[Berlin-wireless] Tunnelalternative der Community - Zertifikat zeitliche Gültigkeit in versch. Längen oder kein Zertifikat

Malte freifunk at antenne.yagii.de
Mo Sep 11 15:08:19 CEST 2017


On Mon, 11 Sep 2017, Sven Roederer wrote:

> Zu 1) klar ist keine strikte Abhängigkeit zwischen Zertifikate 
> installieren und Firmware aktualisieren. Aber es wird viele 
> Routerbetreiber dazu ermutigen, dass gleich in einem Rutsch zu machen.

Den Mindset möchte ich haben. "Ui, toll, für meine 10 Router ist diesen 
Monat wieder Zertifikate austauschen dran! Da FREUE ich mich doch schon, 
bei der Gelegenheit auch Firmware-Upgrades machen zu dürfen! Vielleicht 
noch im August! Ich sage gleich meinen Urlaub ab."

Kleiner Reality Check: Von zur Zeit 123 Mesh-Only-Knoten in Hopglass sind 
gerade mal 16 (!) auf Kathleen 0.3.0. Also alles hoffnungslos veraltet, 
obwohl die Mesh-only-Knoten vermutlich noch eher aktivere Besitzer haben. 
Und die würden alle von Deinem Wunschtraum noch nichtmal erfasst werden.

Siehe einen der Teile meiner Mail, die Du ignoriert hast:
>> Wenn wir die Router aktuell halten wollen, dann könnte man auch einfach
>> ein kleines Skript schreiben, das den Leuten Erinnerungs-Mails aufgrund
>> der OWM-Daten schickt.

> Zu2) was ja dann ein gutes Indiz ist, dass der Router nicht wirklich 
> gewartet wird. Denn innerhalb vom 30 Tagen ein Zertifikat zu klicken 
> (link in der Mail anklicken und nach wenigen Minuten das verlängerte 
> Zertifikat in der automatischen Folgemail zu haben) sollte jetzt nicht 
> eine unplanbare Hürde sein.

Siehe einen anderen Teil meiner Mail, den Du ignoriert hast:
>> Kommen die Mails, die der Server verschickt, auch sicher an? Letzteres 
>> ist schon jahrelang ein (ungelöstes) Problem.
Das letzte Problem der Art ist gerade ein paar Wochen her:
https://lists.berlin.freifunk.net/pipermail/berlin/2017-August/036261.html

> Solche "defekten" Router können ja auch den Effekt haben, dass mehr 
> Kontakt innerhalb der Community entsteht, bzw. zwischen Nutzern und 
> FreifunkRouterbetreibern.

Ja vielleicht sollten wir dann gleich eine Funktion einbauen, die zufällig 
die Verbindungen kappt, um das ein bisschen zu forcieren.


Wo ist denn eigentlich der Code für tunnel.berlin.freifunk.net?

Und wo ist der Pull Request auf GitHub, in dem das mit der Gültigkeit des 
Zertifikats kommuniziert und beschlossen wurde?

Grüße,
Malte

> Am 10. September 2017 23:10:31 MESZ schrieb Malte <freifunk at antenne.yagii.de>:
>> On Sun, 10 Sep 2017, Holger wrote:
>>
>>> a) rel. kurze Zertifikat-Gültigkeit 1-2 Jahre
>>> a) kann man als Kontrolle über irgendwas sehen oder als Ermunterung,
>> sich ab
>>> und an mit "dem" Freifunk-Router auseinanderzusetzen, weil z.B. die
>> firmware
>>> krass veraltet ist und sich darin verschiedene security-flaws wie in
>> Kathleen
>>> 0.1.2 und älter befinden.
>>
>> Ich hatte das schonmal an anderer Stelle gesagt, aber nochmal:
>>
>> 1. Der Gedanke, dass Leute beim Aktualisieren des Zertifikats auch noch
>>
>> die Firmware an sich einfach so aus Langeweile aktualisieren, ist
>> Wunschdenken.
>>
>> 2. Ablaufende Zertifikate sorgen dafür, dass mehr kaputte Nodes in der
>> Gegend rumstehen, die die SSID "berlin.freifunk.net" blockieren. Der
>> "Erfolg" wird schlechte PR sein und die Tatsache, dass die SSID wieder
>> aus
>> den Endgeräten ausgetragen wird.
>>
>> 3. Mit ablaufenden Zertifikaten bestraft man insbesondere auch die
>> Aktiven, die gerne bei Bekannten Nodes aufstellen. Wer glaubt, dass
>> diese
>> Aktiven auch noch Lust haben, dann viel Admin zu machen und ständig
>> Keys
>> auszutauschen, kann sich ein Bild in den Statistiken verschaffen:
>> einfach in Hopglass ansehen, wieviele Backbone-Nodes noch auf
>> veralteter
>> Firmware laufen.
>>
>> 4. Das Ganze funktioniert auch nur, wenn die Erinnerungs-Mails auch
>>
>> Kurz: Viele Punkte gegen kurze Laufzeit und nur eine kleine Hoffnung
>> als
>> Pro.
>>
>> Wenn wir die Router aktuell halten wollen, dann könnte man auch einfach
>>
>> ein kleines Skript schreiben, das den Leuten Erinnerungs-Mails aufgrund
>>
>> der OWM-Daten schickt. Wäre irgendwie sinnvoller da auch wirklich
>> zielgerichtet, und funktioniert auch für die Mesh only-/kein
>> Tunnel-Leute.
>>
>> Grüße,
>> Malte
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv


Mehr Informationen über die Mailingliste Berlin