1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Let's Encrypt: Gratis-Zertifikate ab…

Da warte ich...

Danke an alle Helfer!
Wir läuten hier mit den Freitag ein und bitten ins entsprechende Forum!
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Da warte ich...

    Autor: Arystus 17.06.15 - 13:57

    ... schon eine gefühlte ewigkeit drauf, seit ich von dem Projekt erfahren habe.

    Ich betreue im moment mehrere Comunity Websites für verschiedene Games, vor gut einem Jahr wollte ich komplett auf SSL umsteigen und habe alles entsprechend Konfiguriert. Leider wurde das kostenlose Zertifikat von meinem Anbieter nicht von Firefox akzeptiert so das die User mir zu Hunderten Mails schrieben das die Website unsicher geworden ist.
    Seit dem warte ich auf den Tag das Let's Encrypt die Tore öffnet, und an dem Tag wo ich das Zertifikat erhalte werde ich es wieder alles Umstellen.

    Da währe nur die Frage, ob die User erst ihren Browser aktualisieren müssen, dass das Zertifikat akzeptiert wird?

  2. Re: Da warte ich...

    Autor: Rabbit 17.06.15 - 14:22

    Bis dahin kann ich die kostenlosen Zertifikate von startssl.com empfehlen, deren Zertifikat wird in allen mir bekannten Browsern und auch den mobilen Geräten akzeptiert. Wichtig ist halt, dass man die eigene Konfiguration der Intermediate Certificates richtig hinbekommt :)

  3. https://buy.wosign.com/free/

    Autor: Anonymer Nutzer 17.06.15 - 14:23

    https://buy.wosign.com/free/
    https://www.golem.de/news/wosign-kostenlose-tls-zertifikate-aus-china-1502-112203.html

    Vorteil: Die wollen wesentlich weniger Daten als StartSSL und man darf die Zertifikate auch für kommerzielle Seiten einsetzen. WoSign ist widerum von StartSSL signiert.



    4 mal bearbeitet, zuletzt am 17.06.15 14:28 durch Darkspirit.

  4. Re: Da warte ich...

    Autor: hoben 17.06.15 - 14:25

    Nein, der Browser muss nicht aktualisiert werden, da die Let's-Encrypt-Zertifikate dann auch immer von IdenTrust signiert werden.

    Auch jetzt kann man aber schon kostenlose Zertifikate erhalten, die von allen Browsern akzeptiert werden: https://www.startssl.com/

    Dem kostenlosen Komplettumstieg auf SSL steht kleineren Projekten ohne besondere Anforderungen schon längere Zeit eigentlich nichts mehr im Weg. Allerdings bietet Let's Encrypt (wenn alles gut geht) noch mehr Vorteile.

  5. Re: Da warte ich...

    Autor: FibreFoX 17.06.15 - 14:36

    Kleiner Rat, überdenkt den Weg zu StartSSL gut, diese verlangen für elementar wichtige Kontrollverfahren der ganzen Zertifizierungskiste GELD. Das ist der wahre Preis für ein "kostenloses Zertifikat". (hier wird für das revoken Geld verlangt)

    Ist denen wirklich zu trauen? Immerhin geht es hier um Vertrauen. Und EV-Zertifikate kosten auch dort richtig Aufwand ... zumal die eine sehr interessante Umgangsweise mit Personen-bezogenen Daten haben (z.b. Personalausweis-Angaben)

    Sucht mal im Internet nach Meinungen zu startssl.

    Ich für meinen Teil würde dort nie mein Zertifikat holen.

    hoben schrieb:
    --------------------------------------------------------------------------------
    > Auch jetzt kann man aber schon kostenlose Zertifikate erhalten, die von
    > allen Browsern akzeptiert werden: www.startssl.com

  6. StartSSL

    Autor: Arystus 17.06.15 - 14:45

    Nunja das war mein Anbieter und deren Kostenloses Zertifikat ist (Class-1 Domainzertifizierung) unteranderem bei Firefox ungültig. Auch wenn ich das Intermediate Certificates eingefügt habe wollte FF das zum Teufel nicht Akzeptieren.

  7. Re: Da warte ich...

    Autor: Rabbit 17.06.15 - 14:46

    FibreFoX schrieb:
    --------------------------------------------------------------------------------
    > Kleiner Rat, überdenkt den Weg zu StartSSL gut, diese verlangen für
    > elementar wichtige Kontrollverfahren der ganzen Zertifizierungskiste GELD.
    > Das ist der wahre Preis für ein "kostenloses Zertifikat". (hier wird für
    > das revoken Geld verlangt)

    Ja, das ist richtig, und ich denke, für den Fall, dass ich mal ein Zertifikat revoken möchte, wird es mir das wert sein. Ich verstehe, dass sie _irgendwo_ Geld verdienen müssen.

    Ich persönlich verwende nur die Klasse 1 (Domain Validation) Zertifikate, da genügt die E-Mail, die sowieso im Whois der Domain steht. Der OP hat ja explizit wegen Community Websites gesprochen, die aktuell offensichtlich sogar unverschlüsselt gelaufen sind. Da werden keine EV Zertifikate benötigt.

    Ich denke jedenfalls, dass es eine vernünftige Alternative ist, bis Let's Encrypt startet.

    Beste Grüße,
    Rabbit

  8. Re: StartSSL

    Autor: Rabbit 17.06.15 - 14:48

    Das wundert mich, ich verwende das ausschließlich und verwende selber fast nur Firefox und Chrome (auf Windows, OSX, Linux), hatte bei beiden kein Problem.

    Du kannst mit https://www.ssllabs.com/ eventuell prüfen, wo in der Chain der Error liegt.

    Beste Grüße,
    Rabbit

  9. Re: StartSSL

    Autor: Arystus 17.06.15 - 15:05

    Overall Reating C na da muss ich noch nachbessern an einigen Stellen.
    (Man kann immer noch https als adresse eingeben nur den Zwang hab ich ausgeschalten. Weil das Cert von Start SSL noch gültig ist, ich pflege es ja auch ...)

    Danke für die Seite! Das mit dem Browser versuche ich nochmal zuhause, bissher hat Firefox immer Stunk gemacht.

  10. Re: StartSSL

    Autor: slashwalker 17.06.15 - 15:09

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Overall Reating C na da muss ich noch nachbessern an einigen Stellen.
    > (Man kann immer noch https als adresse eingeben nur den Zwang hab ich
    > ausgeschalten. Weil das Cert von Start SSL noch gültig ist, ich pflege es
    > ja auch ...)
    >
    > Danke für die Seite! Das mit dem Browser versuche ich nochmal zuhause,
    > bissher hat Firefox immer Stunk gemacht.

    Hat SSL Labs auch einen Chain Issue angezeigt? Dann würde ich mir den als erstes anschauen.

  11. Re: StartSSL

    Autor: Arystus 17.06.15 - 15:17

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > Hat SSL Labs auch einen Chain Issue angezeigt? Dann würde ich mir den als
    > erstes anschauen.

    Ja mein Server supportet weak Chains hab deshalb die abstufung auf B bekommen und C wegen einem Anderen noch fehler den ich heute nachmittag sofot beheben werde (der war schon behoben kp warum er jetzt wieder da ist).

    Certificate________100
    Protocol Support___70
    Key Exchange_____80
    Cipher Strength____90

  12. Re: Da warte ich...

    Autor: Cassiel 17.06.15 - 15:47

    FibreFoX schrieb:
    --------------------------------------------------------------------------------
    > Kleiner Rat, überdenkt den Weg zu StartSSL gut, diese verlangen für
    > elementar wichtige Kontrollverfahren der ganzen Zertifizierungskiste GELD.

    Ich habe zig Domain-validated Zertifikate bei ihnen, sogar mit SHA256 und habe nicht einen Cent bezahlen müssen.


    > Das ist der wahre Preis für ein "kostenloses Zertifikat". (hier wird für
    > das revoken Geld verlangt)

    Sollen sie doch. Jeder Administrator sollte sich darüber im klaren sein, das ein Revoke Geld kostet.


    > Ist denen wirklich zu trauen? Immerhin geht es hier um Vertrauen. Und
    > EV-Zertifikate kosten auch dort richtig Aufwand ... zumal die eine sehr
    > interessante Umgangsweise mit Personen-bezogenen Daten haben (z.b.
    > Personalausweis-Angaben)

    Jeder halbwegs vernünftige Mensch würde dort auch keine EV-Zertifikate bestellen, sondern bei einem der großen Anbieter. Auch woanders will man Personen- oder Firmendaten für EV haben. Ich verstehe das Problem nicht. Aber wenn die "Umgangsweise mit Personen-bezogenen Daten" doch kennst, lasse uns daran gerne teilhaben.


    > Sucht mal im Internet nach Meinungen zu startssl.
    > Ich für meinen Teil würde dort nie mein Zertifikat holen.

    Such mal im Internet nach Meinungen zu Microsoft/Sony/Apple - würde ich niemals kaufen!!!11elf


    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Nunja das war mein Anbieter und deren Kostenloses Zertifikat ist (Class-1
    > Domainzertifizierung) unteranderem bei Firefox ungültig. Auch wenn ich das
    > Intermediate Certificates eingefügt habe wollte FF das zum Teufel nicht
    > Akzeptieren.

    Habe sogar mit StartSSL eine SHA256-Chain mit Grade A bei SSLLabs und in keinem Browser bisher auch nur ein einziges Problem gehabt. Betreibe auch mehrere Webserver mit diesen Zertifikaten und kann das Problem nicht nachvollziehen. Möglicherweise PEBKAC ;-)

  13. Re: Da warte ich...

    Autor: v2nc 17.06.15 - 16:35

    Also bei one.com gibts gratis domains, SSL ist in einem Tag oder so eingerichtet und wurde bei mir von allen Browsern akzeptiert, alles mit einem klick. Wofür brauch ich jetzt lets encrypt ?

  14. Re: Da warte ich...

    Autor: muhpirat 17.06.15 - 16:39

    Eigene Server, ueberspace... gibt genug. Außerdem ist bei Lets Encrypt das "besondere" das der betrieb zu 100% gesponsort wird. StartSSL will ja z.B. eine Gebühr für das "zurückziehen" von Zertifikaten


    -MuhMuh

  15. Re: Da warte ich...

    Autor: Marentis 17.06.15 - 17:48

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Also bei one.com gibts gratis domains, SSL ist in einem Tag oder so
    > eingerichtet und wurde bei mir von allen Browsern akzeptiert, alles mit
    > einem klick. Wofür brauch ich jetzt lets encrypt ?

    Nicht jeder ist dort Kunde, so einfach ist das.

  16. Re: StartSSL

    Autor: Arystus 17.06.15 - 18:25

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Nunja das war mein Anbieter und deren Kostenloses Zertifikat ist (Class-1
    > Domainzertifizierung) unteranderem bei Firefox ungültig. Auch wenn ich das
    > Intermediate Certificates eingefügt habe wollte FF das zum Teufel nicht
    > Akzeptieren.

    Ok das lag wohl irgendwie an der version die ich vor einem Jahr benutzt habe... Asche auf mein Haupt. Jetzt geht alles wunderbar mit dem StartSLL Zertifikat...... das Überrascht mich jetzt wirklich ich habe da lange dran rum gemacht bis ich damals erfahren habe das FF die Class1 nicht unterstütz sondern nur ab Class2 (welche geld kostet) Haben das wohl jetzt doch dazu gepackt. Toll direkt wieder alles auf Https umstellen. :)

    Danke für den Hinweis!

  17. Re: StartSSL

    Autor: RipClaw 17.06.15 - 18:42

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Arystus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nunja das war mein Anbieter und deren Kostenloses Zertifikat ist
    > (Class-1
    > > Domainzertifizierung) unteranderem bei Firefox ungültig. Auch wenn ich
    > das
    > > Intermediate Certificates eingefügt habe wollte FF das zum Teufel nicht
    > > Akzeptieren.
    >
    > Ok das lag wohl irgendwie an der version die ich vor einem Jahr benutzt
    > habe... Asche auf mein Haupt. Jetzt geht alles wunderbar mit dem StartSLL
    > Zertifikat...... das Überrascht mich jetzt wirklich ich habe da lange dran
    > rum gemacht bis ich damals erfahren habe das FF die Class1 nicht unterstütz
    > sondern nur ab Class2 (welche geld kostet) Haben das wohl jetzt doch dazu
    > gepackt. Toll direkt wieder alles auf Https umstellen. :)
    >
    > Danke für den Hinweis!

    Wie kommst du darauf das Class1 nicht unterstützt werden ?

    Ich habe ausschließlich StartSSL Class1 Zertifikate im Einsatz und das schon seit mindestens 5 Jahren. Die wurden schon von Anfang an vom Firefox akzeptiert.

    Der einzige Browser der sie am Anfang nicht akzeptiert hatte war Opera.

  18. Re: StartSSL

    Autor: RipClaw 17.06.15 - 18:46

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hat SSL Labs auch einen Chain Issue angezeigt? Dann würde ich mir den
    > als
    > > erstes anschauen.
    >
    > Ja mein Server supportet weak Chains hab deshalb die abstufung auf B
    > bekommen und C wegen einem Anderen noch fehler den ich heute nachmittag
    > sofot beheben werde (der war schon behoben kp warum er jetzt wieder da
    > ist).
    >
    > Certificate________100
    > Protocol Support___70
    > Key Exchange_____80
    > Cipher Strength____90

    Wenn dein Zertifikat SHA-256 signiert ist dann musst du das passende Zwischenzertifikat verwenden.

    Man findet es hier für Class1 Zertifikate: https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem

    Dieses Zwischenzertifikat ist auch SHA-256 signiert und sollte für eine bessere Note sorgen.

  19. Re: StartSSL

    Autor: Arystus 17.06.15 - 18:49

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Wie kommst du darauf das Class1 nicht unterstützt werden ?
    >
    > Ich habe ausschließlich StartSSL Class1 Zertifikate im Einsatz und das
    > schon seit mindestens 5 Jahren. Die wurden schon von Anfang an vom Firefox
    > akzeptiert.
    >
    > Der einzige Browser der sie am Anfang nicht akzeptiert hatte war Opera.

    Du Zitierst sogar meine Entschuldigung das ich daneben lag ;).

  20. Re: StartSSL

    Autor: slashwalker 17.06.15 - 20:39

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > slashwalker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hat SSL Labs auch einen Chain Issue angezeigt? Dann würde ich mir den
    > als
    > > erstes anschauen.
    >
    > Ja mein Server supportet weak Chains hab deshalb die abstufung auf B
    > bekommen und C wegen einem Anderen noch fehler den ich heute nachmittag
    > sofot beheben werde (der war schon behoben kp warum er jetzt wieder da
    > ist).
    >
    > Certificate________100
    > Protocol Support___70
    > Key Exchange_____80
    > Cipher Strength____90

    Das Weak bezieht sich wahrscheinlich darauf dass das Intermediate mit SHA-1 signiert wurde. Bei der Chain steht normalerweise auch "Conatains Anchor" wenn du "zu viel" sendest. Protocol Support 70? Unterstützt du SSL2/3? Oder kann dein Server kein TLS 1.2? In der heutigen Zeit sollte man nur TLS 1, 1.1 und 1.2 anbieten. SSL ist pfui!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ElringKlinger AG, Reutlingen
  2. Investitionsbank Schleswig-Holstein, Kiel
  3. DATAGROUP Köln GmbH, Frankfurt
  4. BG-Phoenics GmbH, Hannover, Berlin, Frankfurt am Main, Mannheim, Dresden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,99€
  2. 16,49€
  3. 4,29
  4. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...


Haben wir etwas übersehen?

E-Mail an news@golem.de


The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

    MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
    MCST Elbrus
    Die Zukunft von Russlands eigenen Prozessoren

    32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
    Ein Bericht von Marc Sauter

    1. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
    2. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs
    3. Core i5-L16G7 (Lakefield) im Test Intels x86-Hybrid-CPU analysiert