www.mikrocontroller.net

Forum: PC-Programmierung SSL Zertifikat als Offiziell darstellen


Autor: Claudio H. (hedie)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo

Ich habe folgendes problem...

Ich bin Kunde beim Hoster Celeros. Dieser ist soweit ganz gut, jedoch 
möchte ich für einen kleinen webshop gerne eine SSL Verbindung 
verwenden.

Dazu habe ich mir bei StartSSL ein kostenloses 30Tägiges Zertifikat 
austellen lassen. Doch leider verlangt Zeleros rund 12 Euro für eine 
eigene IP pro jahr und zusätzlich einmalig 15Euro einrichtungskosten für 
das Zertifikat.

Da das Zertifikat nur 30Tage gültig ist, wäre dies ein Teurer spass...

Beim Surfen bin ich per zufall auf diese Seite gestossen:

http://www.zeroathome.de/wordpress/wlan-hotspot-mi...

Dort Steht:

Konfiguration von Apache

Für das Zusammenspiel mit Chillispot ist es nötig, dass der Webserver 
eine per SSL verschlüsselte Verbindung anbietet. Problematisch dabei 
ist, dass bei der Verwendung eines selbst signierten Zertifikats beim 
Aufrufen der Login-Seite der Browser eine Warnung anzeigen wird. Um das 
zu umgehen sollte man die Login-Seite hinter ein 'offiziell' signiertes 
Zertifikat legen. Darauf werde ich allerdings hier nicht eingehen, da 
das den Rahmen sprengen würde.
Nun meine frage, wie kann ich meine Seite wie er sagt, hinter ein 
offizielles Zertifikat legen?

Was ist damit gemeint?

Besten Dank schonmal

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein "offizielles" Zertifikat ist ein von einer zertifizierten Stelle 
ausgestelltes Zertifikat, im Gegensatz zu einem selbstgebastelten.

Das kostenlose StartSSL-Zertifikat ("StartSSL Free Class 1") ist ein 
"offizielles", und gilt übrigens länger als 30 Tage - nämlich ein ganzes 
Jahr.

Und so ein Zertifikat sollte Dein Webhoster für Dich installieren können 
(selber wirst Du es nicht machen können, es sei denn, Du kommst an die 
Apache-konfigurationsdateien heran).

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bist du den an den Hoster gebunden? Ich kann bei mir z.B. für 19Eur/Jahr 
ohne eigene IP (aber auf die Domain bezogen) ein SSL Zertifkat 
bestellen. (für etwas mehr gibt's ein Sammelzertifikat für alle 
Domains).

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Alternativ ... eigenes Zertifikat basteln und dem Kunden kommunizieren, 
dass man kein Geld fuer irgendwelche Zertifikate ausgeben will. Der 
Kunde soll das eigene akzeptieren. Es geht ja darum, dass der Kunde 
ueber SSL kommunizieren kann. Der einzige Unterschied ist dann, dass der 
Kunde nicht wirklich weiss, ob er mit deinem Rechner kommuniziert, oder 
mit einem der Mafia.

Autor: Claudio H. (hedie)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A...aha Soooo. schrieb:
> eigenes Zertifikat basteln und dem Kunden kommunizieren,
> dass man kein Geld fuer irgendwelche Zertifikate ausgeben will.

In diesem Fall habe ich wohl neuigkeiten für dich...

Das RootZertifikat von StartSSL ist in praktisch jedem Browser 
integriert und auch in jedem Betriebssystem.

StartSSL Stellt absolut kostenlose SSL Zertifikate mit einer Gültigkeit 
von 1Jahr aus. Diese werden problemlos akzeptiert und es kommt zu keiner 
Warnmeldung.

In meinem Thread ging es lediglich darum, die Bearbeitungsgebühren von 
meinem Hoster zu umgehen.

Trozdem Danke

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Claudio Hediger schrieb:
> StartSSL Stellt absolut kostenlose SSL Zertifikate mit einer Gültigkeit
> von 1Jahr aus. Diese werden problemlos akzeptiert und es kommt zu keiner
> Warnmeldung.

Und warum schriebst Du dann was von 30 Tagen Gültigkeit?

Du kannst nicht um die Gebühren Deines Hosters herumkommen, wenn der 
Dir keinen Zugriff auf die Konfigurationsdateien der verwendeten 
Webserversoftware (oft Apache) ermöglicht.

Alternative: Anderer Webhoster, oder anderes "Paket" beim gleichen 
Hoster.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Claudio Hediger schrieb:

> Das RootZertifikat von StartSSL ist in praktisch jedem Browser
> integriert und auch in jedem Betriebssystem.

Ich weiss nicht mehr ob es StartSSL war, hatte aber mit Zertifikaten 
solcher kostenloser Zertifikat-Automaten ohne nennenswerte Validierung 
schon Probleme mit Browsern.

Die Frage ist halt: Wieviel ist ein Zertifikat für einen Webserver wert, 
wenn die Validierung ausschliesslich auf der Mail-Adresse beruht? Viel 
mehr als ein Feigenblatt zur Beruhigung von Browsern ist das m.E. nicht.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A...aha Soooo. schrieb:
> Der einzige Unterschied ist dann, dass der
> Kunde nicht wirklich weiss, ob er mit deinem Rechner kommuniziert, oder
> mit einem der Mafia.

Na das stimmt so aber auch nicht, man könnte z.B. den Fingerprint des 
Zertifikates veröffentlichen man kann es vergleiche, importieren und 
dann ist es genauso sicher wie ein "echtes", nur ob der Kunde Lust hat 
dies zu tun (oder das technische Wissen) damit der Anbieter der mir 
etwas verkaufen will 1 Eur/ Monat spart ist fraglich...

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Läubi .. schrieb:

> Na das stimmt so aber auch nicht, man könnte z.B. den Fingerprint des
> Zertifikates veröffentlichen

Vorzugsweise auf der betreffenden Webseite?

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Läubi .. schrieb:
>
>> Na das stimmt so aber auch nicht, man könnte z.B. den Fingerprint des
>> Zertifikates veröffentlichen
>
> Vorzugsweise auf der betreffenden Webseite?
Vorzugsweise über einen "sicheren Kanal"...

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Ich weiss nicht mehr ob es StartSSL war, hatte aber mit Zertifikaten
> solcher kostenloser Zertifikat-Automaten ohne nennenswerte Validierung
> schon Probleme mit Browsern.

Das war mal so bei StartSSL, aber deren Root-CA ist mittlerweile in den 
üblichen Browsern vermerkt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.