Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kostenfreie SSL-Zertifikate: Let's…

Kostenlose Alternative StartCom

  1. Thema

Neues Thema Ansicht wechseln


  1. Kostenlose Alternative StartCom

    Autor: whitbread 14.04.16 - 14:19

    Also ich hatte mir auch ein paar Zertifikate von LE geholt; die kurze Laufzeit nervt aber gewaltig, ebenso wie die Beschränkung auf 5 Zertifikate pro Woche. Auch wenn meine NAS die LE-Zertifikatgenerierung nativ unterstützt bin ich daher wieder von LE weg.

    Im Zuge dessen bin ich zurück zu StartCom - und siehe da: Inzwischen unterstützt auch StartCom bis zu 5 Alternate Names - geht doch. Hier habe ich dann wenigstens 1 Jahr Ruhe und kann beliebig viele Zertifikate ausstellen.

    Aber jedem das Seine...

  2. Re: Kostenlose Alternative StartCom

    Autor: Trollmagnet 14.04.16 - 16:07

    Die kurze Laufzeit ist kein Argument, denn Renewal lässt sich vorzüglich per Cronjob automatisieren.

  3. Re: Kostenlose Alternative StartCom

    Autor: ThiefMaster 14.04.16 - 16:39

    5 pro domain pro woche. also kein problem.

  4. Re: Kostenlose Alternative StartCom

    Autor: ThiefMaster 14.04.16 - 16:43

    StartCom ist ein Saftladen. Ich betreibe zusammen mit einem Bekannten ein Projekt; er steht im Impressum und ist Domaininhaber, ich mach die Technik und kümmer mich auch um das SSL-Zertifikat. Hat bisher auch immer gut geklappt. Also gegen Weihnachten die Class-2-Validation für 60$ erneuert und ein Zertifikat angefordert.
    Ein paar TAGE(!) später kam eine Mail dass das Zertifikat abgelehnt wurde weil die Seite nicht mir gehören würde. Also erklärt dass wir die zusammen betreiben und ich mich auch gern im Impressum mit dazuschreiben könne. "Contact us again when you changed the domain's owner"

    ,,|,, - LE-Zertifikate genommen (auch wenns da keine Wildcards gibts) und mich über die verschwendeten 60$ geärgert..

  5. Re: Kostenlose Alternative StartCom

    Autor: whitbread 14.04.16 - 16:54

    Wie gesagt - jedem das Seine.

    Wollte nur zeigen, dass es eben eine kostenlose vom Hoster unabhängige Variante gibt. Ich komme sehr gut klar.

    Die kurze Laufzeit ist bei mir eben schon ein Problem: Ich habe hier ca. 15 Zertifikate am Laufen, davon nur 5 mit der Möglichkeit, diese bei LE selbst zu verlängern. Die anderen könnte die NAS dann zwar automatisch selbst verlängern, der manuelle Import-Export Vorgang bleibt dann aber an mir und da ist mir 1x pro Jahr deutlich lieber. Zudem müsste ich eben sicherstellen, dass nur 5 Zertifikate pro Woche zur Verlängerung anstehen...

  6. Re: Kostenlose Alternative StartCom

    Autor: BL Joe 14.04.16 - 19:28

    Das mit den 5 Zertifikaten pro Woche war zunächst auch für mich ein Problem. Da meine Domänen sich hinter 2 IP Adressen verstecken habe ich nun SAN Zertifikate erstellt und brauche nun nur noch 2 Zertifikate statt 17.
    SAN Zertifikate haben viele verschiedene Domänen Namen in einem Zertifikat (für die die es nicht kennen) und werden einfach mit der -d Option erstellt

    Ich bevorzuge Lest Encrypt aber hauptsächlich da Statt AAl Zertifikate in aus vielen meiner Kundennetze gesperrt sind. Aber ich hatte noch keines was Lets Encrypt angemeckert hat



    2 mal bearbeitet, zuletzt am 14.04.16 19:30 durch BL Joe.

  7. Vorurteile blenden

    Autor: misterjack 14.04.16 - 20:10

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > die kurze Laufzeit nervt aber gewaltig, ebenso wie die Beschränkung auf 5 Zertifikate pro Woche.
    >
    > Aber jedem das Seine...

    Bei Startcom liegt die Beschränkung auf ein Zertifikat pro Jahr, wenn du nicht Geld für ein Revoke-Zertifikat ausgeben möchtest. Bei Lets-Encrypt 5 Zertifikate/Woche pro FQDN (sub.example.com).

    1:0 für Lets Encrypt.

    Der Zeitaufwand, um bei Startcom ein Zertifikat auszustellen und einzubinden dauert ca. 2-5 Minuten. Bei Lets-Encrypt ein paar Sekunden.

    2:0 für Lets Encrypt.

    Ein Script, welches alle Domains durchgeht und bei Bedarf die Lets-Encrypt-Zertifikate erneuert hat mich eine halbe Stunde Zeit gekostet. Rennt jetzt täglich per Cronjob und wenn ich eine neue Domain/Subdomain damit versorgen möchte, hau ich die nur in eine Config rein und lass das Script laufen.

    3:0 für Lets Encrypt.

    3-monatige Laufzeit? Dank Cronjob irrelevant. Bei Startcom musste vor Ablauf des Jahres daran denken, zu verlängern.

    4:0 für Lets Encrypt.

    Ich habe auf einem Server ~60 Domains mit 4-6 Subdomains. Alle komplett mit Lets Encrypt Zertifikaten ausgestattet. Mit meinen Script war das in 10 Minuten* erledigt.

    Bei Startcom? 60*4*2 min = 8 Stunden.

    5:0 für Lets Encrypt.

    Noch Fragen?

    // Disclaimer: die letzten paar Jahre habe ich Startcom intensiv genutzt.

    * 60 Zertifikate in 10 Minuten funktioniert. Habe pro Domain ein Zertifikat mit allen Subdomains, da kann man bis zu 100 in ein Zertifikat packen.
    Hier die genauen Rate Limits: https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769



    2 mal bearbeitet, zuletzt am 14.04.16 20:18 durch misterjack.

  8. Re: Kostenlose Alternative StartCom

    Autor: Eggerd 14.04.16 - 20:54

    Das wurde inzwischen auch ein wenig angepasst. Inzwischen sind es offenbar 20 á Domain, pro Woche.

    https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769/2

  9. Re: Kostenlose Alternative StartCom

    Autor: SJ 14.04.16 - 21:51

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Wie gesagt - jedem das Seine.
    >
    > Die anderen könnte die NAS dann zwar automatisch selbst
    > verlängern, der manuelle Import-Export Vorgang bleibt dann aber an mir und
    > da ist mir 1x pro Jahr deutlich lieber.

    cURL mit PHP oder Sprache der Wahl und schon kannst du dich automatisiert einloggen und certs erneuern auf dem NAS.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  10. Re: Kostenlose Alternative StartCom

    Autor: MeinSenf 14.04.16 - 22:42

    whitbread schrieb:
    --------------------------------------------------------------------------------

    > Aber jedem das Seine...

    Da Du das ja bereits mehrmals in Deinen Postings erwähntest:
    http://www.buchenwald.de/634/

  11. Re: Kostenlose Alternative StartCom

    Autor: Anonymer Nutzer 15.04.16 - 00:42

    MeinSenf schrieb:
    --------------------------------------------------------------------------------

    > > Aber jedem das Seine...
    >
    > Da Du das ja bereits mehrmals in Deinen Postings erwähntest:
    > www.buchenwald.de

    Und für all diejenigen, die kein Latein in der Schule hatten: http://www.proverbia-iuris.de/suum-cuique/

  12. Re: Vorurteile blenden

    Autor: whitbread 15.04.16 - 08:32

    misterjack schrieb:
    --------------------------------------------------------------------------------
    > 5:0 für Lets Encrypt.
    >
    > Noch Fragen?

    Du scheinst mein Setup und meine Anforderungen ja gut zu kennen ;-)

    Ich brauche weder ein revoke, noch kann ich auf den Ziel-devices irgendwelche Scripte einsetzen. Ich brauche für ein StartCom-Zertifikat max. 30 sec für die Erstellung und dann nochmal gut 1 min. für den Import. Den Import hätte ich bei LE übrigens genauso. Sparen tut das also max. 30 sec, dafür habe ich 4x den Importaufwand pro Jahr statt nur 1x.

    Also steht bei mir nunmal die Laufzeit im VG und da ist StartCom nunmal vorne.

  13. Re: Kostenlose Alternative StartCom

    Autor: Schnarchnase 15.04.16 - 09:33

    BL Joe schrieb:
    --------------------------------------------------------------------------------
    > Das mit den 5 Zertifikaten pro Woche war zunächst auch für mich ein
    > Problem. Da meine Domänen sich hinter 2 IP Adressen verstecken habe ich nun
    > SAN Zertifikate erstellt und brauche nun nur noch 2 Zertifikate statt 17.

    Das ist kein Problem da – so wie du es sagst – falsch. Es sind 5 Zertifikate pro Woche pro FQDNset, bei 17 verschiedenen Domains also kein Problem. Das nächste für dich greifende Limit läge bei 500 innerhalb von 3 Stunden pro IP, da kommst du wohl lange nicht ran.

    siehe: [community.letsencrypt.org]



    1 mal bearbeitet, zuletzt am 15.04.16 09:33 durch Schnarchnase.

  14. Re: Kostenlose Alternative StartCom

    Autor: My1 15.04.16 - 13:03

    naja dass es bei LE geht und bei sssl c2 nicht ist klar. c2 ist identity/organization validation ergo es wird geprüft ob du als person die seite/domain besitzt.
    bei class1 certs ist diese aufteilung kein problem, weils eben nur DV ist wie auch LE da reicht es die kontrolle über die domain zu haben.

  15. Re: Vorurteile blenden

    Autor: My1 15.04.16 - 13:20

    "1 cert pro jahr"
    ach ja ne, ich hab schon genug certs in einem Jahr gemacht, man muss nicht revoken.

    "Zeitaufwand/validierung"
    also wenn die automatisierung failt, bspw wenn es kleine probleme mit den vhosts gibt und die validierung in der hinsicht failt hat man probleme.
    Manual mode ist weit aufwändiger als SSSL (bsow wenn man keine scripts laufen lassen kann.
    Jede subdomain muss bei LE einzeln validiert werden, was mir aufn zeiger ging als ich versucht habe mit raspi und manuellem Modus n 10+ SAN cert zu machen.
    bei startssl bekomm ich ne email auf meinen 2 root domains und schon kann ich für 30 tage beliebige certs für alle subs auf dem root erstellen.

    "skript"
    wenn es keine scripts gibt (oder keinen kompatiblen client) ist LE wieder im eimer. bei ner emfehlung von 60 tage renewal sind das 6 renews pro jahr und ich muss jedesmal schauen ob der renew erfolgreich lief.
    bei SSSL mach ich einmal im Jahr (okay vlt etwas mehr nach dem komma durch die überschneidung wenn man vorzeitig erneuert) den renew. wenn ich keinen plan habe den schlüssel zu wechseln nutze ich ne vorgefertigte leere CSR, wenn doch mach ich ne neue, kann aber trotzdem leer sein da alles außer key sowieso egal ist.
    dann die Validierung und dann CSR einfügen domains eingeben fertig.

    läuft für mich einfacher als LE und ich hab sowieso volle kontrolle und muss daher sowieso prüfen ob das cert sitzt.

    "cronjobs"
    hab keinen guten client für dein system (oder nicht die möglichkeit auf ne shell zu kommen) und LE ist tot

    "massenverarbeitung"
    gut hier ist LE natürlich besser, weil es auf automatisierung ausgelegt ist.


    aber man könnte über skripte auch sssl ansteuern indem es sich als browser ausgibt und alles über das webui macht.

    eines der probleme ist dass der (offizielle) LE client mit root läuft, sich selbst und seine abhängigkeiten updatet und dann noch die möglichkeit hat an der serverconf rumzuschreiben. also nix was man auf nem produktionsserver haben will.

  16. Re: Vorurteile blenden

    Autor: quasides 18.04.16 - 23:08

    Bitte was soll dieser Werbethreat für die Firma Startcom?

    Das lockangebot ist ja ganz nett jeodch kostet das Revoke 60¤
    Genau wie alles andere. VOn dem Fragwürdigen Interface aus den 90ern mal abgesehen gibts auch keiner lei Support in irgendeiner Form

    ium Grunde ist es ein Lockangebot nichts weiter. In der hoffnung geld mit Revokes und zusätzlicher Validierung abzuziehen.

    Tatsächlich gibts keine Existenzberechtigung mehr für Startcom.
    Für einefache Validierung bringt letsencrypt endlich eine freie alternative für basic web verschlüsselung. ENDLICH

    Für bessere Validierung und hochwertige Zertifikate geht man dann auch zu einer entsprechend angesehenen Validierungstelle, sicherlich nciht zu startcom

    Vermutlich arbeitet der Poster wohl dort oder für die anders lässt isch das nicht erklären wieso er wehement dieses sowieso recht fragwürde angebot bzw geschäftsgebahren verteidigt.

    im ernst jetzt ein autmatisches revoke für 60¤ ?

  17. Re: Vorurteile blenden

    Autor: ThiefMaster 18.04.16 - 23:14

    > Für bessere Validierung und hochwertige Zertifikate geht man dann auch zu einer entsprechend angesehenen Validierungstelle, sicherlich nciht zu startcom

    Ganz ehrlich? Wieso sollte ich oder auch eine Firma hunderte von Euros für ein EV-Zertifikat von VeriSign o.ä. ausgeben bei dem man u.U. auch noch abhängig von der Anzahl physischer Server zahlen darf (wofür es außer Geldmacherei KEINERLEI Rechtfertigung gibt) wenn es dasselbe bei SSSL für ~200$ gibt?

    Der Durchschnitts-User schaut nur auf die grüne Adresszeile und jemand der etwas versierter ist weiß dass der Name der CA nicht wirklich viel über die Sicherheit aussagt.

  18. Re: Vorurteile blenden

    Autor: My1 19.04.16 - 12:34

    also das revoke kostet ist mir bewusst und das ist auch mist. ich hatte mich ausschließlich auf die punkte oben bezogen, daher habe ich es nicht erwähnt, wobei es doch iirc 25usd waren und nicht 60¤.
    das selbe könnten wir auch mit CACert machen die sind aber leider noch nicht trusted, jedochvertraue ich denen Mehr dank des Web-of-trust mechanismuswo auf offline meetings (bspw auf chemnitzer linux tage) von min. 3 personen die Identität geprüft wird um länger gültige certs auszustellen.

    "90er seite", die haben inzwischen ihren style recht drastisch geändert, wobei ich den alten stil okay fand, es muss funktionieren, dass ist wichtig. Ich weiß nicht wie es bei startssl ist aber wenn ich seiten sehe die ohne JS garnix hinbekommen nervt das einfach richtig, noch schlimmer bei einigen Seiten auf dem handy (gut betrifft SSSL weniger) wenn das js wegen langsamen internet einfach nicht zu ende lädt und ggf noscript aushilfen nicht gehen.

    und dass man für Mehr Validation Zahlen muss ist doch logisch. DV kann automatisch gemacht werden währen IDentity bzw Organization nicht automatisch geht und EV schon 3mal nicht, das da für das Prozedere Geld Verlangt wird ist klar.

    Revoke erklären die über ihre CRLs die ja auch traffic ziehen und die ja ständig gezogen werden wo jedes wiederrufene cert drin steht. (wie sinnvoll das ist kann ich nicht bestätigen.

    Anders als diese "du darfst nur 1 server verwenden" certs die rein Teschnisch komplett unmöglich sind, da man die keys einfach rüber kopieren kann.

    LE ist gut wenn man deren client zum laufen bekommt und keine sorgen dabei hat dass der renew fehlschlägt, SSSL ist eher für leute die Mehr kontrolle wollen (produktionsserver mit certifikatsclient ja ne is klar), wobei CACert mMn die beste lösung ist, browsertrust abgesehen, CACert kann als einziger Wildcards, u.a.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. KION Group IT, Hamburg
  2. EDAG Engineering GmbH, Ingolstadt
  3. MorphoSys AG, Planegg
  4. JOB AG Technology Service GmbH, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 27“ großer NANO-IPS-Monitor mit 1 ms Reaktionszeit und WQHD-Auflösung (2.560 x 1.440)
  2. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...
  3. (u. a. Predator - Upgrade, Red Sparrow, Specttre, White Collar - komplette Serie)
  4. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57