Bin Kunde

Dann werde ich wohl keine weiteren Zertifikate von dort beziehen.
Aber lieber so als ein unsicheres Netz.

Wenn Sie jetzt ein 3 Jahres Zertifikat beziehen, wird das vermutlich seine Gültigkeit behalten. In den 3 Jahren hat Wosign mehrfach die Chance durch Nachbesserungen wieder dauerhaft bei Mozilla akzeptiert zu werden.

Wenn man sich die Dauer der Re-Validierung anschaut könnte das gut und gerne 3-Jahre dauern. Wenn dazu noch, wie im Dokument in Frage gestellt, ein neues Root-CA benötigt wird, erst recht.
Bestehende Zertifikate von dir dürften aber nicht betroffen sein, müsstest also nur für die Zukunft dir eine andere CA anlachen.

ausgeloggt kein JS für golem = keine Seitenhüpfer

Ich weiß nicht ob ihr startssl.com kennt. Dort läuft das so ab, dass man sich für 2 Jahre verifiziert und dann unendlich viele Zertifikate auf eigene Domains ausstellen kann. Im Moment kenne ich keine Alternative die zu einem so günstigen Preis so etwas anbietet. LE hab ich mir noch nicht angeschaut.

aPollO2k schrieb:
--------------------------------------------------------------------------------
> Ich weiß nicht ob ihr startssl.com kennt.
StartSSL = StartCom = WoSign
Ergo: Dem Haufen kann man aktuell wohl nur bedingt trauen, habe die Zertifikate jetzt auch einfach aus meinem Trust-Store geschmissen, mal sehen, wie oft ich damit auf „Probleme“ stoße.

> LE hab ich mir noch nicht angeschaut.
Nachholen :)
Wenn man seinen Server passend konfiguriert, dann läuft alles automatisch.
Zertifikate werden dann automatisch verlängert, dann tun auch die 90 Tage Gültigkeit nicht weh, warum nur 90 Tage steht hier: https://letsencrypt.org/2015/11/09/why-90-days.html
Anfordern von Zertifikaten ist dann auch ein einfaches „Hey, gib mir mal ein Zertifikat, auf dem diese (Sub-)Domains stehen, danke“ und man hat das Zertifikat in der Hand.
Auf einem Zertifikat kann man, wenn man es denn möchte, bis zu 100 Subdomains mittels SANs unterbringen.
Gibt auch diverse Client-Implementationen in verschiedenen Sprachen, ich selber verwende den offiziellen Client und habe damit keine Probleme.

Max-M schrieb:
> Anfordern von Zertifikaten ist dann auch ein einfaches „Hey, gib mir
> mal ein Zertifikat, auf dem diese (Sub-)Domains stehen, danke“ und
> man hat das Zertifikat in der Hand.

Kannst du mir den Vorgang bitte für meine FritzBoxen erklären?

Das hängt davon ab was Mozilla macht. Wenn sie es aus der Liste der Trusted CAs werfen dann sind alle von denen ausgestellte Zertifikate nicht mehr vertrauenswürdig. Es würde behandelt wie ein Self-Signed-Certificate.

Was nur passiert wenn sie weiterhin welche zurückdatiert ausstellen.

ausgeloggt kein JS für golem = keine Seitenhüpfer

Wie genau meinst du das?
Das selbst-signierte Zertifikat austauschen, das vom Web-Frontend der Box genutzt wird oder für einen Server, der hinter der Box hängt?
Zu ersterem kann ich nichts sagen, zu letzterem wäre es dann das normale Vorgehen: Server leitet Anfragen an „/.well-known/acme-challenge/*“ an den entsprechenden Ordner weiter, indem der Lets-Encrypt-Client die temporären Daten ablegt und die Gegenseite verifiziert darüber dann die Domain und spuckt nach erfolgreicher Verifikation das Zertifikat für die Domain aus.