Matrix 1.0: Zertifikate als Roadblocker

Matrix, Frankreichs Regierung bekommt Open-Source-Messenger

Die Release von Matrix 1.0 hatte Matthew Hodgson bereits auf der Fosdem für die nahe Zukunft in Aussicht gestellt. Doch gibt es für die Community noch ein wesentliches Hindernis zu überwinden: TLS-Zertifikate.

Synapse heißt der Homeserver des Matrix-Projekts. Er verbindet die verschiedenen Clients miteinander und lässt sich dezentral im eigenen Netzwerk aufsetzen. Für die Veröffentlichung von Matrix 1.0 legt Synapse allerdings auch einen Stolperstein in den Weg: Bislang erlaubt der Server den Einsatz selbst signierter Zertifikate. In einem Blogpost ruft Neil Johnson die Serverbetreiber dazu auf, auf Synapse 1.0 zu wechseln.

Die selbst signierten Zertifikate erlauben es, Verbindungen über HTTPS abzusichern. Sie sind allerdings in ihrer bisherigen Form nur ein Notbehelf, der dem Projekt jetzt auf die Füße fällt. Bei der Einführung von Federation im Jahr 2014 waren selbstsignierte Zertifikate eine gute Sache. Die Matrix-Entwickler wollten ihren Nutzern damals nicht zumuten, kostenpflichtige TLS-Zertifikate zu kaufen. Stattdessen setzten sie auf ein System namens Perspectives: Dabei überprüften mehrere Notary Server (in der Praxis waren dies Matrix-Homeserver) die Gültigkeit eines Zertifikates, um diesem zu vertrauen.

Perspective ohne Perpektive

Mittlerweile gibt es allerdings nicht nur die kostenlosen und einfach zu installierenden Let’s-Encrypt-Zertifikate. Das Perspective-System erwies sich zudem als fehleranfällig. Die meisten Nutzer verließen sich nämlich auf den Standard-Notary-Server von Matrix.org. Das führte zu einer ungewollten Zentralisierung. Zugleich implementierten die Matrix-Macher selbst keinen vollständigen Konsensalgorithmus, der die Zertifikate der teilnehmenden Server in einem Raum überprüft. Diese Funktionalität sei auch nicht ganz einfach zu implementieren. Als Let’s Encrypt auf der Bühne erschien, entschlossen sich die Entwickler, doch auf gültige TLS-Zertifikate umzusteigen, dafür aber einen “Breaking Change” in Kauf zu nehmen.

Sind wir schon da?

In seinem Blogpost ruft Entwickler Neil Johnson nun die fehlenden Matrix-Betreiber dazu auf, ihre Zertifikate zu erneuern. Wer die eigene Installation überprüfen will, verwendet dafür mit dem Federation Tester einen eigenen Dienst. Der “Sind wir schon da?”-Dienst vom Matrix.org zeigt, dass bislang rund 57 Prozent der Matrix-Installationen valide Zertifikate verwenden.

Dabei gibt es laut Johnson noch mehr Anreize für die Serverbetreiber, ihre Installationen auf den aktuellen Stand zu bringen. Die Version 1.0 von Synapse bringe unter anderem verschiedene (Security)-Bugfixes und neue Features mit, die etwa die Algorithmen zur Nutzer- und Raumsuche betreffen. Wer also auf die 1.0 umsteige, helfe nicht nur, die neue Version vom Stapel zu lassen, sondern profitiere auch durch ein Mehr an Sicherheit und neuen Features.

Konsens finden

Anders als bei zentralisierten Diensten, die solche Änderungen “einfach” auf alle Server ausrollen, stimmen bei dezentralisierten Diensten im Optimalfall alle Betreiber der Instanzen solchen disruptiven Änderungen zu. Diese Zustimmung ist allerdings nicht zwingend: Ab einem bestimmten Punkt der Adoption wollen die Matrix-Macher die Beta-Phase beenden und die 1.0 veröffentlichen. Sie hoffen aber, dass auch dank des aktuellen Aufrufs, bis dahin möglichst viele Serverbetreiber mit an Bord sind.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben