegen kurze Laufzeit und nur eine kleine Hoffnung als
Pro.
Wenn wir die Router aktuell halten wollen, dann könnte man auch einfach
ein kleines Skript schreiben, das den Leuten Erinnerungs-Mails aufgrund
der OWM-Daten schickt. Wäre irgendwie sinnvoller da auch wirklich
zielgerichtet, und funktioniert auch für die Mesh only-/kein Tunnel-Leute.
Grüße,
Malte
Mehr Informationen über die Mailingliste Berlin