sponsored by CAs?

Hier in der Firma nutzen wir kostenpflichtige Zertifikate, die 24 Monate laufen. Bei 24 Monaten gibt es einen ordentlichen Rabatt gegenüber 2x12 Monaten.
Außerdem ist das jedes mal ein ziemliches Hin und Her, weil die automatisierten Prozesse der CAs bei uns nicht funktionieren (die Dt. Telekom filtert Mails mit Zertifikat-Anhängen).

zum einen gibt es let's encrypt.

zum anderen werden die anbieter sicher nicht ihre preise erhöhen deshalb. ich denke, dass man einfach ein zertifikat für zwei jahre kaufen kann, dieses aber halt immer nur für ein jahr ausgestellt wird und man es dann einfach vor ablauf des vertrages bis zu dessen ende verlängern darf. apple besteht ja nicht auf einem neuen private key sondern auf einem neuen zertifikat. bisher war es auch schon bei allen CAs möglich, ein zertifikat zu erneuern.

Was spricht gegen Let's Encrypt? Der ganze DV, OV und EV Zertifikate finde ich schwachsinnig. Die grüne Leiste soll oder wird schon nicht mehr in Browsern angezeigt. Klar ein nice to have wäre es schon, wenn man auch die whois Daten in dem SSL Zertifikat wiederspiegeln könnte, aber wer guckt sich wirklich Zertifikate an?
Wildcard Zertifikate sind ja nicht wirklich nötig bei Lets Encrypt, außer man vergisst im DNS einen A Record für die neue Domain zu erstellen, wobei da geht auch Wildcard.

Es ist ganz gut dass es Let's Encrypt gibt

Stimme völlig überein, LE ist ein Segen, ich will nicht mehr zu was anderem zurück.

Wildcard-Zertifikate sind nicht unbedingt nötig, können aber IMO durchaus sinnvoll sein; schon allein weil man dann mal eben schnell eine neue subdomain aufsetzen kann, ohne überall rumschrauben/erneuern zu müssen, oder weil man eben nicht sämtliche subdomains in die Welt rausposaunen muss.

Netter Nebeneffekt von DNS-01: man kann auch (sogar Wildcard)-Zertifikate für Domains kriegen, die gar nicht via HTTP(S) öffentlich erreichbar sind.

pfeifffer schrieb:
--------------------------------------------------------------------------------
> Hier in der Firma nutzen wir kostenpflichtige Zertifikate, die 24 Monate
> laufen. Bei 24 Monaten gibt es einen ordentlichen Rabatt gegenüber 2x12
> Monaten.
> Außerdem ist das jedes mal ein ziemliches Hin und Her, weil die
> automatisierten Prozesse der CAs bei uns nicht funktionieren (die Dt.
> Telekom filtert Mails mit Zertifikat-Anhängen).


naja die CAs können ja auch anbieten, dass die Kunden x Jahre kaufen über die diese dann Certs bekommen.

dazu bezweifle ich dass die kostenpflichtigen CAs das zum spaß machen, denn damit kommen die ja wieder was die lebensdauer angeht LE einen schritt näher, und lange certs sind eine der hauptgründe für paid-certs.

dazu bieten die ja diese langen certs auch deswegen, an weil das Kundenbindung heißt, will man sicher nicht aufgeben.

Asperger inside(tm)