Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kostenfreie SSL-Zertifikate: Let's…

Kostenlose Alternative StartCom

  1. Thema

Neues Thema Ansicht wechseln


  1. Kostenlose Alternative StartCom

    Autor: whitbread 14.04.16 - 14:19

    Also ich hatte mir auch ein paar Zertifikate von LE geholt; die kurze Laufzeit nervt aber gewaltig, ebenso wie die Beschränkung auf 5 Zertifikate pro Woche. Auch wenn meine NAS die LE-Zertifikatgenerierung nativ unterstützt bin ich daher wieder von LE weg.

    Im Zuge dessen bin ich zurück zu StartCom - und siehe da: Inzwischen unterstützt auch StartCom bis zu 5 Alternate Names - geht doch. Hier habe ich dann wenigstens 1 Jahr Ruhe und kann beliebig viele Zertifikate ausstellen.

    Aber jedem das Seine...

  2. Re: Kostenlose Alternative StartCom

    Autor: Trollmagnet 14.04.16 - 16:07

    Die kurze Laufzeit ist kein Argument, denn Renewal lässt sich vorzüglich per Cronjob automatisieren.

  3. Re: Kostenlose Alternative StartCom

    Autor: ThiefMaster 14.04.16 - 16:39

    5 pro domain pro woche. also kein problem.

  4. Re: Kostenlose Alternative StartCom

    Autor: ThiefMaster 14.04.16 - 16:43

    StartCom ist ein Saftladen. Ich betreibe zusammen mit einem Bekannten ein Projekt; er steht im Impressum und ist Domaininhaber, ich mach die Technik und kümmer mich auch um das SSL-Zertifikat. Hat bisher auch immer gut geklappt. Also gegen Weihnachten die Class-2-Validation für 60$ erneuert und ein Zertifikat angefordert.
    Ein paar TAGE(!) später kam eine Mail dass das Zertifikat abgelehnt wurde weil die Seite nicht mir gehören würde. Also erklärt dass wir die zusammen betreiben und ich mich auch gern im Impressum mit dazuschreiben könne. "Contact us again when you changed the domain's owner"

    ,,|,, - LE-Zertifikate genommen (auch wenns da keine Wildcards gibts) und mich über die verschwendeten 60$ geärgert..

  5. Re: Kostenlose Alternative StartCom

    Autor: whitbread 14.04.16 - 16:54

    Wie gesagt - jedem das Seine.

    Wollte nur zeigen, dass es eben eine kostenlose vom Hoster unabhängige Variante gibt. Ich komme sehr gut klar.

    Die kurze Laufzeit ist bei mir eben schon ein Problem: Ich habe hier ca. 15 Zertifikate am Laufen, davon nur 5 mit der Möglichkeit, diese bei LE selbst zu verlängern. Die anderen könnte die NAS dann zwar automatisch selbst verlängern, der manuelle Import-Export Vorgang bleibt dann aber an mir und da ist mir 1x pro Jahr deutlich lieber. Zudem müsste ich eben sicherstellen, dass nur 5 Zertifikate pro Woche zur Verlängerung anstehen...

  6. Re: Kostenlose Alternative StartCom

    Autor: BL Joe 14.04.16 - 19:28

    Das mit den 5 Zertifikaten pro Woche war zunächst auch für mich ein Problem. Da meine Domänen sich hinter 2 IP Adressen verstecken habe ich nun SAN Zertifikate erstellt und brauche nun nur noch 2 Zertifikate statt 17.
    SAN Zertifikate haben viele verschiedene Domänen Namen in einem Zertifikat (für die die es nicht kennen) und werden einfach mit der -d Option erstellt

    Ich bevorzuge Lest Encrypt aber hauptsächlich da Statt AAl Zertifikate in aus vielen meiner Kundennetze gesperrt sind. Aber ich hatte noch keines was Lets Encrypt angemeckert hat



    2 mal bearbeitet, zuletzt am 14.04.16 19:30 durch BL Joe.

  7. Vorurteile blenden

    Autor: misterjack 14.04.16 - 20:10

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > die kurze Laufzeit nervt aber gewaltig, ebenso wie die Beschränkung auf 5 Zertifikate pro Woche.
    >
    > Aber jedem das Seine...

    Bei Startcom liegt die Beschränkung auf ein Zertifikat pro Jahr, wenn du nicht Geld für ein Revoke-Zertifikat ausgeben möchtest. Bei Lets-Encrypt 5 Zertifikate/Woche pro FQDN (sub.example.com).

    1:0 für Lets Encrypt.

    Der Zeitaufwand, um bei Startcom ein Zertifikat auszustellen und einzubinden dauert ca. 2-5 Minuten. Bei Lets-Encrypt ein paar Sekunden.

    2:0 für Lets Encrypt.

    Ein Script, welches alle Domains durchgeht und bei Bedarf die Lets-Encrypt-Zertifikate erneuert hat mich eine halbe Stunde Zeit gekostet. Rennt jetzt täglich per Cronjob und wenn ich eine neue Domain/Subdomain damit versorgen möchte, hau ich die nur in eine Config rein und lass das Script laufen.

    3:0 für Lets Encrypt.

    3-monatige Laufzeit? Dank Cronjob irrelevant. Bei Startcom musste vor Ablauf des Jahres daran denken, zu verlängern.

    4:0 für Lets Encrypt.

    Ich habe auf einem Server ~60 Domains mit 4-6 Subdomains. Alle komplett mit Lets Encrypt Zertifikaten ausgestattet. Mit meinen Script war das in 10 Minuten* erledigt.

    Bei Startcom? 60*4*2 min = 8 Stunden.

    5:0 für Lets Encrypt.

    Noch Fragen?

    // Disclaimer: die letzten paar Jahre habe ich Startcom intensiv genutzt.

    * 60 Zertifikate in 10 Minuten funktioniert. Habe pro Domain ein Zertifikat mit allen Subdomains, da kann man bis zu 100 in ein Zertifikat packen.
    Hier die genauen Rate Limits: https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769



    2 mal bearbeitet, zuletzt am 14.04.16 20:18 durch misterjack.

  8. Re: Kostenlose Alternative StartCom

    Autor: Eggerd 14.04.16 - 20:54

    Das wurde inzwischen auch ein wenig angepasst. Inzwischen sind es offenbar 20 á Domain, pro Woche.

    https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769/2

  9. Re: Kostenlose Alternative StartCom

    Autor: SJ 14.04.16 - 21:51

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Wie gesagt - jedem das Seine.
    >
    > Die anderen könnte die NAS dann zwar automatisch selbst
    > verlängern, der manuelle Import-Export Vorgang bleibt dann aber an mir und
    > da ist mir 1x pro Jahr deutlich lieber.

    cURL mit PHP oder Sprache der Wahl und schon kannst du dich automatisiert einloggen und certs erneuern auf dem NAS.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  10. Re: Kostenlose Alternative StartCom

    Autor: MeinSenf 14.04.16 - 22:42

    whitbread schrieb:
    --------------------------------------------------------------------------------

    > Aber jedem das Seine...

    Da Du das ja bereits mehrmals in Deinen Postings erwähntest:
    http://www.buchenwald.de/634/

  11. Re: Kostenlose Alternative StartCom

    Autor: Anonymer Nutzer 15.04.16 - 00:42

    MeinSenf schrieb:
    --------------------------------------------------------------------------------

    > > Aber jedem das Seine...
    >
    > Da Du das ja bereits mehrmals in Deinen Postings erwähntest:
    > www.buchenwald.de

    Und für all diejenigen, die kein Latein in der Schule hatten: http://www.proverbia-iuris.de/suum-cuique/

  12. Re: Vorurteile blenden

    Autor: whitbread 15.04.16 - 08:32

    misterjack schrieb:
    --------------------------------------------------------------------------------
    > 5:0 für Lets Encrypt.
    >
    > Noch Fragen?

    Du scheinst mein Setup und meine Anforderungen ja gut zu kennen ;-)

    Ich brauche weder ein revoke, noch kann ich auf den Ziel-devices irgendwelche Scripte einsetzen. Ich brauche für ein StartCom-Zertifikat max. 30 sec für die Erstellung und dann nochmal gut 1 min. für den Import. Den Import hätte ich bei LE übrigens genauso. Sparen tut das also max. 30 sec, dafür habe ich 4x den Importaufwand pro Jahr statt nur 1x.

    Also steht bei mir nunmal die Laufzeit im VG und da ist StartCom nunmal vorne.

  13. Re: Kostenlose Alternative StartCom

    Autor: Schnarchnase 15.04.16 - 09:33

    BL Joe schrieb:
    --------------------------------------------------------------------------------
    > Das mit den 5 Zertifikaten pro Woche war zunächst auch für mich ein
    > Problem. Da meine Domänen sich hinter 2 IP Adressen verstecken habe ich nun
    > SAN Zertifikate erstellt und brauche nun nur noch 2 Zertifikate statt 17.

    Das ist kein Problem da – so wie du es sagst – falsch. Es sind 5 Zertifikate pro Woche pro FQDNset, bei 17 verschiedenen Domains also kein Problem. Das nächste für dich greifende Limit läge bei 500 innerhalb von 3 Stunden pro IP, da kommst du wohl lange nicht ran.

    siehe: [community.letsencrypt.org]



    1 mal bearbeitet, zuletzt am 15.04.16 09:33 durch Schnarchnase.

  14. Re: Kostenlose Alternative StartCom

    Autor: My1 15.04.16 - 13:03

    naja dass es bei LE geht und bei sssl c2 nicht ist klar. c2 ist identity/organization validation ergo es wird geprüft ob du als person die seite/domain besitzt.
    bei class1 certs ist diese aufteilung kein problem, weils eben nur DV ist wie auch LE da reicht es die kontrolle über die domain zu haben.

  15. Re: Vorurteile blenden

    Autor: My1 15.04.16 - 13:20

    "1 cert pro jahr"
    ach ja ne, ich hab schon genug certs in einem Jahr gemacht, man muss nicht revoken.

    "Zeitaufwand/validierung"
    also wenn die automatisierung failt, bspw wenn es kleine probleme mit den vhosts gibt und die validierung in der hinsicht failt hat man probleme.
    Manual mode ist weit aufwändiger als SSSL (bsow wenn man keine scripts laufen lassen kann.
    Jede subdomain muss bei LE einzeln validiert werden, was mir aufn zeiger ging als ich versucht habe mit raspi und manuellem Modus n 10+ SAN cert zu machen.
    bei startssl bekomm ich ne email auf meinen 2 root domains und schon kann ich für 30 tage beliebige certs für alle subs auf dem root erstellen.

    "skript"
    wenn es keine scripts gibt (oder keinen kompatiblen client) ist LE wieder im eimer. bei ner emfehlung von 60 tage renewal sind das 6 renews pro jahr und ich muss jedesmal schauen ob der renew erfolgreich lief.
    bei SSSL mach ich einmal im Jahr (okay vlt etwas mehr nach dem komma durch die überschneidung wenn man vorzeitig erneuert) den renew. wenn ich keinen plan habe den schlüssel zu wechseln nutze ich ne vorgefertigte leere CSR, wenn doch mach ich ne neue, kann aber trotzdem leer sein da alles außer key sowieso egal ist.
    dann die Validierung und dann CSR einfügen domains eingeben fertig.

    läuft für mich einfacher als LE und ich hab sowieso volle kontrolle und muss daher sowieso prüfen ob das cert sitzt.

    "cronjobs"
    hab keinen guten client für dein system (oder nicht die möglichkeit auf ne shell zu kommen) und LE ist tot

    "massenverarbeitung"
    gut hier ist LE natürlich besser, weil es auf automatisierung ausgelegt ist.


    aber man könnte über skripte auch sssl ansteuern indem es sich als browser ausgibt und alles über das webui macht.

    eines der probleme ist dass der (offizielle) LE client mit root läuft, sich selbst und seine abhängigkeiten updatet und dann noch die möglichkeit hat an der serverconf rumzuschreiben. also nix was man auf nem produktionsserver haben will.

  16. Re: Vorurteile blenden

    Autor: quasides 18.04.16 - 23:08

    Bitte was soll dieser Werbethreat für die Firma Startcom?

    Das lockangebot ist ja ganz nett jeodch kostet das Revoke 60¤
    Genau wie alles andere. VOn dem Fragwürdigen Interface aus den 90ern mal abgesehen gibts auch keiner lei Support in irgendeiner Form

    ium Grunde ist es ein Lockangebot nichts weiter. In der hoffnung geld mit Revokes und zusätzlicher Validierung abzuziehen.

    Tatsächlich gibts keine Existenzberechtigung mehr für Startcom.
    Für einefache Validierung bringt letsencrypt endlich eine freie alternative für basic web verschlüsselung. ENDLICH

    Für bessere Validierung und hochwertige Zertifikate geht man dann auch zu einer entsprechend angesehenen Validierungstelle, sicherlich nciht zu startcom

    Vermutlich arbeitet der Poster wohl dort oder für die anders lässt isch das nicht erklären wieso er wehement dieses sowieso recht fragwürde angebot bzw geschäftsgebahren verteidigt.

    im ernst jetzt ein autmatisches revoke für 60¤ ?

  17. Re: Vorurteile blenden

    Autor: ThiefMaster 18.04.16 - 23:14

    > Für bessere Validierung und hochwertige Zertifikate geht man dann auch zu einer entsprechend angesehenen Validierungstelle, sicherlich nciht zu startcom

    Ganz ehrlich? Wieso sollte ich oder auch eine Firma hunderte von Euros für ein EV-Zertifikat von VeriSign o.ä. ausgeben bei dem man u.U. auch noch abhängig von der Anzahl physischer Server zahlen darf (wofür es außer Geldmacherei KEINERLEI Rechtfertigung gibt) wenn es dasselbe bei SSSL für ~200$ gibt?

    Der Durchschnitts-User schaut nur auf die grüne Adresszeile und jemand der etwas versierter ist weiß dass der Name der CA nicht wirklich viel über die Sicherheit aussagt.

  18. Re: Vorurteile blenden

    Autor: My1 19.04.16 - 12:34

    also das revoke kostet ist mir bewusst und das ist auch mist. ich hatte mich ausschließlich auf die punkte oben bezogen, daher habe ich es nicht erwähnt, wobei es doch iirc 25usd waren und nicht 60¤.
    das selbe könnten wir auch mit CACert machen die sind aber leider noch nicht trusted, jedochvertraue ich denen Mehr dank des Web-of-trust mechanismuswo auf offline meetings (bspw auf chemnitzer linux tage) von min. 3 personen die Identität geprüft wird um länger gültige certs auszustellen.

    "90er seite", die haben inzwischen ihren style recht drastisch geändert, wobei ich den alten stil okay fand, es muss funktionieren, dass ist wichtig. Ich weiß nicht wie es bei startssl ist aber wenn ich seiten sehe die ohne JS garnix hinbekommen nervt das einfach richtig, noch schlimmer bei einigen Seiten auf dem handy (gut betrifft SSSL weniger) wenn das js wegen langsamen internet einfach nicht zu ende lädt und ggf noscript aushilfen nicht gehen.

    und dass man für Mehr Validation Zahlen muss ist doch logisch. DV kann automatisch gemacht werden währen IDentity bzw Organization nicht automatisch geht und EV schon 3mal nicht, das da für das Prozedere Geld Verlangt wird ist klar.

    Revoke erklären die über ihre CRLs die ja auch traffic ziehen und die ja ständig gezogen werden wo jedes wiederrufene cert drin steht. (wie sinnvoll das ist kann ich nicht bestätigen.

    Anders als diese "du darfst nur 1 server verwenden" certs die rein Teschnisch komplett unmöglich sind, da man die keys einfach rüber kopieren kann.

    LE ist gut wenn man deren client zum laufen bekommt und keine sorgen dabei hat dass der renew fehlschlägt, SSSL ist eher für leute die Mehr kontrolle wollen (produktionsserver mit certifikatsclient ja ne is klar), wobei CACert mMn die beste lösung ist, browsertrust abgesehen, CACert kann als einziger Wildcards, u.a.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Horváth & Partners Management Consultants, Stuttgart
  2. ima-tec GmbH, Kürnach
  3. thyssenkrupp AG, Essen
  4. Radeberger Gruppe KG, Frankfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,95€
  2. (-80%) 5,50€
  3. 0,49€
  4. (PC-Spiele bis zu 85% reduziert)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Games-Kunstwerke für die Hosentasche
Mobile-Games-Auslese
Games-Kunstwerke für die Hosentasche

Cultist Simulator, Photographs, Dungeon Warfare 2 und mehr: Diesen Monat lockt eine besonders hochkarätige Auswahl an kniffligen, gruseligen und komplexen Games an die mobilen Spielgeräte.
Von Rainer Sigl

  1. Spielebranche Auch buntes Spieleblut ist in China künftig verboten
  2. Remake Agent XIII kämpft wieder um seine Identität
  3. Workers & Resources im Test Vorwärts immer, rückwärts nimmer

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

  1. Customer First: SAP-Anwender sind in der Landschaft gefangen
    Customer First
    SAP-Anwender sind in der Landschaft gefangen

    SAP-Kunden sind treu, weil sie die eingeführte SAP-Landschaft nicht so einfach ablösen können. Doch sie bleiben auch deswegen, weil die Geschäftsprozesse gut unterstützt werden.

  2. Konsolenleak: Microsoft stellt angeblich nur Specs der nächsten Xbox vor
    Konsolenleak
    Microsoft stellt angeblich nur Specs der nächsten Xbox vor

    Die Veröffentlichungstermine von Spielen wie Cyberpunk 2077 und Gears 5, dazu die wichtigsten Spezifikationen der nächsten Xbox möchte Microsoft laut einem Leak während der Pressekonferenz auf der E3 vorstellen. Gerüchte gibt es auch über die Streamingpläne von Nintendo.

  3. FCC: Regulierer für Übernahme von Sprint durch T-Mobile US
    FCC
    Regulierer für Übernahme von Sprint durch T-Mobile US

    Nach offenbar weitgehenden Zugeständnissen beim Netzausbau auf dem Land und bei 5G hat der Regulierer in den USA dem Kauf von Sprint zugestimmt. Für die Telekom steigen damit die Kosten.


  1. 18:21

  2. 18:06

  3. 16:27

  4. 16:14

  5. 15:59

  6. 15:15

  7. 15:00

  8. 14:38