SSL Zertifikat erneuern

[jomaster]

Hallo zusammen,

ich habe in der Suche leider auf die schnelle nichts gefunden. Und zwar möchte ich mein vorhandenes SSL Zertifikat austauschen, da es in 2 Wochen abläuft. Ich habe das ganze bei IONOS bestellt. Jetzt gibt es die Möglichkeit das Zertifikat zu erneuern, aber ich bin mir nicht sicher, ob das alte dabei für ungültig erklärt wird oder noch ganz normal benutzt werden kann.

Könnt ihr mir das sagen?

 

[e_Lap]

https://www.ionos.de/hilfe/ssl-zert...t-neu-ausstellen-altes-zertifikat-widerrufen/

 

[Rickmer]

Das alte Zertifikat natürlich erst wiederrufen nachdem du das neue hinterlegt und getestet hast

 

[jomaster]

Das ist ja meine Frage, ob das alte automatisch wiederrufen wird, weil es gibt ja für die Domain dann ja zwei gültige SSL Zertifikate. Oder ob ich das ganze erst später manuell machen muss.

Danke für das Ionos Wiki, aber da ist ja nur der Prozess beschrieben, nicht welche Auswirkungen das hat...

 

[FranzvonAssisi]

Nein, normalerweise werden die Zertifikate nicht widerrufen - das ist auch unnötig, da es ja bald abläuft.

Lg

 

[Yuuri]

Das ist ja meine Frage, ob das alte automatisch wiederrufen wird, weil es gibt ja für die Domain dann ja zwei gültige SSL Zertifikate. Oder ob ich das ganze erst später manuell machen muss.

Es wird nichts widerrufen, es läuft einfach aus. Mach ein Neues und gut. Widerrufen "musst" du nur, wenn der Private Key kompromittiert wurde. Aber auch das musst du nicht, nur kann dann ggf. jemand Traffic abgreifen/manipulieren und/oder MITM spielen.

 

[Maike23]

Du kannst auch 20 gültige Zertifikate für eine Domain haben ...wenn du Spaß daran hast.
Du kannst aber nur eines für eine Domain/Subdomain zur Zeit auf dem Server installieren.

Das alte wird im Regelfall nicht ungültig und funktioniert, solange es auf der richtigen Domain (Namen)
installiert ist, und es nicht abgelaufen ist.
Ein Zertifikat wird in solchen Fällen nicht widerrufen ...dass macht man nur wenn es ernsthafte bedenken gibt.
( z.B. Das Zertifikat ( private key) in falsche Hände fällt oder es Fehler im "Zertifizierungs-pfad" gibt )

Aber wenn Zertifikate einfach nur ablaufen macht man da keine Sache draus ... sie laufen einfach ab.

 

[AAS]

Wieso brauchst du nicht Lets Encrypt?

 

[0x8100]

1. letsencrypt
2. wenn nicht 1. dann darauf achten, dass das neue zertifikat max. 1 jahr gültig ist. es bringt nichts, jetzt geld für ein zertifikat mit 2 oder mehr jahren gültigkeit auszugeben.

 

[snaxilian]

@AAS Offensichtlich hat ionos noch genug Kunden die bereit sind pro Monat 3€ oder mehr für etwas zu zahlen was man woanders kostenlos dazu bekommt. 🤷‍♂️

 

[AAS]

@AAS Offensichtlich hat ionos noch genug Kunden die bereit sind pro Monat 3€ oder mehr für etwas zu zahlen was man woanders kostenlos dazu bekommt. 🤷‍♂️

Scheinbar, wenn man nicht ein EV braucht, kann man getrost Lets Encrypt verwenden mit certbot oder ähnlichem.

 

[Roesi]

Normalerweise erinnert Dich dein Provider per Emailvor Ablauf und ob es verlängert werden soll.

 

[FranzvonAssisi]

Scheinbar, wenn man nicht ein EV braucht

Und selbst denen kann man nicht "richtig" vertrauen - gibt einige CAs, die die Kriterien offenbar "etwas lockerer" sehen (hab ich neulich gelesen, dass Sicherheitsforscher ohne Probleme bei einigen CAs inkorrekte Zertifikate erstellen lassen konnten)

Lg

 

[Yuuri]

OV- und EV-Zertifikate ist aber auch nur noch zur "Zierde". Es wird nirgendwo mehr besonders hervorgehoben, sondern die Details sind nur noch mit mehreren Klicks über mehrere Dialoge und Listen einsehbar. Im Firefox ein Dialog/Klick mehr, dafür ne übersichtlichere Liste.

“Through our own research as well as a survey of prior academic work, the Chrome Security UX team has determined that the EV UI does not protect users as intended (see Further Reading below). Users do not appear to make secure choices (such as not entering password or credit card information) when the UI is altered or removed, as would be necessary for EV UI to provide meaningful protection,” Google said.

“Further, the EV badge takes up valuable screen real estate, can present actively confusing company names in prominent UI, and interferes with Chrome's product direction towards neutral, rather than positive, display for secure connections. Because of these problems and its limited utility, we believe it belongs better in Page Info.”

[...]

“In desktop Firefox 70, we intend to remove Extended Validation (EV) indicators from the identity block (the left hand side of the URL bar which is used to display security / privacy information). We will add additional EV information to the identity panel instead, effectively reducing the exposure of EV information to users while keeping it easily accessible,” Johann Hofmann of Mozilla said.

“The effectiveness of EV has been called into question numerous times over the last few years, there are serious doubts whether users notice the absence of positive security indicators and proof of concepts have been pitting EV against domains for phishing.”

 

[AAS]

OV- und EV-Zertifikate ist aber auch nur noch zur "Zierde". Es wird nirgendwo mehr besonders hervorgehoben, sondern die Details sind nur noch mit mehreren Klicks über mehrere Dialoge und Listen einsehbar. Im Firefox ein Dialog/Klick mehr, dafür ne übersichtlichere Liste.

Absolut, aber als Bank, Behörde oder ähnliches gehört ein EV halt zum guten Ruf.

 

[Yuuri]

Schön für den Ruf. Wenn ich aber 100x klicken, mich durch mehrere Dialoge und mit einer unübersichtlichen Liste abfinden muss, ist mir der Ruf auch egal. Zumal mir diese Liste auch genau gar nichts wirklich vermittelt. Wenn ich dort ein Zwischenzertifikat lokal auf dem Rechner hab (hallo Virenscanner), wodurch ein MITM möglich ist, kann dort jeglicher Schund drin stehen und es als gültig markieren. Hier hälfe es nur, wenn dir die Bank über nen anderen Transport den Cert-Fingerprint übergibt, ähnlich GPG. Dass eine andere Zertifizierungsstelle wild Zertifikate ausstellt, welche gültig sind, ist nun nicht nur einmal vorgekommen. Zukünftig könntest du aber mehrmals pro Jahr so eine Meldung bekommen, denn aktuell sind Zertifikate auf ein Jahr begrenzt. Zukünftig werden das wohl ebenso nur noch Monate sein.

Stattdessen sollte lieber das Prinzip von HPKP in Form von DANE weiterverfolgt werden, sodass ein falsches Zertifikat sofort auffällt, wenn nicht auch der DNS mit übernommen wurde. Da braucht es keinen User der manuell nachprüft, sondern die Seite selbst sorgt für ihre eigene Sicherheit und demzufolge die des Users. Auch wird es Zeit für TLS 1.3 mit ESNI... Aber bzgl. DANE ist bspw. ein riesiger Hoster namens Hetzner zu dämlich und spricht sich gegen DNSSEC aus, weil

Bei dieser Prüfung stellten wir fest, dass die Implementierung sehr aufwendig wäre und eine geringe Nachfrage zu erwarten ist. Unter diesen Gegebenheiten haben wir uns gegen das Feature DNSSEC entschieden.

Gerade DNSSEC ist u.a. Grundlage für mehr Sicherheit... -.-"

Die Techniken wären da. Keiner liefert sie aus. Ähnlich der IPv6-Misere (hallo Sony).