Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 15 von 18

Thema: Selbsterstellte Zertifikate - wann?

  1. #1
    Kunde
    Registriert seit
    10.05.2011
    Beiträge
    3

    Frage Selbsterstellte Zertifikate - wann?

    Hallo,

    das System der Zertifizierungsstellen für https-Zertifikate ist mittlerweile obsolet, man braucht für ein https-Zertifikat auch keine eigene IP mehr (Server Name Indication).

    Wann wird domainfactory die Funktion anbieten einfach für beliebige Domains selbst erstellte Zertifikate kostenlos einzubinden?

    Ciao!
    Stefan

  2. #2
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    14.478

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von logosarithmos Beitrag anzeigen
    das System der Zertifizierungsstellen für https-Zertifikate ist mittlerweile obsolet
    Na, das ist doch mal 'ne Aussage. Woher beziehst Du diese Information?

    Gruß,
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  3. #3
    Kunde
    Registriert seit
    10.05.2011
    Beiträge
    3

    AW: Selbsterstellte Zertifikate - wann?

    z.B. "Neues Vertrauen, Notare als Ersatz für zentrale Zertifizierungssysteme" in ct 5/2012. http://www.heise.de/artikel-archiv/ct/2012/5/172_kiosk

    Gehackte Zertifizierungsstellen und gefälschte SSL-Zertifikate – die etablierten Systeme haben das Vertrauen der Anwender verspielt. Das Projekt Convergence ermöglicht dem Anwender, selbst zu bestimmen, ob und wem er vertrauen will.
    Ciao!
    Stefan

  4. #4
    Gast
    Registriert seit
    15.10.2006
    Beiträge
    1.111

    AW: Selbsterstellte Zertifikate - wann?

    Hi,

    dazu eine (ernstgemeinte) Frage: Für was solche Zertifikate einsetzen? Damit wird eine Seite auch nicht sicherer. Und wenn eine Seite gehackt wurde, der Seitenbetreiber merkt das nicht, dann hilft mir als Anwender ein 1000€ Zertifikat herzlich wenig (Stichwort: Webseitenmanipulation).

    Auch sagt so ein Zertifikat nichts aus, wie meine Daten am "Ende" wie gespeichert werden (Stichwort: Passwörter im Klartext).

    Also ich vertraue sicherlich keinem Zertifikat - aber das ist meine persönliche Meinung dazu.

    Stefan
    Geändert von Stefan S. (07.03.2012 um 11:53 Uhr)

  5. #5
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    14.478

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von logosarithmos Beitrag anzeigen
    z.B. "Neues Vertrauen, Notare als Ersatz für zentrale Zertifizierungssysteme" in ct 5/2012. http://www.heise.de/artikel-archiv/ct/2012/5/172_kiosk
    Okay, es gibt also ein Alternativsystem im Betastadium, das möglicherweise besser ist (es muss sich erst noch beweisen), selbst aber noch mit einigen Dingen zu kämpfen hat und sicher in absehbarer Zeit keine weite Verbreitung finden wird, dazu ein weiteres System, dass sich erst in der Entwicklung befindet - und von denen muss sich erst mal eines durchsetzen.

    Meinst Du nicht, dass Du das bestehende System etwas zu früh "obsolet" (= veraltet, nicht mehr üblich) nennst?

    Gruß,
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  6. #6
    Kunde
    Registriert seit
    10.05.2011
    Beiträge
    3

    AW: Selbsterstellte Zertifikate - wann?

    Hi Jan,

    "obsolet" im Sinne von "hinfällig; erfüllt seinen Zweck nur noch sehr eingeschränkt". Ich wollte bei der Quelle auch nicht auf die mögliche Alternativtechnik hinaus, sondern auf die Erläuterungen zur zentralen Zertfikatsausstellung.

    @Stefan S.: Ein SSL-Zertifikat für https dient dazu, dass die Daten während des Transports nicht gelesen werden können. Z.B. wenn du in einem offenen WLAN unterwegs bist (Hotel, Café, ...) kann eine normale http-Verbindung von jedem anderen der auch in diesem offenen WLAN eingeloggt ist mit gelesen werden (und deine Passwörter sind dann bekannt).

    Ciao!
    Stefan

  7. #7
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    35.977

    AW: Selbsterstellte Zertifikate - wann?

    Hallo logosarithmos,

    wir werden das Thema beobachten und schauen, wie sich das entwickelt. Danke für den zusätzlichen Hinweis.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice

    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  8. #8
    Forenexperte Avatar von ifox
    Registriert seit
    16.10.2009
    Beiträge
    7.357

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von logosarithmos Beitrag anzeigen
    @Stefan S.: Ein SSL-Zertifikat für https dient dazu, dass die Daten während des Transports nicht gelesen werden können. Z.B. wenn du in einem offenen WLAN unterwegs bist (Hotel, Café, ...) kann eine normale http-Verbindung von jedem anderen der auch in diesem offenen WLAN eingeloggt ist mit gelesen werden (und deine Passwörter sind dann bekannt).
    Falsch. Für die verschlüsselte Datenübertragung ist - wie Du selber geschrieben hast - das verwendete Protokoll (HTTPS) zuständig. Dafür benötigst Du kein Zertifikat.
    Gruß ifox

  9. #9
    Reseller Avatar von edvnet
    Registriert seit
    26.07.2004
    Beiträge
    101

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von ifox Beitrag anzeigen
    Falsch. Für die verschlüsselte Datenübertragung ist - wie Du selber geschrieben hast - das verwendete Protokoll (HTTPS) zuständig. Dafür benötigst Du kein Zertifikat.
    Natürlich braucht HTTPS ein digitales Zertifikat (http://de.wikipedia.org/wiki/Hyperte...rotocol_Secure)
    Gruß

    Christian

  10. #10
    Kunde
    Registriert seit
    13.09.2011
    Beiträge
    68

    AW: Selbsterstellte Zertifikate - wann?

    HTTPS geht leider nicht ohne Zertifikat.

    Aber DomainFactory tut seinen Kunden natürlich keinen Gefallen, nur Einen, weit überteuerten, Zertifikatsanbieter (Geotrust) anzubieten. DF sollte also entweder Alternativen, wie z.B. StartSSL, anbieten, oder dem Kunden die Möglichkeit bieten, per Kundenportal eigene (Intermediate-)Zertifikate einzubinden (selbst erstellt oder von alternativen CAs).

    Vergleich:

    ---------- Angebot ----------------------------------------------- Zertifikate - Domains - Subdomains - Klasse - Preis
    Geotrust Rapid SSL ----------------------------------------------- 1 ------------- 1 ------------- 1 ------------- 1 -------- 19,95 €/1 Jahr
    Geotrust Rapid SSL Wildcard ---------------------------------- 1 ------------- 1 ------------- * ------------- 1 -------- 89,95 €/1 Jahr
    Geotrust TrueBusinessID ---------------------------------------- 1 ------------- 1 ------------- 1 ------------- 2 -------- 99,95 €/1 Jahr
    Geotrust TrueBusinessID Wildcard -------------------------- 1 ------------- 1 ------------- * ------------- 2 ------- 259,95 €/1 Jahr
    Geotrust TrueBusinessID Extended Validation ---------- 1 ------------- 1 ------------- 1 ------------- 3 ------- 199,95 €/1 Jahr

    StartSSL Free -------------------------------------------------------- n ------------- 1 ------------- 0 ------------- 1 --------- 0,00 $/1 Jahr
    StartSSL Verified ---------------------------------------------------- n ------------- n ------------- * ------------- 2 --------- 59,90 $/2 Jahre
    StartSSL Extended ------------------------------------------------- 1 ------------- n ------------- 0 ------------- 3 ------- 199,90$/2 Jahre
    StartSSL Extended zusätzliches Zertifikat ---------------- 1 ------------- n ------------- 0 ------------- 3 -------- 49,90 $/2 Jahre

    Bei StartSSL wird nur für die Validierung (350 Tage gültig), nicht pro Zertifikat abgerechnet (außer Extended Validation Klasse 3). Durch Multi-Domains und Wildcards für Sub-Domains ist StartSSL nochmal erheblich günstiger. Außerdem sind Zertifikate für Object Code Signing, Client and mail certificates (S/MIME) bei "Verified" inklusive.
    Geändert von renne (30.03.2012 um 15:59 Uhr)

  11. #11
    Kundenservice-Team Avatar von Dietmar Leher
    Registriert seit
    27.07.2005
    Beiträge
    3.419

    AW: Selbsterstellte Zertifikate - wann?

    Hallo renne,

    wir setzen auf einen qualitativ hochwertigen Anbieter, bei dem zwar ein Einbruch in die Systeme - um beim einleitenden Posting, dass Zertifizierungsstellen obsolet seien nochmal aufzugreifen - nicht zu 100% ausgeschlossen werden kann, aber aufgrund der Größe und der Seriösität ein gewisser Schutz gegeben ist.
    Die erweiterte Verifizierung benötigt manuelle Prüfungen durch echte Mitarbeiter, was auch bezahlt werden muss und kann daher nicht mit automatisierten Prozessen zur Einrichtung abgewickelt werden. Aus diesem Grund ist das Angebot auch breit gefächert und wir bedienen mit den beiden Rapid-SSL-Varianten ebenso das günstigere Preissegment.

    Dass auf dem Markt natürlich noch mehr Anbieter existieren, die SSL-Zertifikate anbieten und als potentielle Partner in Fragen kommen, bestreiten wir nicht und schließen für die Zukunft nicht aus, unser Angebot zu erweitern und neu zu strukturieren.

    Sie können auch ein Zertifikat, das Sie bei einem anderen Anbieter gekauft haben, bereits jetzt schon durch unsere Technikabteilung für einen Pauschalbetrag von 50,00 EUR für die Dauer der Laufzeit einbinden lassen, sofern es sich nicht um ein Multi-Domain-Zertifikat handelt.

    Mit freundlichen Grüßen

    Dietmar Leher
    Kundenservice-Team
    domainFACTORY

  12. #12
    Kunde
    Registriert seit
    13.09.2011
    Beiträge
    68

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von Dietmar Leher Beitrag anzeigen
    Die erweiterte Verifizierung benötigt manuelle Prüfungen durch echte Mitarbeiter, was auch bezahlt werden muss und kann daher nicht mit automatisierten Prozessen zur Einrichtung abgewickelt werden.
    Glücklicherweise macht StartSSL die komplette Validierung selbst:

    Klasse 1: Validierungsemail an administrative Adresse im SOA-Record der Domain bzw. Emailaddressen die nur dem Inhaber zur Verfügung stehen.
    Klasse 2: Einsendung einer Kopie von zwei amtlichen Lichtbildausweisen + Rückrufvalidierung per Telefonbuch
    Klasse 3: Handelsregisterauszug
    Zitat Zitat von Dietmar Leher Beitrag anzeigen
    Aus diesem Grund ist das Angebot auch breit gefächert und wir bedienen mit den beiden Rapid-SSL-Varianten ebenso das günstigere Preissegment.
    Wenn man eine Website betreibt, braucht man schnell Subdomains für einzelne Dienste. Rapid-SSL scheidet damit aus und Rapid-SSL-Wildcard kostet schon 90,- € im Jahr. Für einen privaten Nutzer (z.B. Blogger, Familien-Homepage) eher erschreckend als günstig.
    Zitat Zitat von Dietmar Leher Beitrag anzeigen
    Sie können auch ein Zertifikat, das Sie bei einem anderen Anbieter gekauft haben, bereits jetzt schon durch unsere Technikabteilung für einen Pauschalbetrag von 50,00 EUR für die Dauer der Laufzeit einbinden lassen.
    Ich bereue zutiefst, dass ich mein - beim Wechsel zu df noch gültiges - MultiDomain-Wildcard-Zertifikat nicht habe eintragen lassen. Subdomains braucht man doch schneller als einem lieb ist.
    Damals dachte ich, mit einem per df beauftragen Rapid-SSL-Zertifikat weniger Probleme zu haben.

    Allerdings lässt sich eine Zertifikatskonfiguration auch leicht ins Kundenportal integrieren. Ein Zertifikatssatz besteht aus einem Zertifikat, einem Private Key und n Intermediate Zertifikaten, d.h. mindestens 2 Textareas oder File-Inputs. Idealerweise gibt es dann noch eine Matrix mit (Sub-)Domains als Zeilenbezeichner und den Zertifikaten als Spaltenbezeichner. Dann kann der Nutzer ein Zertifikat einer (Sub-)Domain zuweisen, indem er in der Zelle, in der sich Spalte und Zeile schneiden, eine Checkbox aktiviert. Anschließend muss das Kundenportal je eine Direktive für den Private Key und jedes Zertifikat in die Konfigurationsdateien des SSL-Virtual-Hosts schreiben.

    Alles in allem verhindern die CAs mit ihren hohen Preisen leider eine Verschlüsselung für jedermann.
    Daher bin ich auch gespannt, ob Googles SPDY mit obligatorischem SSL eine Chance hat.

  13. #13
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    35.977

    AW: Selbsterstellte Zertifikate - wann?

    Hallo renne,

    der von Ihnen genannte Anbieter bietet rein die Zertifikate an und übernimmt keinerlei Arbeiten bezüglich der Anbindung und damit zusammenhängende Supportanfragen. Diese können jedoch erhebliche Kosten verursachen. Schon das erklärt einen entsprechenden Preisunterschied. Auch als die Zertifikate noch teuerer waren, kostete die Einbindung bei uns 50 Euro, was unsere tatsächlichen Kosten widerspiegelt.

    Wozu benötigen Sie bei einer Familienhomepage oder einem Blog ein Zertifikat?

    Wir haben übrigens sehr aufwendig die Zertifikatsbestellung in weiten Teilen automatisiert. Nur daher sind uns die vergleichsweise niedrigen Preise bei sehr gute Qualität überhaupt möglich. Bei dem von Ihnen genannten Anbieter bekommen Sie nur das Zertifikat und sonst nicht viel. Die Hauptarbeit bleibt dann an Ihnen hängen.

    Wenn Sie das so nutzen möchten, dann empfehlen wir einen eigenen (virtuellen) Server zu betreiben und unsere Angebot JiffyBox zu nutzen. Dort können Sie entsprechend alles direkt selbst regeln und verwalten. Es ist dann jedoch in manchen Bereichen sehr viel Handarbeit bei Updates oder Kofigurationsänderungen zu machen. Das ist umgekehrt natürlich auch richtig.

    Selbst eine Integrationsmöglichkeit für Kunden anzubieten wäre natürlich eine Option. Die Entwicklung dieser muss natürlich auch bezahlt werden und wir denken nicht, dass hier viele Kunden selbst Hand anlegen möchten und auf den durch uns gewohnten Support gerade in dem sensiblen Bereich zu verzichten. Dadurch wäre eine solche Lösung dann auch teuer und die Kosten müssten entweder auf alle Kunden umgelegt oder auf den Einzelfall umgerechnet werden, wobei wir dann wieder bei den schon heute entstehenden Kosten durch die Einbindung durch uns wären.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice

    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  14. #14
    Kunde
    Registriert seit
    13.09.2011
    Beiträge
    68

    AW: Selbsterstellte Zertifikate - wann?

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    der von Ihnen genannte Anbieter bietet rein die Zertifikate an und übernimmt keinerlei Arbeiten bezüglich der Anbindung und damit zusammenhängende Supportanfragen. Diese können jedoch erhebliche Kosten verursachen. Schon das erklärt einen entsprechenden Preisunterschied. Auch als die Zertifikate noch teuerer waren, kostete die Einbindung bei uns 50 Euro, was unsere tatsächlichen Kosten widerspiegelt.

    Wir haben übrigens sehr aufwendig die Zertifikatsbestellung in weiten Teilen automatisiert. Nur daher sind uns die vergleichsweise niedrigen Preise bei sehr gute Qualität überhaupt möglich. Bei dem von Ihnen genannten Anbieter bekommen Sie nur das Zertifikat und sonst nicht viel. Die Hauptarbeit bleibt dann an Ihnen hängen.
    Sie können z.B bei der Einrichtung eines Shared-Hosting-Paketes SSL-vhosts mit selbst siginierten Zertifikaten automatisiert anlegen. Im Kundenportal können Sie Textfelder für die drei Pfaddirektiven für Zertifikat, Private Key und Intermediate-Zertifikate implementieren. Der Kunde kann optional seine Zertifikat-Dateien per FTP oder SSH nach /kunden/<kundennummer>/ssl/ kopieren und die Pfade anpassen. Bei Problemen mit exotischen Zertifikaten berechnen Sie kurzerhand Remote Hands. Und der Aufwand bei z.B. StartSSL ist gering. Einzige Einschränkung: der Support ist in Englisch.
    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Wozu benötigen Sie bei einer Familienhomepage oder einem Blog ein Zertifikat?
    Verschlüsselte Übertragung von personenbezogenen Daten und Passwörtern gehört zum IT-Grundschutz. Bei mir kommt noch hinzu, dass ich eine Groupeware für die Familie betreibe.
    Eigentlich sollen mit der Umstellung heute Nacht auf Managed Hosting Pro noch ein privater Diaspora-Hub und Gitorious hinzukommen, aber nachdem ich in den FAQs gelesen habe, das für Ruby-On-Rails eine extra (Sub-)Domain nötig ist (-> neues Zertifikat), werde ich das Upgrade wohl stornieren.
    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Wenn Sie das so nutzen möchten, dann empfehlen wir einen eigenen (virtuellen) Server zu betreiben und unsere Angebot JiffyBox zu nutzen. Dort können Sie entsprechend alles direkt selbst regeln und verwalten. Es ist dann jedoch in manchen Bereichen sehr viel Handarbeit bei Updates oder Kofigurationsänderungen zu machen. Das ist umgekehrt natürlich auch richtig.
    Ich habe in den letzten fünfzehn Jahren eigene Root-Server, Housing und VServer benutzt. Da mir der Wartungsaufwand aber zu hoch ist, möchte ich ja gerade Shared-Hosting verwenden. Allerdings hätte ich nicht gedacht, das Shared-Hoster so große Schwierigkeiten mit Zertifikaten, IPv6 und Single-Sign-On haben.
    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Selbst eine Integrationsmöglichkeit für Kunden anzubieten wäre natürlich eine Option. Die Entwicklung dieser muss natürlich auch bezahlt werden und wir denken nicht, dass hier viele Kunden selbst Hand anlegen möchten und auf den durch uns gewohnten Support gerade in dem sensiblen Bereich zu verzichten. Dadurch wäre eine solche Lösung dann auch teuer und die Kosten müssten entweder auf alle Kunden umgelegt oder auf den Einzelfall umgerechnet werden, wobei wir dann wieder bei den schon heute entstehenden Kosten durch die Einbindung durch uns wären.
    Sie können ja weiterhin Vollservice anbieten. aber bei komplexeren Setups (Subdomains) macht es sicher Sinn, wenn der Kunde Zertifikate selber einpflegen und zuordnen kann, statt vom Support abhängig zu sein. Das Kundenportal um eine Pfadeingabe für Zertifikate zu erweitern sollte 0,5 - 1 Mantag in Anspruch nehmen. Bei einer weiteren Automatisierung dürften die Preise sinken, mehr Kunden freuen sich über SSL und Ihr Umsatz steigt

    Mit freundlichen Grüßen

  15. #15
    Kunde
    Registriert seit
    13.09.2011
    Beiträge
    68

    Nicht (ganz) ernst gemeint AW: Selbsterstellte Zertifikate - wann?

    Hallo Herr Dornblut,

    sie können sogar für df kostengünstig allen Kunden SSL als Standard-Feature anbieten und so ein Alleinstellungsmerkmal im Shared-Hosting-Markt erreichen:

    1. Aktivieren Sie beim Erstellen von (Sub-)Domains SSL automatisch (zentraler SSL-Proxy oder Virtual Hosts mit AES-NI-fähigen Prozessoren)
    2. Generieren Sie je 100 Domains einen Wildcard-Multi-Domain-CSR
    3. Lassen Sie von einer weit verbreiteten CA aus jedem CSR ein Wildcard-Multi-Domain-Zertifikat der Klasse 1 erstellen
    4. Binden Sie das Zertifikat auf den Servern/dem SSL-Proxy ein
    5. Automatisieren Sie diesen Algorithmus

    Sie können übrigens auch bei SSL Virtual Hosting mehrerer Kunden auf einer IPv4-Adresse verwenden. Vor df habe ich Housing mit eigenem Server verwendet. Dabei habe ich für fünf Domains fünf A-Records und fünf PTR-Records auf diesselbe IP angelegt. Diese Konfiguration hat mit einem StartSSL-Verified-Zertifikat problemlos funktioniert.

    Für Kunden mit hohem Sicherheitsbedarf können Sie weiterhin Extended-Validation-Zertifikate der Klasse 3 manuell anbieten.

    Mit freundlichen Grüßen

Seite 1 von 2 1 2 LetzteLetzte

Ähnliche Themen

  1. Wann ist Traffic intern, wann nicht?
    Von icarus im Forum JiffyBox
    Antworten: 1
    Letzter Beitrag: 11.08.2013, 13:15
  2. Zertifikate
    Von skopeia im Forum Tarifberatung und Allgemeines
    Antworten: 4
    Letzter Beitrag: 29.11.2006, 05:45

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •