In der Praxis fällt mir nun auf, dass die Let’s-Encrypt-Zertifikate zwar von den gängigen Browsern wie Chrome oder Firefox akzeptiert werden, das System selbst kommt mit den Zertifikaten jedoch noch nicht zurecht, da dieses das Let’s-Encrypt-Stammzertifikat in der Regel noch nicht kennt. Dies spürt man beispielsweise bei verschlüsselten WebDAV-Verbindungen, die man über den Dateimanager aufbauen möchte. Unter Gnome meldet Files (aka Nautilus) etwa recht wortkarg „Unbekannte Fehlermeldung: HTTP-Fehler: Nicht akzeptables TLS-Zertifikat“. Aufgrund eines uralten Bugs aus dem Jahr 2007 geht es danach auch nicht mehr weiter. Mit einem aktuellen Gnome-System lässt sich ein WebDAV-Share nicht verschlüsselt einbinden, egal ob Let’s Encrypt oder ein selbst-signiertes Zertifikat.

Das Geschehen kann man auch recht schön auf der Kommandozeile nachvollziehen: Nautilus macht nichts anderes als die WebDAV-Freigabe über das Gnome Virtual File System (aka GVFS) einzubinden, das entsprechende Kommando dafür lautet schlicht gvfs-mount gefolgt von der URL des entsprechenden Dienstes. Auch hier ist das Ergebnis wieder, dass GVFS den Verbindungsaufbau trotz explizierter Anweisung verweigert. Dasselbe würde übrigens auch mit einem selbst-signierten Zertifikat passieren, es sind also nicht nur Anwender von Let’s Encrypt von diesem Problem betroffen.

$ gvfs-mount davs://home.example.com:5006
Die Identität der Gegenseite kann nicht bestätigt werden:
	Die Zertifikats-Ausgabestelle ist unbekannt

Certificate information:
	Identity: home.example.com
	Verified by: Let's Encrypt Authority X1
	Expires: 02.03.2016
	Fingerprint (SHA1): 93 AD D4 91 ED 57 93 BF 53 D9 4D C2 4D D5 2D 39 1D 83 9C 95

Sind Sie absolut sicher, dass Sie fortsetzen wollen?
[1] Ja
[2] Nein
Choice: j
Fehler beim Einhängen des Ortes: HTTP-Fehler: Nicht akzeptables TLS-Zertifikat

Möchtet ihr nun nicht darauf verzichten euer NAS per verschlüsseltem WebDAV einzubinden, müsst ihr die Let’s-Encrypt-Stammzertifikate in eurem System installieren. Ihr könnt das jetzt manuell machen, oder ihr wartet bis der Distributor eurer Linux-Installation dies für euch erledigt — was je nach Distribution ein ganzes Weilchen brauchen kann. Mit den folgenden Kommandos ladet ihr die Let’s-Encrypt-Stammzertifikate aus dem Netz und installiert diese im System. Ein selbst-erstelltes Zertifikat ließe sich auf dem selben Weg einspielen, gebt bei Bedarf einfach den vollständigen Pfad zur Datei an.

$ wget https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
$ wget https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
$ sudo trust anchor lets-encrypt-x1-cross-signed.pem
$ sudo trust anchor lets-encrypt-x2-cross-signed.pem

Zur Kontrolle könnt ihr euch danach mit trust list die im System verfügbaren Zertifikate ausgeben lassen. Mit ein bisschen Grep-Magie sollte das Kommando dann nur die zwei neuen Let’s-Encrypt-Zertifikate ausspucken — wenn nicht, dann hat irgendwas mit der Installation der Zertifikate nicht funktioniert. Anschließend öffnet ihr wieder Nautilus und gebt abermals davs://home.example.com:port als URL in die Adresszeile ein. Diesmal sollte der Dateimanager das Zertifikat anstandslos akzeptieren und die verschlüsselte Verbindung zum NAS anstandslos aufbauen. Was ich hier mit Nautilus unter Gnome mache, sollte eigentlich auch mit den Dateimanagern anderer Desktopumgebungen funktionieren, also etwa bei KDE und Dolphin.

$ trust list | grep -C 2 "Let's Encrypt"
pkcs11:id=%a8%4a%6a%63%04%7d%dd%ba%e6%d1%39%b7%a6%45%65%ef%f3%a8%ec%a1;type=cert
    type: certificate
    label: Let's Encrypt Authority X1
    trust: anchor
    category: authority
--
pkcs11:id=%c5%b1%ab%4e%4c%b1%cd%64%30%93%7e%c1%84%99%05%ab%e6%03%e2%25;type=cert
    type: certificate
    label: Let's Encrypt Authority X2
    trust: anchor
    category: authority

Solltet ihr die Stammzertifikate (oder ein entsprechend selbst-signiertes) später einmal wieder vom System löschen wollen, dann hängt an das Kommando trust anchor einfach noch ein --remove mit dem Pfad zur Zertifikat-Datei oder der entsprechenden PKCS-Kennung an. Achtet dabei bitte darauf kein wirklich wichtiges Zertifikat zu löschen, sonst weigert sich beispielsweise die Paketverwaltung mit den Paketquellen zu sprechen oder es lassen sich viele verschlüsselte Webseiten nicht mehr öffnen.

$ trust anchor --remove /pfad/zu/zertifikat.crt
$ trust anchor --remove "pkcs11:id=%AA%BB%CC%DD%EE;object-type=cert"

Sollte ihr auf einem Linux-System die Daten seines Handys per USB einsehen wollen, dann sollte man auf jeden Fall erst einmal kurz unter Einstellungen -> Speicher -> USB-Verbindung überprüfen, ob das Handy sich als Mediengerät (MTP) verbindet. Dies ist inzwischen bei den meisten Android-Handys der Fall, nur manche Geräte mit einem zusätzlichen microSD-Kartenslot bilden hier noch eine Ausnahme, auf diesen Teil des Speichers kann man ab und an noch per USB-Massenspeichermodus — und somit auch ohne weitere Basteleien — zugreifen, da das Handy in diesem Fall wie ein USB-Speicherstick arbeitet.

Wer unter Arch nun mit GNOME, der GNOME Shell und/oder Nautilus (bzw. jetzt Dateien oder Files genannt) arbeitet, der muss das Gnome Virtual File System mitsamt dem Modul für die MTP-Unterstützung nachinstallieren. Dies geschieht nicht automatisch, wenn man GNOME mitsamt seiner Abhängigkeiten aus der Paketverwaltung zieht. Nach der Installation der zwei Pakete taucht umgehend beim Anstecken des Handys unter „Geräte“ euer Android-Smartphone oder -Tablet auf.

$ sudo pacman -S gvfs gvfs-mtp

Unter Arch Linux arbeitet GVFS zusammen mit MTP absolut sauber. Ich sehe alle auf dem Handy enthaltenen Daten und kann sie vom Handy löschen, verschieben oder kopieren. Natürlich kann ich auch neue Dateien aufs Handy schaufeln. Vergleiche ich den MTP-Support zu Debian Jessie/Testing, dann muss ich sagen, dass der MTP-Zugriff unter Arch deutlich besser funktioniert. Unter Debian verlieren vom Handy kopierte Dateien ihren Dateinamen (sie bekommen einfach nur eine fortlaufende Nummer) und auch der Transfer größerer Dateimengen bricht ab — das passiert unter Arch nicht! Daher die Frage an die Ubuntu-User, funktioniert das auf aktuellen Ubuntu-Systemen sauber?

$ sudo add-apt-repository ppa:langdalepl/gvfs-mtp
$ sudo apt-get update && sudo apt-get dist-upgrade

Ich habe die Pakete bei mir unter Ubuntu 12.10 probiert und kann nicht klagen. Nach der Installation und einem Neustart des Systems taucht mein Galaxy Nexus umgehend im Dateimanager auf, sobald das Handy anschließe. Die Performance ist beim Dateitransfer ist OK, aber auch nicht berauschen. Schreibend schafft mein Nexus etwa 4,5 MB/s, Lesen geht es bei etwa 8,2 MB/s etwas schneller zu.

Was ich beobachten konnte, ist dass die Verbindung zum Handy nach einer Weile einschläft. Hat man zum Beispiel den Dateimanager mit dem Handy als Verzeichnis offen und wartet eine Weile (etwa so lange wie ich an diesem Beitrag geschrieben habe) ab, dann lässt sich in dieses Fenster keine Datei mehr ziehen, man muss das Handy ab- und wieder anstöpseln. Ganz sauber und ohne Bugs arbeitet das PPA daher noch nicht, bis zu Ubuntu 13.04 werden die Kinderkrankheiten hoffentlich ausgemerzt werden. Testet daher das PPA und gebt dem Entwickler über eure Erfahrungen Bescheid!