Webhoster Limacity nicht zu empfehlen

[Mirlo]

Hallo, hier ein paar Infos zum Webhoster Limacity.

Der Webhoster Limacity ist soweit OK, bis auf die kostenlosen Let's encrypt Zertifikate. Dabei kommt eine unschöne Sache zum Vorschein. Limacity erstellt nicht pro eigene Domain ein Zertifikat, sondern packt massenweise andere/fremde und ihre Domains / Subdomains mit in das Zertifikat. Dabei teilt sich die eigene Domain ein Zertifikat mit 30, 40 oder 50 anderen Domains. Diese anderen Domains und Subdomains sind schon vom Namen her unseriös. Das seltsame an dieser Praktik von Limacity ist, dass viele dieser Domains / Subdomains gar keine Website haben. Es sind unter anderem auch diese kostenlosen Limacity Subdomains, deren Websites größtenteils uralt und nicht mehr vorhanden sind.

Limacity verspricht, dass dies bei teureren Accounts nicht der Fall wäre, was schlichtweg nicht stimmt. Als Argument wird erwähnt, dass es zu viele Domains / Subdomains sind und dies das Erstellen von Zertifikaten überlastet. Hier ist die Frage, wieso die Domains / Subdomains von massenweise veralteter und nicht mehr existierender Websites ein Zertifikat benötigen.

Es kommt allerdings auch vor, dass Domains ein eigenes Zertifikat bekommen. Es wird allso unterschieden. Es ist zu vermuten, dass nach Reputation der Domain/Website unterschieden wird. Bei Domains/Websites mit einer guten Reputation werden massenweise andere Domains mit ins Zertifikat aufgenommen. Bei denen mit schlechter Reputation nicht. Es ist nur eine Beobachtung.

Normalerweise könnte gesagt werden: Ist doch egal. Es ist doch nur ein Zertifikat. Ganz so lapidar scheint es nicht zu sein. Es ist zu beobachten, dass diese Domains/Websites, bei denen massenweise andere mit reingepackt werden, im Google Ranking nach hinten durchgereicht werden, also im SEO-Ranking upgerankt werden. Das liegt vermutlich nicht allgemein an der Menge an Domains pro Zertifikat, sondern was für Domains mit welchen Websites. Diese anderen Domains / Websites werden vermutlich als Spam oder ähnlich eingestuft und somit die eigene Domain / Website mit.

Beispiele dieser anderen Domains (ähnlich wie):

klfsfeu.juju-puhu.org
wwwljke.simote.juxeae.de
wwwwwwwwwwwwawa.eueue.laporior.eu
...

eine lange Liste.
Dabei ist die eigene Domain nicht (immer) der Inhaber des Zertifikats, sondern irgendeine dieser schwurbeligen.

Limacity hat ein selbstkonstruiertes Problem, verschweigt es und will daran nichts ändern.
Es konnte bisher nicht herausgefunden werden, wieso Limacity diese schwer fragwürdige Praktik anwendet, Domains veralteter und nicht mehr existierender Websites in Sammelzertifikate von Kunden-Domains zu packen. Die ganze Anlegegenheit riecht nach irgendeiner Trickserei, bei der die Kunden die leidtragenden sind.

 

[kachiri]

So ganz klar wird nicht, was genau das Problem ist. Dein Spekulatius im Sinne des SEO raffe ich halt so gar nicht. Ich glaube du überschätzt, wofür ein SSL-Zertifikat ist.

 

[.one]

Wie wurde diese (unvollständige) Liste der Domains erzeugt?

 

[kartoffelpü]

Ich hab gerade nicht den ganzen Text gelesen, aber kannst du nicht einfach ein eigenes LE-Zertifikat nutzen? Oder geht das bei dem Anbieter nicht?

 

[.one]

Es wird dort offenbar ein Multi-Domain-SSL-Zertifikat verwendet. Was allerdings etwas ganz normales ist und mit der Sicherheit jetzt nicht wirklich was zu schaffen hat.

 

[Renegade334]

Ich glaube du überschätzt, wofür ein SSL-Zertifikat ist.

Also wenn ich ein Zertifikat einer anderen Website bekomme (und andersherum) ist das schon kritisch.
Man kann damit recht simpel vertrauenswürdige Verbindungen spoofen und teils melden sich auch Mailserver per Zertifikat an einem Smarthost für die Authentifizierung.
Wenn man genug Rechte hat um den privaten Schlüssel zu extrahieren geht da schon einiges.

Klar wäre z.B. MITM bei einer kleinen privaten Website eher unwahrscheinlich, aber guter Stil ist das trotzdem nicht. Wenn es zu viel Aufwand ist für jede Website 1x im Monat ein Zertifikat anzufordern und einzubinden sind die Webserver erheblich unterdimensioniert...

 

[Lawnmower]

Vielleicht sind das einfach Domains die auf dem gleichen Webserver mit der gleichen Public IP gehostet sind. Nicht hübsch, aber das Binding der Domain ist ja schlussendlich an dein Hosting gekoppelt - sehe jetzt da kein Problem. Womöglich läuft der Hoster da auch an ein Rate Limit wenn er für sehr viele Domains einzeln Zertifikate anfordert, mit dieser Massnahme kann er das umschiffen. Und es handelt sich ja um ein kostenloses Zertifikat, wenn Du eines hättest für das Du auch bezahlst, wird das nicht mehr passieren.

 

[Mirlo]

Danke @Renegade334 für die Info. Für mich ist bisher unklar, wieso für diese inaktiven Websites ein Zertifikat erstellt wird. Diese erhöhen die Menge an Domains vermutlich massiv, was wohl die Kapazitäten übersteigt.

Ich habe mal versucht ein Beispiel zu finden. Meine eigenen Domains und auch die eigenen von anderen will ich hier nicht mit reinziehen. Ein besseres Beispiel hab ich jetzt nicht gefunden. Es gibt aber auch Fälle mit 20, 30, 40, 50 Sammeldomain-Zertifikaten.
In diesem Beispiel besteht ein Sammel-Zertifikat für 6 Subdomains (kostenlose Limacity Subdomains). Eine dieser Subdomains ist die Zertifikat-Domain (commonName), alle anderen sind "Alternative Name".
https://crt.sh/?id=16697847004
Ein Check der Domains ergibt: Bei keiner dieser Domains besteht eine Website.
In anderen Fällen, mit eigenen Domains von Kunden, werden mehrere kundeneigenen von verschiedenen Kunden mit solchen Limacity-Subdomains vermischt und unter "Alternative Name" gelistet. Also nicht nur, dass Limacity seine Subdomains mit einer kundeneigenen Domain vermischt, sondern auch mehrere kundeneigene Domains verschiedener Kunden und die Zertifikate nicht auf die kundeneigenen als common Name ausstellt, sondern nur Alternative Name.

Bei Zertifikaten gibt es einen öffentlichen Schlüssel (open key) und einen privaten Schüssel (privat key). Alle die im Zertifikat angezeigten Domains können den private key einsehen. Wenn eine kundeeigene Domain ausschließlich mit Limacity-Subdomains zusammengewürfelt werden würde, wäre das insoweit kein Problem, da Limacity sowieso alle Keys auf ihren Servern einsehen können, bzw. ... bei Limacity können Kunden die privat keys nicht einsehen.

Das Problem besteht einzig in der Herstellung einer Verbindung zwischen verschiedenen Domains. Sowohl verschiedene kundeneigenen untereinander als auch mit denen von Limacity. Diese Verbindung ist problematisch. Google sieht alles.

Info zur "Bündelung von Zertifikaten" bei Limacity: https://www.lima-city.de/hilfe/ssl-fuer-den-webspace

Die Frage ist, wieso Limacity für diese massenweisen Subdomains von nicht mehr existierenden Websites Zertifikate ausstellt. Die andere Frage ist, wieso Kunden in diese Praktik mit einbezogen werden. Limacity könnte seine Subdomains von nicht existierenden Websites doch ausschließlich untereinander sammeln und nicht Kunden mit eigenen Domains da mit hineinziehen.

Andere Webhoster machen das nicht und haben viel mehr Domains. Limacity hat das Problem wegen seiner massenweisen kostenlosen Subdomains (aus den 2000er Jahren), deren Websites großteils alle längst offline sind. Kunden da mit hineinziehen ist problematisch. Google scheint dies auszuwerten. Verbindung ist Verbindung. Wer will schon seine eigene seriöse Website mit irgendeiner Schwurblerwebsite verbunden sehen?

Limacity ist wegen dieser seiner Praktik unseriös.

 

[kachiri]

Limacity ist wegen dieser seiner Praktik unseriös.

Wenn das durch Let's Encrypt aber so gewollt bzw. empfohlen ist? Insbesondere, wenn die Hosts auf dem selben Server liegen?

Zumal es sogar deutlich vom Hoster kommuniziert wird. Es wird nicht unterm Teppich gekehrt. Es wird erklärt und es wird sogar erwähnt, ab welchen Hosting Tarif das nicht mehr passiert...
Also wo ist dein Problem. "Unseriös" sehe ich nicht.

Das es die Seiten dann stellenweise nicht mehr gibt, liegt halt daran, dass die Zertifikate 90 Tage gültig sind und die Seite dann beim nächsten Refresh rausfliegt.

 

[Mirlo]

ab welchen Hosting Tarif das nicht mehr passiert

Das stimmt nicht. Auch in diesen Tarifen wird es praktiziert.

Das es die Seiten dann stellenweise nicht mehr gibt

Quatsch. Rufe die Domains direkt auf. Da existieren keine Websites (mehr). Das ist reiner Datenmüll, massenweise. Den Zahlen nach 100.000te.

 

[kachiri]

Ich habe die Seiten aufgerufen.
https://crt.sh/?id=16697847004

Die sind alle aufrufbar. Haben aber alle keinen Inhalt. Da die halt auch kostenloses Webhosting anbieten, ist das absolut nicht unüblich, wenn solche Projekte schneller wieder dicht sind, als man denkt..

Für mich klingt das wie unsachlicher Hate aufgrund persönlicher Unzufriedenheit - was auch immer diese ausgelöst hat.

 

[Mirlo]

Für mich klingt das wie

Typische Schnapp-Reaktion. Jetzt bin ich schuld an den Sammel-Zertifikaten ... übel heutzutage ...

 

[kachiri]

?!

Du beklagst dich über Sammel-Zertifikate und unterstellst dem Hoster eine unseriöse Vorgehensweise. Dann bringst du selbst Licht ins Dunkel und verweist auf einen FAQ-Eintrag vom Hoster, wo dieses Verhalten transparent erläutert...

https://letsencrypt.org/docs/integration-guide/

Our issuance policy allows for up to 100 names per certificate. Whether you use a separate certificate for every hostname, or group together many hostnames on a small number of certificates, is up to you.

Using separate certificates per hostname means fewer moving parts are required to logically add and remove domains as they are provisioned and retired. Separate certificates also minimize certificate size, which can speed up HTTPS handshakes on low-bandwidth networks.

On the other hand, using large certificates with many hostnames allows you to manage fewer certificates overall. If you need to support older clients like Windows XP that do not support TLS Server Name Indication (SNI), you’ll need a unique IP address for every certificate, so putting more names on each certificate reduces the number of IP addresses you’ll need.

For most deployments both choices offer the same security.

Ich habe noch immer nicht dein Problem erkannt.

 

[Mirlo]

Ich habe noch immer nicht dein Problem erkannt.

Sammelzertifikate "for up to 100" Sub/Domains mit absolut zusammenhanglosen Sub/Domains ist unseriös. Einmal, weil die meisten dieser Subdomains keine Website haben und ein Cert für diese Domains somit Nonsense ist. Andererseits, weil die eigene Domain somit mit anderen (möglich konträren oder fragwürdigen) verbunden wird. Gemeinsames Cert = gehören zusammen. Es gibt zudem den Verdacht, dass Google das im Ranking auswertet (wird es aber vermutlich nicht zugeben).

 

[kachiri]

Es gibt zudem den Verdacht

Noch mehr Spekulatius.

Einmal, weil die meisten dieser Subdomains keine Website haben und ein Cert für diese Domains somit Nonsense ist.

Ich kann jede URL aufrufen. Es sind also Webseiten vorhanden. Gut. Die sind inzwischen häufig inhaltsleer, weil quasi Standardstartseite oder aber Sperrseite, weil scheinbar der Account aus Gründen gesperrt wurde...
Da Browser allerdings inzwischen HTTPS erzwingen, macht ein Zertifikat pauschal IMMER Sinn.

 

[Mirlo]

weil quasi Standardstartseite oder aber Sperrseite

macht ein Zertifikat pauschal IMMER Sinn

Interessante Denkweise. Wieso nicht einfach für jede rein theoretisch mögliche Domain ein Cert ausstellen? Sicher ist sicher! kachiri-whatever*de ein Cert mit rechts-ruck-forever*de und links-weit-aussen*de. Sehr seriös.

Natürlich macht ein Cert für eine tatsächlich existierende Website Sinn, und dabei eventuell auch ein Sammeln mit allen Subdomains, aber niemals mit fremden Domains. Denn manchmal macht sogar ein Cert für jede Subdomain Sinn. Ein Beispiel von mehreren: Wenn diese Subdomain mehr oder minder geheim gehalten werden soll.

Von mir wurde beobachtet, dass andere Domains für sicherheitsrelevante Websoftware eine eigene Subdomain mit nicht leicht zu eratenden Subdomains anlegten. Also nicht simpel phpmyadmin.example.com, sondern oophpoomyooadmin.example.com. Vollkommen sinnlose Aktion, weil die Subdomain bei "up to 100" anderen Domains via Cert sichtbar / veröffentlicht ist. So etwas macht nur mit eigenem Cert für diese Subdomain Sinn und wäre sogar so zu empfehlen. Bots crawlen heutztage mittels jeder irgenwie bekannten Sub/Domain Websites auf Schwachstellen und greifen diese an. Schutz bietet dagegen, wenn die Bots die Sub/Domain erst gar nicht kennen.

Egal welche Argumente und Ausreden, wobei die mit den toten Websites absolut irre, Sammelzertifikate mit fremden Domains sind unseriös bishin sicherheitsriskant.

 

[kachiri]

Wieso nicht einfach für jede rein theoretisch mögliche Domain ein Cert ausstellen?

Wildcard-Zertifikate. *.tld.de - Nachteil ist, dass diese Zertifikate nicht erneuert werden und man jedes Mal einen neuen TXT-Record in den DNS-Einstellungen hinterlegen muss.

Aber gut. Immerhin erschließt sich mir jetzt, welches Problem du damit hast. Das ist sogar auch nachvollziehbar. Aber: Der aus deiner Sicht unseriöse Hoster geht transparent damit um, dass er Sammelzertifikate ausstellt. Es ist also einfach deine Entscheidung, zu einem Hoster zu wechseln, wo das nicht der Fall ist. Da muss man auch nicht unsachlich nachtreten, nur weil das deiner Ansicht nach nicht in Ordnung ist.
Es ist von Let's Encrypt ja sogar vorgeschlagen...

Aber ich bin raus.

 

[Mirlo]

Wildcard-Zertifikate.

Wenn dann *.de

 

[JumpingCat]

Es ist zu beobachten, dass diese Domains/Websites, bei denen massenweise andere mit reingepackt werden, im Google Ranking nach hinten durchgereicht werden, also im SEO-Ranking upgerankt werden. Das liegt vermutlich nicht allgemein an der Menge an Domains pro Zertifikat, sondern was für Domains mit welchen Websites. Diese anderen Domains / Websites werden vermutlich als Spam oder ähnlich eingestuft und somit die eigene Domain / Website mit.

Hast du eine Quelle dafür?

Limacity hat ein selbstkonstruiertes Problem, verschweigt es und will daran nichts ändern.

Was wird verschwiegen? Auf deren Webseite schreiben die explizit das ab einer Tarifstufe du eigene und exklusive Zertifikate bekommt.

https://crt.sh/?id=16697847004
Ein Check der Domains ergibt: Bei keiner dieser Domains besteht eine Website.

Zertifikate kann man nicht nur für Webserver benutzen.

Von mir wurde beobachtet, dass andere Domains für sicherheitsrelevante Websoftware eine eigene Subdomain mit nicht leicht zu eratenden Subdomains anlegten.

Du verlinkst selbst das Cert Transparency Log. Auch solch eine Domain wird da auftauchen. Ist jetzt aber auch noch so neu. Siehe zum Beispiel https://www.golem.de/news/certifica...n-bevor-sie-installiert-sind-1707-129116.html . Lösung ist ein Wildcard Zert zu erstellen.

Wildcard-Zertifikate. *.tld.de - Nachteil ist, dass diese Zertifikate nicht erneuert werden und man jedes Mal einen neuen TXT-Record in den DNS-Einstellungen hinterlegen muss.

Das geht schon seit Jahren automatisch. Nimm einen haproxy, nginx proxy manager, opnsense, etc. Die bedienen den DNS komplett automatisch.

Sammelzertifikate "for up to 100" Sub/Domains mit absolut zusammenhanglosen Sub/Domains ist unseriös.

Dann ist da draussen aber sehr viel unseriöses unterwegs. Zum Beispiel https://crt.sh/?id=16065484194 oder https://crt.sh/?id=13961694550 oder https://crt.sh/?id=15792784740

 

[Mirlo]

Hast du eine Quelle dafür?

Meine eigenen Domains - die hier ganz gewiss und absolut sicher nicht genannt werden. Auch nicht auf Androhung und unter Druck setzen und dergleichen.
Kann hier nur mitteilen, was von mir beobachtet wird: Das Ranking schwankt bei einigen (vermutlich deswegen anstatt wegen was anderem). Es fand ein starkes Upranking statt (bei einem Cert mit up to 100 Domains). Es sind Domains dabei, mit denen meine Websites nichts zu tun haben wollen.

Was wird verschwiegen?

Verschwiegen wird, dass Kunden nicht mit in diese Praktik mit hineingezogen werden müssten, da diese Sammel-Zertifikate vorwiegend wegen der toten Lima-City Subdomains erstellt werden. Es ist falsch, dass es an der Menge an Domains im Allgemeinen liegt, da dieses Problem vorwiegend von den toten Lima-City Subdomains erzeugt wird. Diese könnte Lima-City beim Erstellen der Zertifikate separieren und nur für diese untereinander Sammel-Zertifikate erstellen. Somit würden Kunden nicht mit in das Problem von Lima-City hineingezogen. Aber da besteht von Seiten von Lima-City scheinbar kein Interesse. Viel lieber werden Kunden in diese Praktik mit hineingezogen, was Lima-City unseriös macht. Es ist nicht das Problem der Kunden mit eigenen Domains, sondern von Lima-Citys toten Subdomains.

Zertifikate kann man nicht nur für Webserver benutzen.

Das ist das Argument, dass Lima-City aufbringt, dass all diese toten Lima-City Subdomains noch aktiv genutzt werden würden. Wer's glaubt. Zumal dieses Argument den Kunden mit eigenen Domains egal sein kann, weil es nicht ihr Problem ist, sondern ausschließlich das von Lima-City, dass sich diese Firma in den 2000er Jahren mit dem Angebot kostenloser Subdomains erzeugt hat. Nach der Logik von Lima-City muss für diese Subdomains bis in alle Ewigkeit ein Cert ausgestellt werden. Weil sie ihr Versprechen nicht brechen wollen. Das ist, sorry, irre.

Du verlinkst selbst das Cert Transparency Log.

Na da hast du es ja. Sobald eine Domain bekannt ist, wird sie angegriffen. Also besser erst gar nicht bekannt werden. Also noch strenger vorgehen und für "geheime" Websoftware eine eigene Domain (anstatt Subdomain). Aber bei Lima-City nützt auch das nichts.
Und du lieferst ja auch gleich die Lösung für Lima-City. Lima-City soll für seine Subdomains ein Wildcart-Cert ausstellen. Dann bleiben Kunden von dem Problem außen vor.

Aber, dreimal darfst du raten, für die Domain www.lima-city*de wird immer ein separates Cert ausgestellt. Da sind sie sich zu fein, ihre eigene Domain mit anderen in ein schwurbeliges Sammelzertifikat zu packen. Hingegen sind ihnen die Domains der Kunden egal. Mit denen kann mans ja machen. Sollen sie doch woanders hingehen. Bescheuerte Sprüche.

Bei anderen Webhostern (bin bei mehreren verschiedenen) kann pro Domain ein Cert ausgestellt werden. Für example*com und www.example*com, sowie jede Subdomain je ein separates. Und dieser Webhoster hat ganz gewiss für viel mehr Domains Certs auszustellen.

Dann ist da draussen aber sehr viel unseriöses unterwegs.

Die Domains gehören jeweils zu einer Firma. Da kann jede Firma machen was sie will. Auch bei Lima-City wäre das möglich, einerseits mit den Lima-City Subdomains untereinander, und andererseits wenn ein Kunde (Account) mehrere Domains hat. Allerdings sollte das vom Kunden explizit gewünscht sein, falls dieser seine Domains lieber separiert haben möchte.