SSL Zertifikate - nennenswerte Unterschiede?

[Eichenhorn]

Bisher hatte ich ein shared SSL Zertifikat auf dem unschönen Subdomain meines Hosts. Ich ziehe aber um und hole mir deswegen ein eigenes SSL Zertifikat. Domain validated reicht völlig aus. Domain-gebunden auch, also ohne Wildcard-Funktion.

Jetzt schau ich, was es so für verschiedene Zertifikate gibt. Die Marken bei meinem Anbieter sind Comodo, GeoTrust, RapidSSL. Ich meine gelesen zu haben, dass GeoTrust und RapidSSL die gleiche Mutterfirma haben. Comodo wurde ja neulich gehackt, kann aber bei jedem passieren. Die Preise variieren von rund 9 USD bis 100 USD.

Die einzigen nennenswerten Unterschiede sind anscheinend mobile browser support und warranty in Höhe von 10.000 USD.

Übersehe ich was? Habt Ihr Erfahrungen mit einer der Marken?

Linkback: https://www.modified-shop.org/forum/index.php?topic=14581.0

[Matt]

GeoTrust und RapidSSL sind mittlerweile nur noch Marken von VeriSign, das ist korrekt.

Die Sachen mit dem mobilen Support habe ich nie verstanden. Ich hab beispielsweise ein PositiveSSL-Zertifikat von http://www.psw.net/ssl-zertifikate.cfm, bei dem mobile Browser nicht genannt werden, aber das iPhone meckert trotzdem nicht. Von daher dürften auch Browser auf anderen Smartphones, die Webkit-basierte Browser nutzen, nicht meckern.

Das mit der Warranty ist auch mehr oder weniger für die Füße, soweit ich den Teil verstanden habe schützt der dich bzw. deine Kunden ja nur vor Idendity Fraud, also wenn jemand sich für dich ausgibt und auch ein entsprechendes Zertifikat hat.

Wir haben die ganzen Jahre GeoTrust-Zertifikate benutzt, sind jetzt aber auf Comodo umgestiegen. Hat nichts mit Unzufriedenheit zu tun, sondern mit einem guten Angebot.

[Eichenhorn]

Super, vielen Dank für die Antwort. Das mit den mobilen Browsern ist gut zu wissen. Es wird dann ein Comodo PositiveSSL. 9 USD/Jahr ist nichts.

[Rennschnecke123]

Mal eine kurze Frage hierzu.
Wenn ich z.B. bei all-inkl. bin und mir ein SSL-Zertifikat zulegen möchte und ich ich für psw entscheide, dann muss ich ja eine CSR erstellen.
Jetzt habe ich mir die Anleitung durchgelesen, komme damit aber nicht klar. Woher weiß ich denn, welche Serversoftware das Webhostingpaket hat? Oder denke ich falsch?

Ebenso, was würdet Ihr denn empfehlen? Das NewSilver für 49€/Jahr?

Grüße

[Matt]

Mir ist keiner von den großen Hostern bekannt, die die Möglichkeit bieten, im Shared-Hosting-Bereich eigene Zertifikate zu verwenden. Da wirst du dich mit dem Zertifikat oder Proxy begnügen müssen, den man dir anbietet.

[Rennschnecke123]

Laut Aussage von All-Inkl. (E-Mail) ist die Einbindung eines SSL-Zertifikates von einem Fremdanbieter (z.B. PSW) kein Problem. All-Inkl. berechnet hierfür eine Gebühr i.H.v 30 Euro. Die Gebühr beinhaltet die Einrichtung am Server sowie die Bereitstellung der benötigten IP. Sind denn außerdem noch Änderungen durch All-Inkl. vorzunehmen, oder reicht das oben genannte?

[Matt]

Wenn sie das machen, dann können sie dir sicherlich auch sagen, welche Software sie einsetzen, damit du den richtigen CSR erzeugen kannst. Wenn ich raten müsste würde ich aber sagen, dass das auf Apache/mod_ssl raus läuft.

[Rennschnecke123]

Hier einmal die E-Mail von All-Inkl.

Sehr geehrter Herr XXX,

ja wir können Ihnen auch ein Zertifikat einbinden, welches Sie bei einem anderen Anbieter erworben haben und "mitbringen". Das Einrichten von Zertifikaten anderer Anbieter sowie selbst validierte Zertifikat kostet eine Gebühr von 30,00 Euro pro Jahr Zertifikatslaufzeit
Die Gebühr beinhaltet die Einrichtung am Server sowie die Bereitstellung der benötigten IP, weitere Änderungen sind kostenpflichtig (30,00 Euro).

Um ein Fremdzertifikat einbinden zu können, benötigen wir den Validierungskey und das Zertifikat selbst.
In einem solchen Fall erstellen Sie sich bitte als Kunde selbst einen CSR oder lassen Sie sich vom Webmaster einen erzeugen, z.B.:

- installieren Sie sich OpenSSL für Ihr Betriebssystem z.B.: http://www.heise.de/software/download/win32_openssl/47316
- führen Sie folgende Anleitung auf der Kommandozeile (Windows-Eingabeaufforderung) aus: http://www.ssl-sicherheit.info/csr-erstellen/openssl.html
- in dem Verzeichnis, in dem Sie openssl ausgeführt haben, finden Sie nun die Dateien privkey.pem und csr.pem.
Den KEY müssen Sie sorgfältig aufbewahren, den CSR benötigt Ihre Zertifizierungsstelle.
- von Ihrer SSL-Zertifizierungsstelle erhalten Sie dann das unterschriebene Zertifikat für den Apache-Webserver (CRT)
- den KEY und das CRT schicken Sie uns.

Jetzt muss ich mir mal OpenSSL runterladen und schauen, ob ich dort in den Einstellungen mich mit dem Server verbinden kann oder wie das ganze überhaupt funktioniert.

EDIT: Auf die Frage, welche Software sie einsetzen, kam:

Und als Server verwenden wir Ubuntu 10.04.

[ThorstenK]

New Silver Zertifikat 49,- € p.a.
Bereitstellung all-inkl. 30,- € p.a.
für 2 Jahre: 158,- € p.a.

all-inkl. Zertifikat für 2 Jahre: 159,- € p.a.

bisher für das Thema verballerte Zeit: n Stunden * xx,- €

 

[Rennschnecke123]

Nicht ganz.
New Silver, für 2 Jahre = 89 Euro + 30 Euro Einbindung (Sollte das Zertifikat gleich für 2 Jahre "gebucht" werden, muss das Zertifikat bei All-Inkl. nur einmal eingebunden werden, somit entfallen nur einmal die 30 Euro). = 129 Euro.

Klar, ob sich das ganze wegen 30 Euro lohnt, ist eine andere Frage. Deswegen könnte es ja sein, dass z.B. Lite, Bronze, Limitbreaker reicht.

Grüße

[ThorstenK]

Hallo,
bei 1 x 30 Euro fände ich es ja vielleicht auch überlegenswert, aber da steht in der Mail : Das Einrichten von Zertifikaten anderer Anbieter sowie selbst validierte Zertifikat kostet eine Gebühr von 30,00 Euro pro Jahr Zertifikatslaufzeit
Damit werden dann alle halbwegs interessanten Zertifikate unattraktiv denke ich.

[Rennschnecke123]

Auf die Frage, ob die 30 Euro jährlich entstehen, kam jedoch diese Antwort:

ja korrekt, wenn dieses jährlich durch uns einmal neu eingebunden werden muss nach dem Sie es verlängert haben beim jeweiligen Anbieter.

Heißt im Umkehrschluss, wenn ich mit ein Zertifikat von 2 Jahren oder länger hole, muss es nur einmal eingebunden werden, somit für die 2 Jahre die 30 Euro.

[Matt]

Ziemlich unglückliche Formulierung dann. Ich hätte da jetzt auch gesagt, ein 2-Jahres-Zertifikat kostet 60 Euro. Ist bei den 30 Euro dann die eigene IP schon drin? Die gibt's ja normalerweise auch nicht umsonst.

[...]
EDIT: Auf die Frage, welche Software sie einsetzen, kam:

Und als Server verwenden wir Ubuntu 10.04.

Na dann ist ja alles geklärt. Einstellungen und OpenSSL wird aber eher schwierig. Das ist ein Kommandozeilentool.

Code: [Auswählen]

openssl req -new -nodes -keyout example.org.key -out example.org.csr -newkey rsa:2048
example.org.key enthält den Private Key (brauch All-Inkl zusammen mit dem Zertifikat und evtl. erforderlicher CA-Zertifikate), example.org.csr enthält den CSR, den du bei PSW reinkopierst.

Wir haben derzeit auch das New Silver, allerdings als EV. War 'ne Aktion, keine Ahnung, ob die noch gilt.

[Rennschnecke123]

Ja, die Formulierung ist wirklich unglücklich. Ich denke jedoch, dass es auch 30 Euro sind, wenn das Zertifikat 2 Jahre läuft. Zur Not kann man hier ja nochmal genauer nachfragen.

Bei den 30 Euro ist folgendes dabei:

Die Gebühr beinhaltet die Einrichtung am Server sowie die Bereitstellung der benötigten IP, weitere Änderungen sind kostenpflichtig (30,00 Euro).

Mehr sollte ja auch nicht notwendig sein?!

Ebenso haben sie mir diese Adresse genannt, so dass OpenSSL nicht mehr benötigt wird:
https://www.checkdomain.de/ssl/csr-generator/

Grüße

[Matt]

Sich einen CSR bzw. Private Key online generieren zu lassen setzt aber schon ein gewisses Vertrauen in den Anbieter voraus...