277°
SSL Zertifikat für E-Mail oder Webseite
SSL Zertifikat für E-Mail oder Webseite
Freebies

SSL Zertifikat für E-Mail oder Webseite

Unter startssl.com kann man sich ganz problemlos ein SSL Zertifikat für seine Mail-Addresse oder Webseite bestellen. Sie sind dann signiert und der Signierer ist in allgemein anerkannt, so dass keine Sicherheitswarnungen wegen nicht vertrauenswürdigen Zertifikats erscheinen.

Mit einem Zertifikat kann man seine E-Mails signieren und wenn der Adressat ebenso eins hat - auch verschlüsseln.

Beste Kommentare
Avatar

GelöschterUser179597

gaehnender-Affe.jpg

Ein alter Hut...

35 Kommentare

Ein alter Hut...

nur selbst erzeugte Zertifikate könnten einigermassen sicher sein.

Am besten auf Linux, hat bessere Entropie als Zufallszahlengenerator mit NSA Backdoor auf Windows.

Daher selber erzeugen und gegebenenfalls signieren lassen.

Aber das Rootzertifikat sicher lagern.

Sonst ist das alles für die Katze.


Alt & wird nicht wirklich gut unterstützt - dann lieber eins für ein paar Euro von einem Anbieter !

Avatar

GelöschterUser179597

gaehnender-Affe.jpg



Das Schlüsselpaar muss selbst erzeugt werden, wenn das jemand anderes kennt ist es für die Katz. So ist es auch hier. Für Serverzertifikate erzeugst du die Zertifizierungsanfrage sogar von Hand, für Clientzertifikate macht Schlüsselerzeugung und =signatur Dein Browser für Dich.

Das Zertifikat bestätigt, wem das Schlüsselpaar gehört, und hat mit Verschlüsselung erst einmal nichts zu tun. Ohne auf die Problematik des CA-Systems weiter einzugehen: Wenn jemand anderes sich Dir gegenüber ausweisen soll, aber einen selbst erstellten Ausweis zeigst hast Du auch nichts gewonnen und lachst ihn bestenfalls aus. Kommt alles auf den Anwendungszweck an, wenn Du nur dir selbst vertrauen willst ist selbst signiert ok, in einem kleinen Kreis vielleicht auch noch, aber in der Öffentlichkeit bringt das meist: nichts.

Verfasser

1. Nirgends steht dass es brand neu sein muss, um hier gepostet zu werden. Das gab es noch nicht, also hab ich es mitgeteilt.
2. mindestens für die Srverzertifikate kannst du dir selbst die Request erzeugen und zum Signieren hochladen. Wie du das machst ist dann deine Sache.
Ranon hat auch Recht - selsbstsigniert ist so gut wie wertlos. Da kann man gleich darauf verzichten.
Und was heißt bitte schön nicht gut unterstütz? Das musst du genauer erklären. Ich hatte keine Probleme bis jetzt mit dem Zertifikat.


"StartSSL ignoriert beispielsweise sämtliche Angaben zum Antragsteller im CSR und verarbeitet nur den eingebetteten öffentlichen Schlüssel. Zudem muss der eigene Webserver nicht nur das von StartSSL ausgestellte Zertifikat ausliefern, sondern zusätzlich noch ein sogenanntes Intermediate-Zertifikat von StartSSL, um Fehlermeldungen im Browser von Besuchern zu verhindern – doch dazu später mehr."
heise.de/sec…tml

Avatar

GelöschterUser179597



da es nicht "vorübergehend kostenlos" ist, hat es bei freebies jedenfalls nichts zu suchen. trotzalledem ist es nicht nur alt sondern funktionell eher "veraltet".

Und Zertifikat revoken kostet $25, selbst bei der Hearbleed Lücke.
Außerdem darf das kostenlose nicht kommerziell verwendet werden.
Besser paar Euro drauflegen und Ruhe haben.

Merk.



Selten so einen Quatsch gelesen... Es ist sogar ausdrücklich erlaubt!




Die lassen sich nur das bezahlen wo sie selbst Hand anlegen müssen und es nicht automatisiert machen können. Wenn du nun rechnest wie oft zu ein Zertifikat zurückziehst, und wieviel du bei anderen Anbietern fürs Zertifikat zahlst, bin ich mir sicher, dass auch du erkennst das 25$ okay sind dafür das jemand arbeitet.




Wow... das nennt sich Bundle und ist - abgesehen von etwas mehr Traffic - kein Nachteil.




Jeder halbwegs aktuelle Browser akzeptiert StartSSL Zertifikate per Default. Keine Ahnung was du uns damit sagen willst, aber es ist Quatsch.


Bevor ihr zu einem Thema irgendwas schreibt, informiert euch bitte vorher. Es bringt niemanden was, Halbwahrheiten zu verbreiten oder einfach Behauptungen aufzustellen. Danke.

Ich vote trotzdem cold, weil dauerhaft gratis und in der Zielgruppe auch weitestgehend bekannt.

Das startssl Zertifikat wird übrigens in deinem Browser erstellt.
Steht so in der ct




Punkt 3.1.2.1 (S.12) der policy sagt deiner Meinung nach also was bitte aus?

Class 1 certificates are limited to client and server
certificates, whereas the later is restricted in its usage for
non-commercial purpose only. Subscribers MUST upgrade to Class
2 or higher level for any domain and site of commercial nature.

selfsinged und gut ist.


Man sollte sich nur vorher darüber im klaren sein. Heartbleed ist ein gutes Beispiel. Nachdem die Lücke bekannt wurde, muss man jedes Zertifikat als kompromittiert ansehen, was mit einer verwundbaren OpenSSL-Version betrieben wurde, d.h. diese sollte man revoken.
Bei StartSSL im Forum gab es einige Kunden, die >100 Zertifikate hatten und auf einmal 25$*100 zahlen mussten, um ihre Zertifikate zurückzuziehen.



Schön das du es gefunden hast, aber auch Class 2 Zertifikate sind kostenlos. Man zahlt lediglich eine Mitgliedsgebühr dafür, dass man sich die ausstellen lassen kann.




25$*100 = 2500$...
vergleichbare Zertifikate:
Thawte: 99 € pro Jahr (99€*100 = 9900€)
Symantec: 349 € pro Jahr (349€*100 = 34900€)

Naja such selbst weiter und entscheide dann ob du für 1 Revoke in 10 Jahren lieber 1x 25$ zahlst oder 10 Jahre fürs Zertifikat 1000€ bezahlst und dafür kostenlos Zertifikate zurückziehen kannst. Über Sinn und Unsinn des Zurückziehens haben wir hier noch nicht mal geredet...

Seriöse / Vertrauenswürdige Webseiten biete ich über StartSSL kostenlose Wildcards an.

Mit Domain bitte bei mir melden.

Irgendeine Idee, wie man für einen Serverdienst, der nur über eine dyndns.org Adresse erreichbar ist, ein signiertes Zertifikat bekommt? Geht bei Dyndns.com direkt, ich hab da aber einen free-Account.

Verfasser



Ja das war eigentlich auch mein Ausgangspunkt. Von Dyndns und vergleichbaren kostenlosen Anbieter bekommt man immer ein Subdomain (bitte unbedingt korrigieren, wenn ich mich irre!) und dafür erstellt StartSSL leider keine Zertifikate. Ich hab letztendlich ein selbsigniertes Zertifikat erstellt, das allerdings nur mir was nützt. Eignet sich aber mindestens für VPN.

Günstig ist auch globessl. Da ist Revoke mit drin. 8$/y



Korrekt aber auch bei 8$ pro Jahr zahlst du in 10 Jahren mehr fürs Zertifikat als für das Zurückziehen bei StartSSL, was in 10 Jahren höchstens 1x vorkommt bei 99% aller Benutzer.

Wenn das jeder bekommen kann ist das ja nicht sicher oder sehe ich das falsch

cacert.org ist imho besser!

mal zum mitschreiben:
1) erhalte ich hier eine SSL Verschlüsselung?
2) Ist das ein Zertifikat, welches als Grün im Browser angezeigt wird? Oder erhalte ich damit folgendes Bild?
firefox_untrusted.gif
3) Was mache ich mit dem Zertifikat?
4) Was muss ich als gewerblicher Kunde beachten?

@hazelnut: cacert.org ist sympathisch weil Community-gestützt und unkommerziell, aber keine Alternative, weil z.B. bei Mozilla (Firefox) nicht in der Liste der vertrauenswürdigen Zertifizierungsstellen. Deshalb auch bei Debian/Ubuntu rausgeflogen.

Dann kann man auch gleich selbst signieren. Siehe Mein Server, meine Domain, mein SSL-Zertifikat.

Natürlich erfüllt die Selbstzertifizierung nicht die Bedingung 2 in emilkl's Kriterienkatalog.

Zum Anbieter StartSSL steht alles in dem weiter oben verlinkten Heise-Artikel.

Verfasser

So ist es nicht Netlike. Du kannst es so verstehen: Weil (fast) jeder einen Personalausweis hat, ist er deshalb nicht weniger sicher oder aussagekräftiger über die Person, die ihn besitzt.




Nein, lediglich ein SSL-Zertifikat. Du benötigst noch die dazu passende Software auf deinem Server.



Da es eine anerkannte Zertifizierungsstelle ist, erhälst du entsprechnde Fehlermeldung nicht (Achtung, die kostenlosen Zertifikate sind jeweils nurfür eine einzige Domain - d.h. du müsstest z.B. für Subdomains jeweils extra Zertifikate erstellen).

Grün wird das Zertifikat im Browser nicht angezeigt. Da musst du schon etwas tiefer in die Tasche greifen.

Du kannst https Verbindungen anbieten, ohne die von dir gepostete Warnung im Browser angezeigt zu bekommen.


Du solltest dich mal umfassend beraten lassen, da es dir offenbar an Grundlagenwissen fehlt und zudem zu einem anderen Zertifikat greifen, was dir mehr Möglichkeiten bietet.

1. Ja
2. Ja
3. Einpflegen?
4. Nichts

Hab jetzt nur über die neuen Betrüger aus Brasilien gelesen, die für ihre phishing Webseiten auch sich SSL Verschlüsselungen erschlichen haben...mag mich da aber auch gerne irren.



Bitte realistische Vergleichspreise angeben. Einfache (Class 1/Domain Validated) SSL-Zertifikate mit Revocation, Re-Issue und inkl. kommerzieller Nutzung gibt es bereits ab ~ 4-6 €/Jahr.


Klar, weil man revoke nicht automatisieren kann…

Alle anderen Anbieter können das aber seltsamerweise?

Und ich zahle auch max. 3$ pro Zertifikat/Jahr und das man ein Zertifikat erneuern möchte (weil man es sicherer haben möchte, weil sich Daten geändert haben, weil es eine Sicherheitslücke gab, kann ja eine in OpenSSL, Webserver, Kernel, Webseite, … sein).







Wie oft zieht ihr eure Zertifikate zurück? Abgesehen von Heartbleed gab es für mich in rund 20 Jahren keinen einzigen Grund dafür - nicht ausschließlich aber hauptsächlich deswegen weil Sperrliste eine Negativliste ist und nix über die Gültigkeit aussagt.

D.h. egal wie wenig ihr zahlt: Es ist mehr als Gratis! Und wenn man dann die Kosten für das Sperren bei StartSSL gegenrechnet ist es immernoch weniger als das was ihr in den letzten Jahren gezahlt habt für eure.
Hiervon gibt es auch nur eine einzige Ausnahme: Gewerbliche Kunden die nur eine Kleinstanzahl an Zertifikaten benötigen.

hazelnut

cacert.org ist imho besser!



Nein.
CaCert ist idR bei den Browsern und Emailclients nicht installiert, d.h. man bekommt eine Warnung und es sieht für den Benutzer am anderen Ende schlimmer aus als unverschlüsselt.
Außerdem darf man die CaCert root-Keys durchaus als kompromittiert ansehen, also sollte man diese nicht bei sich importieren.
Da kann man auch gleich ein self-signed Zertifikat installieren, die Warnung bleibt die gleiche und man macht nicht zusätzlich noch die Tür für andere auf.

HouseMD

Irgendeine Idee, wie man für einen Serverdienst, der nur über eine dyndns.org Adresse erreichbar ist, ein signiertes Zertifikat bekommt? Geht bei Dyndns.com direkt, ich hab da aber einen free-Account.


Domain kaufen für 5€ im Jahr, gratis DNS von he.net nutzen und dort dyndns machen.

Dein Kommentar
Avatar
@
    Text