[Berlin-wireless] Tunnelalternative der Community - Zertifikat zeitliche Gültigkeit in versch. Längen oder kein Zertifikat

[Malte]

On Sun, 10 Sep 2017, Holger wrote:

> a) rel. kurze Zertifikat-Gültigkeit 1-2 Jahre
> a) kann man als Kontrolle über irgendwas sehen oder als Ermunterung, sich ab 
> und an mit "dem" Freifunk-Router auseinanderzusetzen, weil z.B. die firmware 
> krass veraltet ist und sich darin verschiedene security-flaws wie in Kathleen 
> 0.1.2 und älter befinden.

Ich hatte das schonmal an anderer Stelle gesagt, aber nochmal:

1. Der Gedanke, dass Leute beim Aktualisieren des Zertifikats auch noch 
die Firmware an sich einfach so aus Langeweile aktualisieren, ist 
Wunschdenken.

2. Ablaufende Zertifikate sorgen dafür, dass mehr kaputte Nodes in der 
Gegend rumstehen, die die SSID "berlin.freifunk.net" blockieren. Der 
"Erfolg" wird schlechte PR sein und die Tatsache, dass die SSID wieder aus 
den Endgeräten ausgetragen wird.

3. Mit ablaufenden Zertifikaten bestraft man insbesondere auch die 
Aktiven, die gerne bei Bekannten Nodes aufstellen. Wer glaubt, dass diese 
Aktiven auch noch Lust haben, dann viel Admin zu machen und ständig Keys 
auszutauschen, kann sich ein Bild in den Statistiken verschaffen: 
einfach in Hopglass ansehen, wieviele Backbone-Nodes noch auf veralteter 
Firmware laufen.

4. Das Ganze funktioniert auch nur, wenn die Erinnerungs-Mails auch 
ankommen. Sind E-Mail-Adressen nach einem Jahr noch aktuell? Kommen die 
Mails, die der Server verschickt, auch sicher an? Letzteres ist schon 
jahrelang ein (ungelöstes) Problem.

Kurz: Viele Punkte gegen kurze Laufzeit und nur eine kleine Hoffnung als 
Pro.

Wenn wir die Router aktuell halten wollen, dann könnte man auch einfach 
ein kleines Skript schreiben, das den Leuten Erinnerungs-Mails aufgrund 
der OWM-Daten schickt. Wäre irgendwie sinnvoller da auch wirklich 
zielgerichtet, und funktioniert auch für die Mesh only-/kein Tunnel-Leute.

Grüße,
Malte