StartSSL kann jetzt auch sein Zertifikat automatisch erneuern?

Ha34Meiner · 11. Mai 2016

Nun eine Frage an Euch, da unser Englisch uns manchmal im Stich lässt.
Bedeutet folgende Information, dass wir mit unserem StartSSL auch dieses wie schon letsencrypt automatisch aktualisieren können, ohne immer ein neues Zertifikat ausstellen zu müssen? Oder werfen wir mal wieder alles durcheinander?

The StartAPI lets you get SSL certificate automatically and instantly using your own code in the server. The StartPKI lets you issue SSL certificate under your company name like “Company Server CA”, you can issue green bar EV SSL, OV SSL by yourself at any time you need the certificate instantly without one cent cost;

StartCom launches new StartAPI and StartPKI service
Apr. 28, 2016

Fusion · 11. Mai 2016

Aktualisieren ist das falsche Wort. Erneuern trifft es wohl eher. Das Zertifikat wird ja gegen ein neues (gleiche Daten, aber geänderte Laufzeit) ausgetauscht.

Liest sich fast so https://www.startssl.com/StartAPI
Bin mir aber nicht sicher, ob (zu zahlendes) StartPKI jetzt Voraussetzung ist oder nicht.

Ha34Meiner · 12. Mai 2016

Dachte zu erst, es ist auch in der free Version möglich. Aber nun weiß ich es auch nicht so recht, ob es umsonst ist.
Zumindest kommt bei mir folgende Anleitung (hier nur die 2 ersten Punkte und die Fußnoten):

1. Before Start

Before using StartAPI, you need to get the API authenticate certificate for free, and get the unique API Token ID for each StartSSL account.
2. Test StartAPI

Before testing the API, you need to go to "Domain Validation" and validate a domain first, then you can call the API to get the SSL certificate for this domain. If you want to get SSL certificate for many domains, you need to validate those domain first in your account. For those website hosting provider, StartAPI support website control validation instead of doing the domain validation manually using website control validation API.
2.1 Apply Certificate

If your StartSSL account has a verified domain, e.g. yourdomain.com, then use the following sample code to test your API now, you need to use your API Authen Certificate for authentication to call API, please refer to 2.7. And the test API URL is https://apitest.startssl.com

Please notice:

(1) You need to do the domain validation in your account manually, API only support Website control validation;
(2) You need to do the identity validation in your account manually before order IV SSL, OV SSL and EV SSL certificate;
(3) If your account is validated as Class 1 Validation, you can order Class 1 DV SSL that just display the hostname in certificate subject;
(4) If your account is validated as Class 2 Validation, you can choose to order Class 1 DV SSL and Class 2 IV SSL. Class 1 DV SSL just display the hostname in certificate subject, and Class 2 IV SSL will display your personal name in the certificate subject;
(5) If your account is validated as Class 3 Validation, you can choose to order Class 1 DV SSL and Class 3 OV SSL. Class 1 DV SSL just display the hostname in certificate subject, Class 3 OV SSL will display your organization name in the certificate subject;
(6) If your account is validated as Class 4 Validation, you can choose to order Class 1 DV SSL, Class 3 OV SSL and Class 4 EV SSL. Class 1 DV SSL just display the hostname in certificate subject, Class 3 OV SSL will display your organization name in the certificate subject, and Class 4 EV SSL will display your organization name, office address with post code, registration location and registration number (that it will display green bar in the browser address bar);
(7) All orders from API will be listed in Certificate List menu like the manual orders.

Ha34Meiner · 20. Jun 2016

Da ja unser Englisch nicht das aller Beste ist, könnt Ihr uns vielleicht sagen, ob ich nun ganz umsonst mein Zertifikat erneuern lassen kann?

Dear StartCom customers,

This electronic mail message was created by StartCom's Administration Personnel:

StartCom, a leading global Certificate Authority (CA) and provider of trusted identity and authentication services, announces a new service – StartEncrypt today, an automatic SSL certificate issuance and installation software for your web server.

StartEncrypt is based the StartAPI system to let you get SSL certificate and install the SSL certificate in your web server for free and automatically, no any coding, just one click to install it in your server.

Compare with Let’s Encrypt, StartEncrypt support Windows and Linux server for most popular web server software, and have many incomparable advantages as:

(1) Not just get the SSL certificate automatically, but install it automatically;

(2) Not just Encrypted, but also identity validated to display EV Green Bar and OV organization name in the certificate;

(3) Not just 90 days period certificate, but up to 39 months, more than 1180 days;

(4) Not just low assurance DV SSL certificate, but also high assurance OV SSL certificate and green bar EV SSL certificate;

(5) Not just for one domain, but up to 120 domains with wildcard support;

(6) All OV SSL certificate and EV SSL certificate are free, just make sure your StartSSL account is verified as Class 3 or Class 4 identity.

StartEncrypt together with StartSSL to let your website start to https without any pain, to let your website keep green bar that give more confident to your online customer and bring to online revenue to you. Let’s start to encrypt now.

Please do not reply to this email. This is an unmonitored email address, and replies to this email cannot be responded to or read.
If you have any question or comments, just click Here ((https://startssl.com/reply) to send your question to us, thanks.

Best Regards
StartCom™ Certification Authority

Fusion · 20. Jun 2016

Ist wieder nicht 100% eindeutig. Sprechen zwar von free, aber nur im Zusammenhang mit den entsprechenden Identitätsklassen (your StartSSL account is verified as Class 3 or Class 4 identity.) und die Kosten richtig Geld (ab $10 pro Monat).
Allerdings lese ich da jetzt gerade auch was von StartEncrypt Lite, was sich auf die "klassischen" DV SSL Zertifikate bezieht, die man für private/non-commercial seither auch schon kostenlos bekommen hat.
Muss ich später mal genauer nachlesen, vielleicht hat der Let's Encrypt "Konkurrenzdruck" hier schon was bewirkt.

Ha34Meiner · 20. Jun 2016

Danke Fusion für Deine Hilfe,
ich Rätsel dann auch noch weiter.

Frogman · 20. Jun 2016

Die kostenlosen Zertifikate richten sich eigentlich an Unternehmen - Voraussetzung (das steht da ja auch) ist der mindestens Class 3-validierte Account für Unternehmen (Kostenpunkt 120$ pro Jahr), Class4-validiert kostet 199$ per anno. Die eigentlichen Zertifikate (OV SSL und EV SSL) mit einer Laufzeit bis zu 39 Monaten und für 120 Domains (mit Wildcard-Support) sind dann kostenlos. StartEncrypt Lite ist dann die kostenlose Variante für den gemeinen User (DV SSL), beinhaltet bis zu 5 Domains (ohne Wildcard-Support) mit automatisierter Zertifikatabholung und einer Laufzeit von 12 Monaten.

Fusion · 20. Jun 2016

Prinzipiell scheint es jedenfalls zu gehen, sowohl mit StartEncrypt Lite (ohne Account) wie auch mit Pro (mit Account), man kann sich halt nur DV SSL Zertifikate holen. Aber das wären ja diesselben freien wie bisher auch.
Wie man das jetzt allerdings einbaut und ob das bei 5-10 Zertifikaten Zeit spart ist noch die andere Frage.
Hab mir mal eine separate email validiert und mir das API Token geholt.
Bei Gelegenheit dann weiter.

Frogman · 20. Jun 2016

Hier ist das, was ich in #7 schrieb und auf die englischen Originalquellen verlinkt hatte, auch noch einmal auf deutsch bei Heise nachzulesen.

Fusion · 20. Jun 2016

Das schließt sich ja nicht aus. Das wichtige Wort ist hier "auch", bzw. not just .... but up to. Einziger Unterschied zwischen Lite und Pro ist der Funktionsumfang insgesamt und dass man den Account bei StartSSL braucht. Wer seither kostenlose DV SSL Zertifikate von StartSSL hat, besitzt diesen aber eh schon.
Man kann auch mit Pro ein DV SSL Zertifikat bekommen, kostenlos. Nur wer OV/EV will muss für die Validierung zahlen.
Da hat Heise mal wieder nicht ganz sauber formuliert. Nicht der Account kostet, sondern die Validierung.

Frogman · 20. Jun 2016

Fusion schrieb:
Das schließt sich ja nicht aus. .

Das habe ich auch nicht behauptet.

Fusion · 20. Jun 2016

@frogman - da habe ich wohl zu viel in deine Zeilen hinein-gelesen. My apologies.

Frogman · 20. Jun 2016

Fusion schrieb:
... Man kann auch mit Pro ein DV SSL Zertifikat bekommen, kostenlos. Nur wer OV/EV will muss für die Validierung zahlen. Da hat Heise mal wieder nicht ganz sauber formuliert. Nicht der Account kostet, sondern die Validierung.

Sie geben das aber schon irgendwie richtig wieder: OV/EV können nur Unternehmen bekommen - und die können keine Class1-Accounts beantragen, sondern nur Accounts mit Class3/4-Validierung - die eben kostenpflichtig sind aufgrund ihrer Validierung.

StartEncrypt Pro bietet auch Extended-Valitaded- (EV) und Organization-Validated-Zertfikate (OV) an. Dafür muss man aber zwingend einen kostenpflichtigen StartSSL-Account bei StartCom erstellen. Im Zuge dessen zahlt man aber nicht für das Zertifikat, sondern für die Überprüfung. Die Jahresgebühr beläuft sich maximal auf rund 176 Euro.

Ha34Meiner · 20. Jun 2016

Dann fasse ich einmal für uns kostenlose Zertifikat-Ersteller zusammen:
Mit meinem StartEncrypt LITE kann ich auch die Automatisierung beantragen und das kostenlos. Nur wo ich dann die Token u.s.w. eintragen muß, dass weiß ich noch nicht.

Frogman · 20. Jun 2016

So isses...

Fusion · 20. Jun 2016

Im Grunde hast du recht. Als Unternehmen bleibt einem nur eine kostenpflichtige Validierung. Ich hatte mich nur an der Formulierung "zwingend einen kostenpflichtigen StartSSL-Account" gestört.
Der Account ist kostenlos, aber ohne kostenpflichtige Validierung bringt einem das ja nix für den commercial use. Ist halt erstmal in falschen Hals gewandert. Egal, abgehakt,...

Fusion · 20. Jun 2016

Die Client-Software ist dieselbe. Der Client wählt am Anfang Lite oder Pro.
Danach will er die webserver config sehen. Bei Lite versucht er dann vermutlich die konfigurierten Domains direkt mit Certs zu versorgen.
Von API Tokens etc steht bei der Lite Variante nix dabei (wäre auch schwierig ohne StartSSL Account).
Das gibt sich wie ne 1:1 Kopie von Let's Encrypt bis jetzt (was die DV SSL Zertifikate angeht, mit längerer Laufzeit).

Frogman · 20. Jun 2016

Naja, leider nur für 5 Domains. Aber vielleicht tut sich da irgendwann auch der Wildcard-Support auf - spätestens dann, wenn der bei Let's Encrypt kommt.

Fusion · 20. Jun 2016

Ist auch die Frage wie das wieder zu lesen ist "DV SSL certificate that up to 5 domains with one year period" (die ganzen Rechtschreibfehler und dass deren eigenes EV Zertifikat nicht sauber lädt finde ich ja schon ein wenig ...).
Ob damit 5 Domains pro Zertifikat, oder nur 5 Zertifikate gemeint sind, oder 5 Domains, aber mehr Hostnamen ...
Aktuell habe ich 7 Hostnamen unter einer Domain, also 7 Zertifikate mit hostname.domain.tld

Frogman · 20. Jun 2016

Max. 5 benannte Domains auf einen Account mit einem Zertifikat.

StartSSL kann jetzt auch sein Zertifikat automatisch erneuern?

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat