Die Zeiten prä-Lets Encrypt waren wirklich schauderhaft und heute ist es so simple wie drei config lines in Caddy
Ich kann mich noch erinnern, als Seiten wie Facebook noch kein HTTPS hatten. Da gab es Handyapps, mit denen man die Cookies von anderen Geräten im WLAN auslesen konnte und dann war man als die andere Person angemeldet. Siehe auch FireSheep
Eigentlich erstaunlich, dass das so lange gedauert hat.
Unis haben doch bestimmt schon seit Anfang der 2000er WLAN und generell waren gemeinsam genutzte Hotspots ja auch schon ewig verbreitet, bevor jemand mal auf die Idee gekommen ist, großflächig Verschlüsselung auszurollen.
eduroam hat schon recht früh (spätestens ab 2005) auf Verschlüsselung gesetzt, damit war das Mitlesen nur für die jeweiligen lokalen Betreiber möglich, nicht andere Personen im WLAN.
Generell war glaube ich das Internet deutlich fragmentierter, die zunehmende Zentralisierung auf wenige Platformen („Social Media“) erfolgte erst später, und der Wert eines einzelnen Kontos dürfte auch niedriger gewesen sein. Banking/Kreditkartenzahlungen hatten immerhin SSL, das war also auch nicht interessant. Man hätte wohl Unfug mit den E-Mail Logindaten treiben können.
Allein schon die shady CAs wie StartCom, die sich mit SSL-Zertifikaten eine goldene Nase verdient haben. Meine Schadenfreude war groß, als die Bude aus den Browsern rausgeworfen wurde.
Die ganze Industrie hat das massiv ausgenutzt. Dreistellige Beträge verlangen für eine automatische E-Mail Validierung gehört zum Glück (fast) der Vergangenheit an.
Ah, hatte früher auch eine Zeit lang ein StartSSL Cert. Dass die so shady waren und dass es sie mittlerweile gar nicht mehr gibt wusste ich nicht.
Wobei das allgemeine Verständnis über das “wie funktioniert das grob” und “warum will ich das unbedingt” leider ein klein wenig auf der Strecke geblieben sind. Trotzdem bin ich froh, dass es so einfach geworden ist, allein schon wegen der zig Container, die bei uns so auf und zugehen.
Ich bin extrem froh, dass Let’s Encrypt auch allgemein als Zertifikatsstelle akzeptiert wird. Ich musste schon durch den ein oder anderen bösen Audit und tatsächlich hat man nie diesbezüglich was bemäkelt. Das ist toll, denn meine größte Sorge zu Beginn war, das Let’s Encrypt als Frickel-Zertifikatsbude für gekaperte Botnetze verschrien wird.
