AZukunft ist dafür
+3

Zusammenfassung und Kompromiss bzw. vorgeschlagene Vorgehensweise

Wir sollten bei der Diskussion stets im Hinterkopf behalten, dass es sich hierbei um eine Betaversion handelt, welche, wie Friedrich Lindenberg mitteilt, in ungefähr zwei Tagen vor wenigen Tagen aufgesetzt wurde. Das System selber wird, so wage ich es zu behaupten, gegenwärtig primär von Vertretern der Liquid Democracy Bewegung und von Leuten aus der IT bzw IT vertrauten verwendet. Es würde mich freuen, wenn sie meinen Beitrag lesen und anschließend ihre Meinung zu den Kompromissvorschlägen kundtun würden.

Als Argumente gegen HTTPS wurden Preis, technische Umsetzung und Notwendigkeit angeführt.

Wie joergbuehmann klarstellte, kosten (nicht Root zertifizierte) SSL Zertifikate ~20 Euro. Er stellte diese 20 Euro in aussicht, sollten sie zur Umsetzung benötigt werden. Ein nicht Root zertifiziertes Zertifikat stellt für die oben genannte Nutzer keine Probleme dar. In mehreren Wochen, sollte sich die Webseite herumgesprochen haben, besteht jedoch Gefahrt, dass einige Nutzer über die Fehlermeldung (durch die fehlende Zertifizierung) zumindest verwundert und an der Sicherheit der technischen Lösung zweifeln könnten.

Tobiasgies und andreask weißen sogar auf eine Möglichkeit hin, so ein Root verifiziertes SSL Zertifkat für das System direkt von der Technikabteilung des Bundestags zu beziehen. Ob dies für die Betaversion möglich ist und wenn ja, wie lange dies dauern würde, kann ich leider nicht absehen. Ein selbstzertifiziertes SSL Zertifikat von z.B. CACert, wie es joergbuehmann vorschlägt, wäre eine Übergangslösung, sollte der Bundestag kein Zertifikat zur Verfügung stellen bzw diese zur Verfügungstellung einen längeren Zeitraum (d.h. mehrere Wochen bis Monate) benötigen.

Die Notwendigkeit ist für das System in gegenwärtiger Form eine durchaus interessante Frage. Ich denke es ist den oben bereits genannten Personenkreis für die ersten Tage durchaus zuzumuten, das System nur von nicht öffentlichen Netzwerken (sprich: vom heimischen Computer aus) und, falls zutreffend, innerhalb von verschlüsselten WLANs zu verwenden. Über längere Sicht hingegen halte ich es für unabdingbar, dass SSL eingeführt wird.

Zusammenfassend sehe ich keine Weg um HTTPS, jedoch sollte zuerst überprüft werden wie man möglichst kostengünstig an ein Root zertifiziertes Zertifikat gelangt, wie lange dies dauern würde und ob vlt sogar die technische Abteilung des Bundestags ein SSL Zertifikat für dasdie Webseite ausstellen würde. Sollte der Bundestag kein Zertifikat ausstellen oder dies zu lange dauern, könnte man als Übergangslösung auch ein eigenes SSL Zertifikat ausstellen oder z.B. von CACert beziehen. Die hierfür anfallenden Kosten halten sich nach Aussage von joergbuehmann in Grenzen.