ComputerBase Menü
Aktuelles

Günstige SSL-Zeritifikate empfehlenswert?

Hi,

du meinst doch nicht ernsthaft, dass ich für eine Domain kein Zertifikat bekomme, weil der Inhalt unseriös sein könnte, oder? Den Inhalt kann ich doch vorab erstellen und nach Zertfikatsausstellung einfach ändern. Da hilft dir das alles nichts.

Self-Signed wiederum ist etwas ganz, ganz anderes, das hat im produktiven Umfeld absolut keine Daseinsberechtigung.

Ich habe immer noch kein echtes Argument von dir gelesen. Daher gehe ich davon aus, da kommt auch nicht mehr viel.

VG,
Mad
 
RalphS schrieb:
Die bewerten die Seriosität des Betreibers! Dafür sind sie da - dafür stehen sie gerade!
Zum Vergrößern anklicken....
Nein, tun sie nicht. Bei Domain Validation-Zertifikaten wird nur die Kontrolle über die Domain überprüft und ob bezahlt wurde. Das sind alles automatische Prozesse.
Oder glaubst du wirklich, dass sich für 16€ pro Jahr eine echte Person die Webseite ansieht?
Genau aus diesem Grund ist Let's Encrypt qualitativ genauso gut wie einfache DV-Zertifikate im dem Unterschied, dass man kein horrenden Preise für eine extrem einfach und günstige Dienstleitung bezahlt.

Ein sehr passendes Zitat dazu:
Scott Hanselman schrieb:
HTTPS& SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan.
https://twitter.com/shanselman/status/187572289724887041
Zum Vergrößern anklicken....

Bei EV-Zertifikaten sieht das natürlich anders aus. Die sind entsprechend teurer, enthalten aber auch die Garantie der CA, dass die Seite die ist die sie vorgibt zu sein.
Die will Let's Encrypt aber auch nicht ersetzen.
 
Zuletzt bearbeitet: (Grammatik)
RalphS schrieb:
Die bewerten die Seriosität des Betreibers! Dafür sind sie da - dafür stehen sie gerade!
Zum Vergrößern anklicken....

Ähm... nein?! Bitte nenne mir eine CA, die den Inhalt einer Webseite bewertet ob dieser seriös ist und die müssten dann ja auch jede Änderung der Seite und des Inhalts erneut bewerten und ggf. das Zertifikat zurück ziehen.
 
Das Zertifikat ist nicht für die Website (oder deren Inhalt). Es ist für deren BETREIBER. Entsprechend kann man Validierung haben für Einzelpersonen und für Einrichtungen.

Deswegen gibt's auch die Validierung. Sonst könnt man die ja weglassen. Selbst DV behauptet eine. Die ist nur relativ wertlos außer als Spielzeugvalidierung.


Genau wegen DV gibt es ja auch EV. Vielleicht nochmal zur Verdeutlichung: DOMAIN-Validierung (DV) und ERWEITERTE Validierung (EV).

Das, was heutzutage EV genannt wird, war bis DV Standard. DV hat das dann aufgeweicht und man mußte gegensteuern, weil DV bereits in seiner ursprünglichen Form das durch SSL kolportierte Vertrauensverhältnis empfindlich gestört hat.

Von der Integrität her kann man DV auch weglassen, sich den (eventuell anfallenden) Obolus sparen und HTTP-ohne-S verwenden.

Aber halt. Dann sagen die Browser ja "unsicher". Schöne Scheiße aber auch. Browser haben natürlich recht.
 
Tja, nur gab es DV schon lange vor Let's Encrypt, von daher müsstest du also jedwede DV verteufeln und nicht nur LE ;)

Ich versuche noch nachzuvollziehen ob du jetzt nur DV allgemein verteufelst oder "nur" LE und wann deiner Meinung nach DV aufgeweicht wurde.

Natürlich basiert die gesamte SSL/TLS Infrastruktur auf Vertrauen aber ich sehe nicht bzw noch kein Argument warum ich LE als CA weniger vertrauen sollte als z.B. Comodo oder Symantec die ja doch schon mehr als einmal Mist gebaut haben.

Wenn du also nur EV vertraust, da DV deiner Meinung nach keinen Sicherheitsgewinn bringt, habe ich eine einfache Ja/Nein Frage an dich:
Du würdest also deine Zugangsdaten zu $Webseite lieber unverschlüsselt per http übertragen als verschlüsselt per https?
Denn auch auf die Gefahr hin, dass wir uns wiederholen: ein einfaches, domain validiertes Zertifikat besagt nix anderes als dass die Kommunikation zwischen dieser Seite und dir vertraut/privat/verschlüsselt ist und dass $Domain wirklich die Domain ist, die sie vorgibt zu sein.
 
Zuletzt bearbeitet:
Hi,

Entsprechend kann man Validierung haben für Einzelpersonen und für Einrichtungen.
Zum Vergrößern anklicken....

kann man auch - muss man aber nicht!

Selbst DV behauptet eine. Die ist nur relativ wertlos außer als Spielzeugvalidierung.
Zum Vergrößern anklicken....

deswegen ist die DV auch die am häufigsten genutze Zertifikatsform im Netz...

Genau wegen DV gibt es ja auch EV. Vielleicht nochmal zur Verdeutlichung: DOMAIN-Validierung (DV) und ERWEITERTE Validierung (EV).
Zum Vergrößern anklicken....

OV hast du vergessen...

Kommt eigentlich noch eine Erklärung für das "hackt man eben" und auch mal valide Argumente gegen LE oder bleibts bei dem rant?

Ich sehe nach wie vor nichts, was gegen die Anfangsfrage des TE spricht, sich ein günstiges Zertifikat zu holen und die Empfehlung, das Geld gleich zu sparen und LE zu nutzen.

VG,
Mad
 
RalphS schrieb:
Das Zertifikat ist nicht für die Website (oder deren Inhalt). Es ist für deren BETREIBER. Entsprechend kann man Validierung haben für Einzelpersonen und für Einrichtungen.
Zum Vergrößern anklicken....

Quatsch was du erzählst. Eine Zertifikat validiert keinen Betreiber. Bei normalen Zertifikaten wird nur geprüft, dass der Betreiber einer Webseite auch Zugriff auf die DNS oder Mailserver für die Domäne hat.

Du siehst auf vielen Seite nicht einmal für wen das Zertifikat ausgestellt wurde. Hier mal als Beispiel.
https://www.swyx.de/

GoDaddy beschreibt es glaube ich am einfachsten.
Ein Zertifikat des Typs Domain Validated (DV) bestätigt, dass Sie der Inhaber der Domain sind. Das Zertifikat des Typs Organization Validated (OV) belegt, dass Sie Inhaber der Domain sind und Ihre Organisation legitim ist. Dies gibt Besuchern Ihrer Website Vertrauen, da betrügerische Websites diese Prüfungen nicht bestehen können. Extended-Validation-SSL-Zertifikate (EV) bieten Ihren Kunden den meisten Schutz. Wer ein EV SSL beantragt, durchläuft einen ausführlichen Prüfprozess.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Es lebe die rosarote SSL-Brille. Nur zu.

Bloß nicht fragen, was das Zeug überhaupt nützt, wenn jeder für nichts völlig ungeprüft ein Zertifikat prüfen kann. Aber dazu müßte man erstmal kapiert haben, was SSL ist, was es erreichen soll, und was es nicht ist.

Und warum man SSL verwenden soll(te), bzw nicht verwenden muß.

Vielleicht kapiert ja mal irgendwann einer, daß "ich verschicke mein Paßwort verschlüsselt von A nach B" nichts bringt, wenn ich überhaupt nicht weiß, wem ich es schicke.
 
Hi,

bisher nach wie vor leider wenige bis keine Fakten, sondern nur Meinungen, womit sich schwer sachlich diskutieren lässt. Abgesehen davon auch immer noch nicht wirklich den Bezug zum Startpost hergestellt.

Für mich erübrigt sich jede weitere Diskussion, sofern es mit dem eigentlichen Thema nichts zu tun hat oder zumindest einmal echte, sachliche Fakten auf den Tisch kommen.

Wir haben mittlerweile verstanden, dass du LE nicht magst und im Grunde nur EV-Zertfikaten traust bzw trauen möchtest. Das ist dein gutes Recht, wenn auch in meinen Augen aufgrund der ursprünglichen Frage komplett am Thema vorbei.

Vielleicht kapiert ja mal irgendwann einer, daß "ich verschicke mein Paßwort verschlüsselt von A nach B" nichts bringt, wenn ich überhaupt nicht weiß, wem ich es schicke.
Zum Vergrößern anklicken....

mit Verlaub, aber das ist zu kurz gedacht. Am Ende des Tages bestätigt dir selbst das EV nur, dass die Gegenstelle die ist, die sie zu sein behauptet. Was genau dann mit den Daten danach passiert, wie sicher diese abgelegt und gegen Diebstahl / Verlust abgesichert sind oder wie mit den Daten gehandelt wird bleibt trotzdem völlig offen. In meinen Augen ist das nicht besser, gerade wenn dir "Vertrauen" an der Stelle derartig wichtig ist. Das nur am Rande...

VG,
Mad
 
Das Problem ist, dass du in SSL-Zertifikate mehr Garantien hineininterpretierst, als dass sie tatsächlich geben oder jemals gegeben haben. Siehe mein Zitat von oben.

Ein DV-Zertifikat gibt dir die Garantie, dass der Server der ist, der er vorgibt zu sein. Nicht mehr, nicht weniger.
Wenn du also per HTTPS auf ComputerBase.de surfst, garantiert dir das Zertifikat, dass der Server zu dieser Domain gehört (solange der private Schlüssel nicht kompromittiert ist).
Deshalb wird bei der Ausstellung des Zertifikats geprüft, ob du Kontrolle (des tatsächliche Eigentum spielt keine Rolle) über die Domain hast (über DNS oder E-Mail).

Anders formuliert: Ein DV-Zertifikat bestätigt eine technische Identity (die des Server).
Du willst ein Zertifikat, das auch die Identität des Antragstellers (also einer natürlichen oder juristischen Person) bestätigt und das sind nun mal OV- und EV-Zertifikate.

RalphS schrieb:
Bloß nicht fragen, was das Zeug überhaupt nützt, wenn jeder für nichts völlig ungeprüft ein Zertifikat prüfen kann.
Zum Vergrößern anklicken....
Das Let's Encrypt-System ist genauso sicher oder unsicher wie die DV-Prozesse der großen kommerziellen CAs. Ein vollautomatischer Prozess, der überprüft ob du die Kontrolle über die Domain hast. Genau was ein DV-Zertifikat garantiert.
Oder geht's dir um die Kosten? Wenn ja, glaubst du, dass 16€ jemanden Abschrecken, der es geschafft hat das DNS einer relevanten Domain zu kompromittieren? Solche Leute wissen auch wie man seine Identität verschleiert.

RalphS schrieb:
Vielleicht kapiert ja mal irgendwann einer, daß "ich verschicke mein Paßwort verschlüsselt von A nach B" nichts bringt, wenn ich überhaupt nicht weiß, wem ich es schicke.
Zum Vergrößern anklicken....
Ein DV-Zertifikat schützt natürlich nicht davor, dass DNS kompromittiert wird um a) den Traffic umzuleiten und b) ein DV-Zertifikat für den eigenen Fake-Server zu beantragen (wobei für letzteres häufig auch E-Mail nötig ist).
Das exakt gleiche Problem hast du aber genauso bei unverschlüsselten Verbindungen nur, dass es noch einfacher ist, weil man sich um das Zertifikat keine Sorgen machen braucht.
Selbst ein EV-Zertifikat hilft bei Hacking nur bedingt, weil der private Schlüssel theoretisch genauso vom Server gestohlen werden kann.

Bei HTTPS geht's aber eben nicht nur um die Identität sondern um Ende-zu-Ende-Verschlüsselung. Und solange du nicht von einem Hack ausgehst (was du bei unverschlüsselten Verbindungen genauso machen musst) bietet HTTPS objektiv mehr Sicherheit.
 
Zuletzt bearbeitet: (Besitz->Eigentum)
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Notebook mit englischer oder französischer Tastatur empfehlenswert, wenn man günstiger bekommt?
Antworten
10
Aufrufe
534
RegShoe
R
Loretta
"Anonym & sicher im Internet mit Linux" von Robert Gödl - gefährliches Halbwissen oder empfehlenswert?
2 3
Antworten
57
Aufrufe
2.412
chitypo
C
Bernd/das\Brot
Smartphone-Reparatur - Wo empfehlenswert?
Antworten
9
Aufrufe
956
DJMadMax
DJMadMax
P
Wie entferne ich Wärmeleitpaste am besten und welche Paste ist empfehlenswert?
2
Antworten
37
Aufrufe
1.876
Sam Slayer
Sam Slayer
D
  • Gesperrt
Komplette Neuausstattung Smartphone / Tablet / Laptop / Desktop PC - welche Kombi für Lehrer empfehlenswert?
Antworten
2
Aufrufe
529
rallyco
rallyco
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz