[Berlin-wireless] Tunnelalternative der Community - Zertifikat zeitliche Gültigkeit in versch. Längen oder kein Zertifikat

Sven Roederer freifunk at it-solutions.geroedel.de
Mo Sep 11 14:36:21 CEST 2017


Malte,

Zu 1) klar ist keine strikte Abhängigkeit zwischen Zertifikate installieren und Firmware aktualisieren. Aber es wird viele Routerbetreiber dazu ermutigen, dass gleich in einem Rutsch zu machen.

Zu2) was ja dann ein gutes Indiz ist, dass der Router nicht wirklich gewartet wird. Denn innerhalb vom 30 Tagen ein Zertifikat zu klicken (link in der Mail anklicken und nach wenigen Minuten das verlängerte Zertifikat in der automatischen Folgemail zu haben) sollte jetzt nicht eine unplanbare Hürde sein.
Solche "defekten" Router können ja auch den Effekt haben, dass mehr Kontakt innerhalb der Community entsteht, bzw. zwischen Nutzern und FreifunkRouterbetreibern.

Zu4) drum nennt sich das Feld auch Kontaktadresse und nicht "ich möchte mein Zertifikat haben und meine Ruhe".

Sven

Am 10. September 2017 23:10:31 MESZ schrieb Malte <freifunk at antenne.yagii.de>:
>On Sun, 10 Sep 2017, Holger wrote:
>
>> a) rel. kurze Zertifikat-Gültigkeit 1-2 Jahre
>> a) kann man als Kontrolle über irgendwas sehen oder als Ermunterung,
>sich ab 
>> und an mit "dem" Freifunk-Router auseinanderzusetzen, weil z.B. die
>firmware 
>> krass veraltet ist und sich darin verschiedene security-flaws wie in
>Kathleen 
>> 0.1.2 und älter befinden.
>
>Ich hatte das schonmal an anderer Stelle gesagt, aber nochmal:
>
>1. Der Gedanke, dass Leute beim Aktualisieren des Zertifikats auch noch
>
>die Firmware an sich einfach so aus Langeweile aktualisieren, ist 
>Wunschdenken.
>
>2. Ablaufende Zertifikate sorgen dafür, dass mehr kaputte Nodes in der 
>Gegend rumstehen, die die SSID "berlin.freifunk.net" blockieren. Der 
>"Erfolg" wird schlechte PR sein und die Tatsache, dass die SSID wieder
>aus 
>den Endgeräten ausgetragen wird.
>
>3. Mit ablaufenden Zertifikaten bestraft man insbesondere auch die 
>Aktiven, die gerne bei Bekannten Nodes aufstellen. Wer glaubt, dass
>diese 
>Aktiven auch noch Lust haben, dann viel Admin zu machen und ständig
>Keys 
>auszutauschen, kann sich ein Bild in den Statistiken verschaffen: 
>einfach in Hopglass ansehen, wieviele Backbone-Nodes noch auf
>veralteter 
>Firmware laufen.
>
>4. Das Ganze funktioniert auch nur, wenn die Erinnerungs-Mails auch 
>ankommen. Sind E-Mail-Adressen nach einem Jahr noch aktuell? Kommen die
>
>Mails, die der Server verschickt, auch sicher an? Letzteres ist schon 
>jahrelang ein (ungelöstes) Problem.
>
>Kurz: Viele Punkte gegen kurze Laufzeit und nur eine kleine Hoffnung
>als 
>Pro.
>
>Wenn wir die Router aktuell halten wollen, dann könnte man auch einfach
>
>ein kleines Skript schreiben, das den Leuten Erinnerungs-Mails aufgrund
>
>der OWM-Daten schickt. Wäre irgendwie sinnvoller da auch wirklich 
>zielgerichtet, und funktioniert auch für die Mesh only-/kein
>Tunnel-Leute.
>
>Grüße,
>Malte




Mehr Informationen über die Mailingliste Berlin