SSL Comodo Domainvalidiertes Multidomainzertifikat vs. "viele" Einzelzertifikate

[0815]

Moin,

die PSW-Group bietet Domainvalidierte SSL-Zertifikate von Comodo als Einzelzertifikate und auch als Multidomainzertifikate an.

Preise:

- Multidomainzertifikat für 89,00 EUR (inkl. für 3 Domains) zzgl. 29,00 EUR für jede weiter Domain.
- Einzelzertifikate füt 15,00 EUR.

Laut Hotline besteht neben dem Preis, der einzige unterschied im Verwaltungsaufwand (Zertifizierung).

Ist der Aufwand für die Zertifizierung (CSR) denn wirklich so hoch, dass es sich ggf. lohnt für ein Multidomainzertifikat den doppelten Preis zu zahlen, statt viele Einzelzertifikate zu erwerben?

Linkback: https://www.modified-shop.org/forum/index.php?topic=31209.0

[Matt]

So pauschal ist das nicht zu beantworten. Wie viele Domains hast du denn? Und hast du für jede eine IP-Adresse? Oder arbeitet dein Provider sowieso schon mit SNI?

[0815]

Moin,

ich habe einen modified Multishop.
Zurzeit beinhaltet das System rund 15 Domains, wovon ich voerst jedoch nur drei verschlüsseln möchte.

3 Hauptshops haben jeweils eine eigene IP und die anderen Domains laufen auf shared IPs.

Was ist denn SNI?

Mein Provider ist IP-Projekts und ich verwende Plesk als Admininterface.

[Matt]

SNI ist Server Name Indication. Damit kannst du mehrere SSL-Zertifikate auf einer IP betreiben, schließt aber alle User mit XP/IE aus (egal welcher IE, weil es XP nicht kann).

Das Problem hast du mit Multidomain nicht, da reicht eine IP für das Zertifikat, das dann ja beliebige Domains absichern kann.
Du solltest mit deinem Provider reden, ob du weitere IPs bekommen kannst und wenn ja zu welchem Preis.
Der Aufwand den CSR zu erstellen hält sich in Grenzen, allerdings ist er natürlich jeweils am Ende der Laufzeit der Zertifikate wieder durchzuführen.
Wenn du dem Multidomain-Zertifikat eine weitere Domain hinzufügst musst du die Zertifikate bei allen betroffenen Domains austauschen lassen. Bei Einzelzertifikaten ist nur ein Eingriff bei der betroffenen Domain erforderlich. Auch hier solltest du die Kosten dafür bei deinem Provider erfragen.

[0815]

SNI scheidet wegen den genannten Einschränkungen definitiv aus.

Kosten beim Provider werden vermutlich keine anfallen, weil es sich um einen Root-Server handelt, welchen ich selbst verwalte.

[Matt]

Für das einrichten dann nicht. Aber IPv4-Adressen bekommt man ja nicht mehr unbedingt hinterhergeworfen.

[0815]

Nun ja, so wie man mir das bei der PSW-Group erklärt hat, ist für ein Domainvalidiertes Comodo Zertifikat keine eigene IP pro Domain erforderlich.

[Matt]

Das halte ich für ein Gerücht. Für ein Multidomainzertifikat brauchst du eine IP. Und für je ein Einzelzertifikat brauchst du auch genau eine IP. Außer du nutzt SNI, was du ja aber nicht tun willst.

[0815]

Ich warte bereits auf einen Rückruf des PSW-Supports zwecks Klärung.

[0815]

Ah jetzt ja!

Deine Aussage bzgl. der IPs ist natürlich korrekt.
Nach Rücksprache mit dem Support und dem Lesen dieser Seite http://www.shopanbieter.de/news/archives/8325-komplexe-implementierung-zu-teuer-zu-wenige-ip-adressen-psw-group-raeumt-mit-irrtuemern-ueber-ssl-zertifikate-auf.html beginne ich die Angelegenheit langsam zu verstehen.

Laut der Seite ist die Geschichte mit dem SNI offensichtlich nicht so dramatisch.

Der Support hat mir noch zum für 30 Tage kostenlosen Testzertifikat geraten, was ich dann wohl auch mal vorab in Anspruch nehmen werde.
Letztendlich sehe ich dann ja auch, welcher Aufwand zur Zertifizierung/Verwaltung notwendig ist.

[Matt]

Laut der Seite ist die Geschichte mit dem SNI offensichtlich nicht so dramatisch.

Das kommt drauf an wie viele Besucher du hast, die IEs auf XP benutzen. Auch wenn XP mittlerweile EOL ist heißt das ja nicht, dass die installierte Basis über Nacht verschwunden wäre.

[0815]

Für die Multidomainzertifikate scheint PSW ja eine Lösung anzubieten:

Die Workaround-Lösungen der PSW GROUP für ältere Systeme schaffen hier Abhilfe: „Unsere domainvalidierten Multidomainzertifikate enthalten beispielsweise sämtliche einzeln zertifizierten Hostnamen, die mit der SNI-IP-Adresse betrieben werden können. In dieses Multidomainzertifikat integrieren wir eine Default-Seite, die die Besucher mit SNI-inkompatiblen Browsern bzw. Clients abholt und umleitet. Der SSL/TLS-Handshake erfolgt fehlerfrei und sämtliche Inhalte werden richtig angezeigt“, erklärt Heutger.