Alternative zu StartSSL

Status
Für weitere Antworten geschlossen.

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Hallo,

wo kann ich mir ein SSL-Zertifikat mit möglichst langer Laufzeit und kostenlos erstellen?
Start-SSL scheidet für mich aus, da ich in meinem Domainnamen das Keywort "store" enthalten ist und die mir sagen das Domains mit bestimmten Keywörtern nicht unterstützen. Wie z.B. store, play und noch irgendwas...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da das gerade aktuell ein profundes Geschäftsmodell ist/wird, ist die Auswahl beschränkt und kaum etwas mit mehr als 30 Tage erhältlich. Aber schau selbst: http://lmgtfy.com/?q=free+SSL+certificate
 

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Na, toll!

Gibt es dann für kleines Geld vllt. ein Zertifikat, was die gesamte Domain und nicht nur eine Sub-Domain mit einschliesst?
Hat hier jmd. Erfahrung bzw. ene Empfehlung?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
mach dir doch ein selber signiertes Zertifikat oder schau dir mal cacert.org an (gratis, aber deren Zertifikate sind bei den Browsern nicht mitdabei)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Was verstehst Du unter "kleines Geld"? Mit mindestens ca. 50 €/Jahr wirst Du für ein Domain-Zertifikat rechnen können, was von den gängigen Browsern standardmäßig erkannt wird...
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Wtf. Wo hast du 50€ her? globessl.com 8$ für ein Standard-Domain-Cert (aber ohne Wildcard, Multidomain)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Du hast schon gesehen, dass Nima nach einem Angebot gefragt hatte, das "eine gesamte Domain und nicht nur eine Sub-Domain mit einschließt"??
 

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Also wenn ich das richtig verstehe ist bei globessl.com eine Domain und nicht nur eine Subdomein gemeint, oder irre ich mich da?
@ubuntulinux: nutzt du den Service?
Ist schon traurig, dass man als kleiner NAS-User da zur Kasse gebeten wird...
Aber ohne Zertifikat läuft das nicht so rund, gell?
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Sorry, hab das übersehen mit wildcard...

Ja, ich nutze GlobeSSL. Läuft soweit gut. Ohne Zertifikat kannst Du keine Verschlüsselung machen, also nicht empfehlenswert. Jedoch kannst du ein eigenes Zertifikat generieren. Es gibt dann zwar einen Fehler, wenn du aber das Zertifikat anschaust und es wirklich deines ist, kannst du den Fehler ignorieren, die Sicherheit ist dieselbe wie mit einem vertrauenswürdigen Zertifikat.
 

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Und warum hast du es dann über globessl gemacht?
Funktioniert das mit der Domain und etwaiger Subdomains? Oder braucht man für eine Domain und jede Subdomain ein eigenes Zertifikat?
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Habe eine Seite, wo die Besucher keinen Fehler bekommen sollen. Deswegen das GlobeSSL. Sämtliche interne Sachen von mir sind mit einem CAcert ausgestattet.
Nein, du brauchst für jede domain/subdomain ein eigenes Cert, ausser du nimmst ein Wildcard. Und die sind, wie schon gesagt wurde, relativ teuer.
 

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Vielen Dank!
Ich glaube ich werde es auch mit GlobeSSL probieren!
 

Nima

Benutzer
Mitglied seit
11. Okt 2013
Beiträge
220
Punkte für Reaktionen
0
Punkte
16
Habe mir jetzt mal ein Probe-Zertifikat gemacht. Bekomme aber trotzdem noch Zertifikats-Hinweise. Why???
Das Zertifikat enthält ja auch den Schlüssel. Ist es überhaupt sicher? Gerade wo diese Unternehmen in den USA sitzen...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das Zertifikat, was der Server ausliefert, enthält nur einen öffentlichen Teilschlüssel, nicht den privaten Schlüssel. Was man aber beherzigen sollte ist, das Schlüsselpaar au seinem Rechner/DS zu erzeugen und daraus einen CSR (Certificate Signing Request) zu generieren - da den private Schlüssel niemand sonst in die Finger bekommen sollte, ist inzwischen zu vermeiden, das Angebot des Dienstleisters anzunehmen, ein Schlüsselpaar zu erzeugen. Mit dem CSR erzeugt dann der Dienstleister das signierte Zertifikat.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
wenn man die entsprechenden SSL-Ciphren benutzt (weiss aber ned ob die Firmware das auch kann), dann kann man der private Key eigentlich sogar an die Haustüre hängen ;-) Denn bei den modernen Ciphren wird die eigentliche Kommunikation mit vom private Key vollkommen unabhängigen Schlüsseln gesichert. Das sind sozusagen temporäre Schlüssel, die genau für eine Verbindung genutzt werden. Zudem wird dabei zum Schlüsseltausch ein Verfahren verwendet, welches es unnötig macht, dass die benutzen Schlüssel überhaupt jemals zwischen Server und Client durch die Leitung gehen
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Aber im regulären SSL wird der private Schlüssel (also bei dem asymmetrischen 1. Teil der Kommunikation) genutzt, um den Sessionkey (für den symmetrischen 2. Teil) zu vereinbaren. Das von Dir angedeutete PFS über einen intitialen DH-Schlüsseltausch wird heutzutage bei praktisch keinen Servern in freier Wildbahn angeboten, nicht mal bei den Servern des BSI, die jüngst genau das für behörtliche Server gefordert haben :D (zumal dieses auch noch nicht in allen Browsern unterstützt wird). Auch bei der DS ist der private Key zwangsweise gefordert, eben weil DH (noch) nicht implementiert ist. Für's erste würde ich daher meinen privaten Key immer noch schön wegschliessen :)
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
as von Dir angedeutete PFS über einen intitialen DH-Schlüsseltausch wird heutzutage bei praktisch keinen Servern in freier Wildbahn angeboten, nicht mal bei den Servern des BSI, die jüngst genau das für behörtliche Server gefordert haben
gmail hat bereits komplett umgestellt. Und dank der NSA werden mehr kommen :)
Ob es in der DS bereits verfügbar ist, findest du schnell raus wenn du dir die verfügbaren Ciphren der openssl Library anguckst
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da hast Du Recht... aber sie tun es auch nur für die email-Server (aber wenigstens etwas). Ein weiterer Punkt ist aber, dass PFS allein nicht wirklich die Sicherheit liefert, die man sich wünscht - weil es nämlich keine Authentifikation liefert. Nur die Kombination mit der Signatur über einen authentischen private key liefert Dir die Sicherheit, mit dem Richtigen geheim zu reden.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Die Sicherheit von SSL steht und fällt mit der Vertrauenswürdigkeit der Serverzertifikates, das stimmt. Bei PFS geht es ja auch weniger um die Authentifizierung der Gegenseite, sondern mehr gegen die "Vorratsdatenspeicherung", welche durch PFS recht sinnlos wird.
Schade finde ich dass die "Serverhersteller" (z.B. apache) und die Clienthersteller (z.B. Browser) sich den Ball hin- und herschieben, wer denn jetzt im Zugzwang ist, damit PFS schneller zum Durchbruch verholfen wird.
Kannst du allenfalls mal den Output von
Code:
openssl ciphers
einer DS hier posten. Dann sehen wir schnell ob es mit einer DS bereits möglich ist
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Du hast Recht, jahlives, ich muss mich korrigieren :)
sogar die DH-Varianten mit 256bit und elliptischen Kurven gleich zu Beginn... - also, hier ist Synology vorbildlich.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat