Warum für SSL Zertifikat zahlen?

[aid0nex]

Hallo,

ich betreibe auf einem Linux Heimserver bei mir zuhause einen Apache Webserver auf Ubuntu Linux mit einer Nextcloud Installation drauf. Für das SSL Zertifikat nutze ich Let`s Encrypt - weil es einfach zu installieren sowie kostenlos ist. Jedoch gibt es ja auch viele kostenpflichtige Anbieter. Warum sollte ich einen kostenpflichtigen Nutzen, wenn es das gleiche auch kostenlos gibt? Welchen Vorteil würde mir ein kostenpflichtiger als Privatnutzer bieten und warum nutzen die meisten Unternehmen kein Let`s Encrypt? Historisch bedingte Faulheit? CB scheint ja ebenfalls LE zu nutzen. Wie macht LE überhaupt Geld bzw. finanziert sich? Deren Infrastruktur betreibt sich ja sicher auch nicht umsonst.

Wäre super wenn mir das einer mal simpel erklären könnte, das Thema wird zwar auch auf diversen englischen Foren diskutiert wenn man sich mal der Google Suchergebnisse bedient, aber ich werde daraus einfach nicht schlau.

Danke und VG
aid0nex

 

[Aduasen]

Das merkt Let's Encrypt doch selber an:

Doch nicht für alle Betreiber*innen von Websites ist das kostenlose SSL-Zertifikat die beste Option. Damit Let's Encrypt SSL-Zertifikate schnell und automatisiert ausstellen und erneuern kann, werden sie nur über die Domain validiert. Mehr als den Nachweis, Inhaber der Domain zu sein, muss man also nicht liefern.

 

[aid0nex]

Mehr als den Nachweis, Inhaber der Domain zu sein, muss man also nicht liefern.

Ja aber ist das nicht genau der Punkt hinter einem SSL Zertifikat?
Wenn Alice die Website von Bob abfragen will, wird per SSL Zertifikat sicher gestellt dass die angebotene Website wirklich von Bob an Alice geliefert wird und nicht eine manipulierte Version von Malory.
Was bringet es denn dem Endnutzer, dem Betrachter einer Website wenn noch mehr Punkte validiert werden? Und warum zahlen Firmen dafür dass mehr Punkte validiert werden wenn man doch auch für weniger kostenlos ein SSL Zertifikat erhält und dann im Webbrowser genauso akzeptiert wird...?

 

[xexex]

Ja aber ist das nicht genau der Punkt hinter einem SSL Zertifikat?

Es kommt drauf an, oft willst du wissen wer wirklich die Domäne betreibt. Ein LE Zertifikat kann sich jeder für eine Domäne ausstellen lassen, auf dessen Webserver und/oder er Zugriff hat.

Kostenpflichtige Zertifikate bieten längere Laufzeiten und oft auch eine genauere Validierung (EV). Wenn du die Seite deiner Bank aufrufst, dann willst du auch sehen, dass dieses Zertifikat für deine Bank ausgestellt wurde.

 

[aid0nex]

Wenn du die Seite deiner Bank aufrufst, dann willst du auch sehen, dass dieses Zertifikat für deine Bank ausgestellt wurde.

Soeben mal für meine Bank gemacht:

Ich verstehe was du meinst. Darauf habe ich nie geachtet.

Bei meinem Heimserver sieht's entsprechend folgendermaßen aus:

Also quasi nochmal Sicherheit+? Geringere Wahrscheinlichkeit dass die Domäne "entführt" wird?

Das würde mir jedoch nicht erklären warum so "unwichtige" Seiten wie Wetterdienste Geld zahlen, dann den Service aber anscheinend NICHT nutzen (kein "ausgestellt für: ..."):

Wie ist das dann zu verstehen?

 

[--//--]

Wenn du die Seite deiner Bank aufrufst, dann willst du auch sehen, dass dieses Zertifikat für deine Bank ausgestellt wurde.

Nö.

 

[aid0nex]

Nö.

Den Beitrag verstehe ich jetzt nicht ganz...?

edit: mit dem Bild anbei macht's natürlich mehr Sinn. War zuerst nicht da.
Das würde ja den dritten Screenshot aus meinem vorherigen Beitrag ansprechen... Warum Geld zahlen und dann den "EV" Service nicht nutzen..?

 

[--//--]

Es wird (bei der Commerzbank als Beispiel) nur die Subdomain ausgewiesen, nicht der Inhaber.

 

[aid0nex]

...und was bringt eigentlich eine längere Laufzeit wenn man die Verlängerung doch ohnehin automatisieren kann..?

 

[--//--]

Verstehe ich auch nicht. Ich lasse meine Domains auch kostenlos verifizieren und die Verlängerung läuft automatisch ab. Macht Computerbase btw. ebenso, jedenfalls steht hier genau wie bei mir "R3".

 

[aid0nex]

@--//-- Exakt. CB macht es offensichtlich auch mit dem CertBot und Let`s Encrypt. Daher verwundert mich dass viele Websites, die es gar nicht notwendig haben, noch auf klassischem Wege Zertifikate kaufen...? Daher meine Ausgangsfrage ob es an historisch bedingter Faulheit aka "haben wir schon immer so gemacht" liegt.

 

[--//--]

Hab das gefunden: https://ihost24.com/de/blog/ssl-zer...rum-es-sinnvoll-ist-ein-zertifikat-zu-kaufen/

Selbst nutzt die Seite aber auch den kostenlosen Service von LE. Und das obwohl sie versuchen, Zertifizierungen zu verschachern...

 

[aid0nex]

Hehehehe welch Ironie 😂😂

 

[Malaclypse17]

Lets Encrypt gibt es noch gar nicht so lange, ebenfalls die Idee dahinter ist immer noch recht frisch, kurze Zertifikatslaufzeiten (man muss alle 90 Tage sein Cert erneuern) und muss sich selber um das erneuern kümmern, was aber zugegebenermaßen auch ohne weiteres komplett automatisiert werden kann.
Soweit ich weiß wird Lets Encrypt auch von vielen großen wie Google finanziell unterstützt, LE war meiner Meinung nach nötig, da sich der HTTPS Standard sonst nie so schnell hätte durchsetzen können.

Ich selbst nutze auch LE für meine Websites für ein Wildcard Zertifikat, welches sich über die Cloudflare API automatisch erneuern kann, was will man mehr?

 

[Renegade334]

Zertifikate leben davon, dass ihnen vertraut wird.
Let's Encrypt ist noch gar nicht so lange in den Standard Betriebssystemen und Browsern hinterlegt.

Der größte Vorteil sind die oben schon erwähnten Extended Validation Zertifikate die Personen bzw. Unternehmen bestätigen.
Aber auch sonst gibt es Funktionen, die Let's Encrypt teilweise (noch?) nicht unterstützt.
Wildcard Zertifikate waren so ein Fall, können aber inzwischen auch beantragt werden. Alternative Adressen sind aber glaube ich noch nicht möglich, also z.B. Server1.deine-domain.de, Server2.deine-domain.de, usw. in einem Zertifikat hinterlegt.
Ich nutze auch Let's Encrypt und bis auf die Alternate DNS Name Funktion vermisse ich bisher nichts. Jetzt fehlt noch ein ähnlicher Service für Code Signing und Mail (testet da gerade Actalis) und ich wäre zufrieden

 

[kartoffelpü]

@--//-- Exakt. CB macht es offensichtlich auch mit dem CertBot und Let`s Encrypt. Daher verwundert mich dass viele Websites, die es gar nicht notwendig haben, noch auf klassischem Wege Zertifikate kaufen...? Daher meine Ausgangsfrage ob es an historisch bedingter Faulheit aka "haben wir schon immer so gemacht" liegt.

Mal aus Firmensicht: Wenn man eine Web Application Firewall (o.ä.) vor seine Websever geschaltet hat, müssen die Zertifikate auch dort ausgetauscht werden. Und dann funktioniert das automatische austauschen nicht mehr so einfach per certbot & co.
Heißt, man müsste alle 3 Monate an jedes Zertifikat händisch ran und was machen anstatt 1x jährlich (oder sogar seltener).

 

[Renegade334]

Wobei man auch das automatisieren könnte.
Bei mir ruft Certbot nach Erstellung eines neuen Zertifikats mehrere Scripts auf um die Zertifikate in Webservern, RDP Gateway und verschiedenen Diensten auszutauschen. Aber ja, viele Firmen machen das noch lieber händisch.

 

[0x8100]

@Renegade334 wildcard und alternate names sind bei lets encrypt dabei.

Can I get a certificate for multiple domain names (SAN certificates or UCC certificates)?

Yes, the same certificate can contain several different names using the Subject Alternative Name (SAN) mechanism.

Does Let’s Encrypt issue wildcard certificates?

Yes. Wildcard issuance must be done via ACMEv2 using the DNS-01 challenge. See this post for more technical information.

https://letsencrypt.org/docs/faq/

 

[derlorenz]

Du legst bei DigiCert und co. natürlich auch noch Geld für den Garantieschutz und den Support mit hin.

LE kann san und * auch erst seit Ende 2018. klar geht jetzt natürlich schon ein Weilchen ^^

 

[xxMuahdibxx]

Die Frage ist doch nicht... Habe ich ein Zertifikat was kostenlos ist oder eines was etwas kostet ... Sondern welchem Zertifikat wird eher vertraut.

Und diese Vertrauensfrage stellen halt Unternehmen eher als Privatleute.