You are here

January 2016

Diskussion um Obergrenzen

In Medien und Politik wird derzeit hitzig über etwaige Obergrenzen für Flüchtlinge diskutiert.

Was soll ich sagen? 

Die Diskussion ist reiner Populismus, der nur den Parteien am äußeren rechten Rand nutzt. Die Diskussion schürt zudem den Haß auf Fremde. Und alle, die sich für Obergrenzen stark machen, sei es nun von der CDU, CSU, SPD oder anderen Parteien, machen sich im Prinzip mitschuldig, wenn irgendwo in Deutschland Flüchtlingsheime brennen.

Das Grundrecht auf Asyl ist ein persönliches Grundrecht, d.h. es steht jedem Menschen zu. Das läßt sich nicht regelmentieren oder ignorieren. Es ist ein ganz einfacher Fakt. Alles andere ist bloß widerlicher rechtsgerichteter Populismus.

Flüchtlinge, die oftmals lebensbedrohliche Strapazen auf sich nehmen, um in Deutschland oder der EU ihre Grundrecht auf Asyl ausüben zu können, verdienen unsere Hilfe und nicht diese grundrechtswidrige und menschenunwürdige Diskussion um Obergrenzen für Flüchtlinge. Wenn man die Anzahl der Flüchtlinge reduzieren will, dann muss man die Ursache der Flucht beheben: Krieg.

Doch genau da haben wir Deutschen als einer der weltweit größten Waffenexporteure eine enorme Mitschuld zu tragen. Wir beteiligen uns mit der Bundeswehr an fragwürdigen Kriegseinsätzen und wundern uns dann trotzdem noch, daß letztes Jahr nach offiziellen des UNHCR weltweit 60 Mio. Menschen auf der Flucht waren?

Bevor man nach Obergrenzen bei Flüchtlingen schreit, sollte man vielleicht mal in seiner eigenen Familiengeschichte nachforschen. Nach dem 2. Weltkrieg waren auch Millionen Deutsche auf der Flucht, so daß es nicht unwahrscheinlich ist, daß ein Großteil der Bevölkerung selber mittelbar von Flüchtlingen abstammen. Was wäre gewesen, wenn es schon damals Obergrenzen gegeben hätte? Welche Familienmitglieder, Nachbarn oder Kollegen gäbe es dann heute wohl nicht?

Jeder Mensch kann früher oder später zur Flucht gezwungen sein. Auch Du, lieber Leser. Oder ich. Das kann manchmal schneller gehen als man denkt. Würde man dann wollen, daß man an einer Grenze zu einem sicheren Land, in dem man Zuflucht suchen und Asyl beantragen möchte, abgewiesen zu werden, weil eine aus reinem rechtsgerichteten Populismus gezogene Obergrenze erreicht worden ist?

Nein, als Deutsche haben wir den Anspruch, quasi überall ungehindert einreisen zu können. Aber wir sind offenbar auch so egoistisch, daß wir das, was wir für uns selber einfordern, anderen nicht zugestehen wollen. Das ist nicht nur falsch oder peinlich, sondern auch in höchstem Maße unmoralisch und Unrecht.

 

Kategorie: 
 

Letsencrypt: challenging challenges

On December 3rd 2015 the Letsencrypt project went to public beta and this is a good thing! Having more and more websites running on good and valid SSL certificates for their HTTPS is a good thing, especially because Letsencrypt takes care of renewing the certs every now and then. But there are still some issues with Letsencrypt. Some people criticize the Python client needing root priviledges and such. Others complain that Letsencrypt currently only supports webservers.

Well, I think for a public beta this is what we could have expected from the start: the Letsencrypt project focussed on a reference implementation and there are already other implementations being available. But one thing seems to a problem within the design of how Letsencrypt works as it uses a challenge response method to verify that the requesting user is controlling the domain for which the certificate shall be issued. This might work well in simple deployments, but what about a little more complex setups like multiple virtual machines and different protocols involved.

For example: you're using domain A for your communication like user@example.net for your mail, XMPP and SIP. Your mailserver runs on one virtual machine, whereas the webserver is running on a different virtual machine. The same for XMPP and SIP: a seperate VM as well. 

Usually the Letsencrypt approach would be that you configure your webserver (by configure /.well-known/acme-challenge/* location or use a standalone server on port 443) to handle the challenge response requests. This would give you a SSL cert for your webserver example.net. Of course you could copy this cert to your mail-, XMPP- and SIP-server, but then again you have to do this everytime the SSL cert gets renewed.

Another challenge is of course that you are not only have one or two domains, but a bunch of domains. In my case I host approximately >60 domains. Basically the mail for all domains are handled by my mailserver running on its own virtual machine. The webserver is located on a different VM. For some domains I offer XMPP accounts on a third VM.

What is the best way to solve this problem? Moving everything to just one virtual machine? Naaah! Writing some scripts to copy the certs as needed? Not very smart as well. Using a network share for the certs between all VMs? Hmmm... would that work?

And what about TLSA entries of your DNSSEC setup? When a SSL cert is renewed than the fingerprint might need an update in your DNS zone - for several protocols like mail, XMPP, SIP and HTTPS. At least the Bash implementation of Letsencrypt offers a "hook" which is called after the SSL cert has been issued.

What are you ways to deal with this kind of handling the ACME protocol challenges and multi-domain, multi-VM setup?

Kategorie: 
 

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer