Günstige SSL-Zeritifikate empfehlenswert?

[meisteralex]

Ich spiele gerde mit dem Gedanken mir ein RapidSSL Zertifikat für 16€ im Jahr zu holen.

Das wäre wesentlich günstiger, als z.B. ein Vergleichbares Zertifikat von Thawe.

Was ist der Unterschied von den beiden?

 

[Lawnmower]

Lets Encrypt kostet gar nichts.
Bei den grossen Anbietern gibts eben noch Optionen für Validierung, erweiterte Validierung, Wildcard (soll's bei Lets Encrypt nächstes Jahr auch geben scheins), etc - das macht das ganze bürokratisch und damit teurer.
RapidSSL verwendet am Schluss möglicherweise doch auch bloss ein Gratis Anbieter und kassiert 16 Euro als Umtriebsentschädigung.

 

[RalphS]

Und wenn Du uns jetzt noch verraten würdest, wofür Du das Zertifikat verwenden möchtest....

 

[Asghan]

Nehm Lets Encrypt. For Free.

 

[RalphS]

Und was soll das bringen?

Man muß schon wissen, was man mit dem Zertifikat anfangen will und wofür es gut sein soll. Kurz: Was für Anforderungen dranhängen.

LE genügt davon nur sehr, sehr wenigen.

 

[Lawnmower]

Da er es im Internet und Webhosting Bereich geschrieben hat, ging ich mal pauschal von einer Webseite aus

 

[RalphS]

Hatte ich tatsächlich übersehen. :blush:

Aber das ist ja nur die halbe Miete. Was ist das für eine Website? Privat? Geschäftlich? Soll was verkauft werden darüber?

Als Onlineshop kann ich nicht mit LE kommen.

 

[Lawnmower]

Gut das 16 Euro Ding hätte es da auch nicht besser gemacht, ohne die einfache Validierung, besser eine erweitere Validierung, wäre es nicht sonderlich seriös einen Shop zu betreiben.

 

[RalphS]

Wie validiert wird, ist ja erstmal egal, solange es nicht DV ist und man sich drauf verlassen kann, daß auch wirklich validiert WIRD und nicht am Ende einfach "jo wir haben uns das angekuckt" im Zertifikat steht und die angegebene Adresse existiert nicht mal.

Privat ist natürlich wumpe. Wobei ich persönlich auch der Ansicht bin, daß für private Websites SSL und damit Zertifikate absurd sind.

 

[xexex]

Bei einer öffentlich erreichbaren Webseite, willst du ein Zertifikat, dass von den meisten Browsern akzeptiert wird.

 

[Marcwa19197]

Wenn es kein LE sein soll, kannst du dir mal https://www.namecheap.com/security/ssl-certificates.aspx anschauen, dort kaufen wir immer unsere Zertifikate. Wir sind sehr zufrieden damit!

 

[owned_you]

aber auch eins das es wert ist ... nen Zertifikat das jeder Gauner auf beliebigen Namen auststellen kann ist genauso wertlos ( Letsencrypt)
Im Gegenteil wenn ich sowas weis ist eine Seite die damit "geschützt" wird bei mir automatisch auf der Blacklist!

 

[Madman1209]

Hi,

nen Zertifikat das jeder Gauner auf beliebigen Namen auststellen kann ist genauso wertlos ( Letsencrypt)

wäre mir neu dass LE so funktioniert. So wie ich es kenne muss der Server, auf dem du das Zertifikat haben willst, unter der Domain, die du zertifiziert haben willst, laufen und antworten. Von daher würde ich behaupten, es kann eben genau nicht jeder ein Zertifikat für meine Domain ausstellen! Außer er hat bereits vollen Zugriff auf meinen Server - und dann ist das Zertifikat wohl mein kleinstes Problem.

Wie genau soll jemand ein LE-Zertifikat auf meine Domain ausstellen? Könntest du das bitte mal beschreiben?

VG,
Mad

 

[RalphS]

Dann hackt man das eben.

LE steht bei mir als einzige CA explizit auf Untrusted. Ja, das schränkt den Webzugriff ein, aber ich will wissen, wie und was und wer.

 

[Madman1209]

Hi,

Dann hackt man das eben.

dann erklär mir bitte einfach, wie genau du das machen möchtest. "Hackt man eben"... ist ja spaßig.

Wo ist dann der Unterschied zu jedem anderen Zertifikat? "Hackt man halt eben auch"...

aber ich will wissen, wie und was und wer.

wo genau tust du das bei LE nicht? Bitte ausführliche Erklärungen, nicht "hackt man das eben"...

VG,
Mad

 

[RalphS]

Das nennt sich Vertrauenskette.

LE hat keine Hürden. Es ist kostenlos und jeder kann damit -clientseitig- machen, was er oder sie will. Alles was ich brauche ist Zugriff auf die Domain und den Namen dazu.

Das heißt, wenn ich hergehe und zB ein Phisher bin und mir eine Domain gibmirmeingeld.de reserviere, dann kann ich via LE ein Zertifikat dafür bekommen und nun https://gibmirmeingeld.de bereitstellen.

Geprüft wird nichts. Also muß ich nur noch ein paar Phishingmails verschicken. Naive DAUs klicken drauf, kriegen "URL ist sicher weil HTTPS" angezeigt und geben dann ruhigen Gewissens alle ihre TANs ein.

Da sind wir noch nicht bei "ich verschaffe mir die Kontrolle über eine Domain" gewesen, in welchem Fall man sich bei LE auch ganz einfach ein Zertifikat ergaunern kann für eine Präsenz, die einem nicht gehört. Bissel DNS-Spoofing obendrauf und der Fall ist gegessen.

Nein, LE ist kein Segen, sondern eine Gefahr für SSL/TLS als Infrastruktur.

 

[snaxilian]

@TE: Für die 16 € bekommst auch bei RapidSSL nur ein domain validated certificate. Da kannst du dir definitiv das Geld sparen und auch ein Zertifikat von Let's Encrypt nutzen.
Benötigst du ein Zertifikat mit extended validation oder Wildcard so ist LE (vorerst) nicht das Richtige für dich aber dann kommst auch nicht mit 16 € weit.

@RalphS: Das ist bei allen domain validierten Zertifikaten aber so. Was sollte mich daran hindern gibmirmeingeld.de zu registrieren und mir dann bei RapidSSL oder sonst wo ein DV-Zertifikat zu holen um dann eben https://gibmirmeingeld.de/ mit einem DV-Zertifikat von RapidSSL.
Bitte erkläre mir den Unterschied wo genau der Unterschied besteht ob ich diese Domain von LE, RapidSSL, Thawte, CACert oder Comodo validieren lasse.

Bei allen wird nur sichergestellt, dass https://gibmirmeingeld.de/ auch wirklich https://gibmirmeingeld.de/ ist und die Daten, die ich dahin übermittle auch verschlüsselt versandt werden.

LE prüft z.B. per ACME-Client ob ich wirklich die Kontrolle habe über die Domain und den Webserver dahinter, bei den meisten anderen CAs bekomme ich automatisiert eine Mail zugesandt. Okay, dafür brauche ich dann nicht den Webserver hinter der Domain sondern den entsprechenden mx record damit ich die Mail bekomme. So oder so wird aber nur geprüft ob ich Zugriff auf die Domain habe. Da wird nirgends geprüft ob ich vertrauenswürdig bin.
Das ist btw auch nie das Ziel von LE gewesen. LE sollte die Möglichkeit bieten, den Traffic zwischen Sender und Empfänger zu verschlüsseln, nicht den Empfänger zu validieren.

 

[RalphS]

Siehe eins weiter oben.

Jeder kann LE verwenden, wenn er das möchte. Aber die in letzter Zeit buchstäblich blindlings aufgesetzte SSL-Brille bringt niemandem was und schadet nur.

SSL ohne Vertrauen ist wertlos.

 

[Madman1209]

Hi,

@RalphS

Das heißt, wenn ich hergehe und zB ein Phisher bin und mir eine Domain gibmirmeingeld.de reserviere, dann kann ich via LE ein Zertifikat dafür bekommen und nun https://gibmirmeingeld.de bereitstellen.

und wieso sollte ich das nicht auch ohne LE ganz normal mit jedem Zertifikatsanbieter auch machen können? "SSL" bzw. "HTTPS" bedeutet nicht "diese Domain bietet nur seriösen Inhalt" sondern bestätigt lediglich, dass die Domain die ist, die sie vorgibt und die Verbindung dorthin verschlüsselt erfolgt.

Ich sehe keinen Unterschied bei LE zu den anderen Anbietern, abgesehen von den Automatismen und dem fehlenden Preisschild.

Da sind wir noch nicht bei "ich verschaffe mir die Kontrolle über eine Domain" gewesen, in welchem Fall man sich bei LE auch ganz einfach ein Zertifikat ergaunern kann für eine Präsenz, die einem nicht gehört. Bissel DNS-Spoofing obendrauf und der Fall ist gegessen.

auch hier wieder: wo ist da der Unterschied zu einem normalen Zert-Aussteller, wenn ich auf die Domain / den Server Zugriff habe?

Die Zert-Aussteller bewerten nicht die Seriösität des Inhalts der Seite!

Siehe eins weiter oben.

da sehe ich keine Erklärung für "hackt man eben"...

VG,
Mad

 

[RalphS]

Die bewerten die Seriosität des Betreibers! Dafür sind sie da - dafür stehen sie gerade!

Tun sie das nicht, braucht man sie auch nicht. Dann kann man self-signed verwenden und hat ein bissel mehr Aufwand.