Announcement: there is an English version of this forum on Hallo Zusammen, vielleicht kennt ja jemand von Euch https://www.sslforfree.com/ Hier bekommt man kostenlos SSL-Zertifikate. In ein Zertifikat kann man bis zu 100 Domains aufnehmen, die Ausstellung ist recht einfach. Der Haken ist die kurze Laufzeit der Zertifikate. Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei denen die Laufzeit länger ist?
Sven L. schrieb: > Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei > denen die Laufzeit länger ist? CAcert.org, funktioniert auf Community-Basis, allerdings sind die root-Zertifikate in den üblichen Browsern standardmäßig nach wie vor noch nicht drin. StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr Laufzeit kostenlos beantragen kann.
Jörg W. schrieb: > StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr > Laufzeit kostenlos beantragen kann. Nee, die sind "tainted". StartCom (auch unter dem Namen StartSSL bekannt) ist vor einiger Zeit von einer chinesischen Firma (WoSign) aufgekauft worden, und dann kursierten plötzlich einige falsche (und obendrein rückdatierte) Zertifikate ... Mozilla hat WoSign und StartSSL/StartCom deswegen aus der Liste akzeptierter Root-CAs rausgeworfen. https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Sven L. schrieb: > Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei > denen die Laufzeit länger ist? Wie lange ist bei denen kurz?, Ich nutze jedenfalls https://www.letsencrypt.org/
Mario G. schrieb: > Wie lange ist bei denen kurz?, Ich nutze jedenfalls > https://www.letsencrypt.org/ sslforfree benutzt letsencrypt. Warum man dann sslforfree überhaupt verwenden soll, ist mir nich ganz klar.
Mario G. schrieb: > Sven L. schrieb: > >> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei >> denen die Laufzeit länger ist? > > Wie lange ist bei denen kurz?, Ich nutze jedenfalls > https://www.letsencrypt.org/ 90 Tage kann man bei letsencypt.org auch Zertifikate ohne diesen robot erstellen? Bin da auf die schnelle nicht ganz durchgestiegen Rufus Τ. F. schrieb: > sslforfree benutzt letsencrypt. das ist korrekt >Warum man dann sslforfree überhaupt verwenden soll, ist mir nich ganz klar. Weil's schön schnell und einfach ging, letsencrypt wirkt etwas kryptisch =) Naja darum spricht man ja miteinander...
Rufus Τ. F. schrieb: > StartCom (auch unter dem Namen StartSSL bekannt) ist vor einiger Zeit > von einer chinesischen Firma (WoSign) aufgekauft worden, und dann > kursierten plötzlich einige falsche (und obendrein rückdatierte) > Zertifikate ... Ah, OK. Das war bei mir noch nicht angekommen. Hatte vor längerer Zeit mal eins von denen, dann aber irgendwie das Erneuern doch vergessen. Seitdem benutze ich wieder durchweg CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die Root-Zertifikate installieren muss. Ich glaube, bei Ubuntu ist CAcert.org standardmäßig bereits installiert.
Jörg W. schrieb: > Seitdem benutze ich wieder durchweg > CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die > Root-Zertifikate installieren muss. Das muss man eben bei dem sslforfree / letsencrypt auch nicht... die funktionieren in den bei mir installierten Browsern so.
Für Letsencrypt gibt es diese Perl-Library hier, mit der sich wohl einiges vereinfachen lässt: https://github.com/do-know/Crypt-LE (das ganze gibt es auch als "portable" Win32/Win64-Anwendung)
Sven L. schrieb: > kann man bei letsencypt.org auch Zertifikate ohne diesen robot > erstellen? Also Cert kann man recht einfach manuell erstellen. Da macht dieser certbot dann nur das cert und den Rest macht man selbst: Auf irgendeinem Rechner mit Internet: sudo ./certbot-auto certonly --manual Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den Webserver (certbot nicht schließen): wwwroot.well-known/acme-challenge/ Dann macht man im certbot weiter und das Cert fällt raus. Das schiebt man auf den Webserver und ist fertig. Auf dem Webserver braucht man also kein Python und kein Certbot. Ich verwende das mit Lighttpd und es funktioniert wunderbar.
Rufus Τ. F. schrieb: > https://github.com/do-know/Crypt-LE > > (das ganze gibt es auch als "portable" Win32/Win64-Anwendung) Ah, nicht schlecht, Danke! Gustl B. schrieb: > Auf irgendeinem Rechner mit Internet: > > sudo ./certbot-auto certonly --manual > > Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den > Webserver (certbot nicht schließen): > > wwwroot.well-known/acme-challenge/ ebenfalls Danke!
Gustl B. schrieb: > Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den > Webserver (certbot nicht schließen): Es gibt auch die Alternative einer ACME-Challenge, die als TXT-Record im DNS eingetragen wird. Interessant für Domains, für die es keinen http-Server gibt/geben soll. Setzt natürlich voraus, daß man an den Records seines DNS herumschrauben kann.
Comodo PositiveSSL kostet unter 15$ für 3 Jahre und wird von allen Browsern akzeptiert. Wozu der Stress mit den 90-Tage Certs?
Angehängte Dateien:
-
Bildschirmfoto_2017-05-24_um_20.31.54.png
96,9 KB, 241 Downloads
Chris F. schrieb: > Comodo PositiveSSL kostet unter 15$ für 3 Jahre Wo? Ich sehe "ab" 49€ für ein Jahr.
Angehängte Dateien:
-
sslposcoo.PNG
69,1 KB, 221 Downloads
Rufus Τ. F. schrieb: > Chris F. schrieb: >> Comodo PositiveSSL kostet unter 15$ für 3 Jahre > > Wo? > > Ich sehe "ab" 49€ für ein Jahr. Mom ich suche das mal raus, das gibt es eh nur als resale-produkt hier ist es: https://cheapsslsecurity.com/comodo/positivessl.html
Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann kein Problem, aber bei Hostern muss man den Mist per Browser hochladen, das nervt dann halt schon etwas. Ansonsten ist letsencypt schon nicht schlecht, habe es dank der Hinweise oben nun mal ans laufen gebracht, wenn ich Zeit habe istalliere ich mir die Tools auf dem Server, dann sind die 90 Tage auch kein Probem mehr
Sven L. schrieb: > Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann > kein Problem, aber bei Hostern muss man den Mist per Browser hochladen, > das nervt dann halt schon etwas. Da muss ma dann eben daheim irgendwo nen Raspi oder aehnliches laufen lassen, der mit etwas curl-magic und scp/sftp (fuer die challenge in .well-known) das Cert beim Provider hochlaedt und einbindet. Ja das is Gefrickel, aber moeglich. Besser natuerlich, sich gleich einen Provider suchen, der Let's Encrypt von sich aus anbietet.
Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS bekommen soll... Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig / Zertifikatpfade...
Sven L. schrieb: > Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig / > Zertifikatpfade... Sind das aber nicht genau jene Pakete, die teuer genug sind, um die Kosten traditioneller Zertifikate in Relation dazu nicht allzu krass aussehen zu lassen?
Sven L. schrieb: > Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS > bekommen soll... > > Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig / > Zertifikatpfade... Bei HostEuropre habe ich nur Server, da muss man es selbst lösen. Bei all-inkl.com wo ich nur ne domain und webspace habe, kann man lets encrypt automatisch beziehen lassen ohne sich darum kümmern zu müssen.
Chris F. schrieb: > Comodo PositiveSSL kostet unter 15$ für 3 Jahre und wird von allen > Browsern akzeptiert. Weil Comodo ja auch soviel von Sicherheit versteht... https://blog.fefe.de/?q=Comodo Warum genau sollte man denen auch noch Geld nachschmeißen, dass sie für 5 Sekunden ein Script laufen lassen?
Comodo, Godaddy und Symantec tun sich da nichts. In der Firma sind wir schon vor langem von Symantec zu Comodo gewechselt. Das war sowohl preislich wie auch qualitativ ein Riesenunterschied. Als TC-Trustcenter von Symantec geschluckt wurde haben die dann auch noch angerufen und Lügen über Mitbewerber erzählt. Wenn Du es darauf anlegst findest Du über jeden größeren Laden im Internet irgendwo negativkritische Stimmen.
Wenn man einen Hoster mit CPanel-Access hat, dann geht auch das hier ganz gut, weil man da eben nicht alle 90 Tage manuell mit dem Browser hochladen muß. Root-Zugang ist nicht nötig. https://neurobin.org/docs/web/fully-automated-letsencrypt-integration-with-cpanel/ Voraussetzung: CPanel muß so installiert sein, daß es die Option anbietet, selber Zertifikate zu installieren (was dann per Script erledigt wird, nicht manuell im Browser). Den SSH-Zugang braucht man nicht zwingend, man kann auch den CSR mit einem einmaligen Cron-Job erstellen und den Cron-Job dann wieder in CPanel löschen. Quasi ein Hackaround, wenn der Provider SSH nicht anbietet. Muß man halt die Ausgaben in eine Datei pipen, um zu sehen, was das Ergebnis war. Dann packt man das Renew-Script über CPanel in einen Cron-Job, etwa jeden Monatsersten, und schon geht der ganze Zirkus automatisch. Man sollte sich nur sehr genau die Pfade durchprüfen, ob das alles so OK ist, weil bei Fehlschlag sonst weitere Retries gemacht werden und man im Hintergrund dann so ein verunglücktes Script als Prozeß rumlungern hat. Übrigens geht das auch bei shared hosting. Daß man dann einige ältere Clients nicht bedienen kann, weil SSL mit shared IP über SNI geht, ist zu verkraften - dabei geht es v.a. um Win XP vor SP3, und auch da ist dann nur der IE betroffen, nicht aber installierte andere Browser. Ein bißchen tricky ist es, wenn man auch noch einen automatischen 301-Redirect von http auf https haben will, das geht per htaccess ja recht leicht. Nur muß man daran denken, das challenge-Verzeichnis von Let's Encrypt in den Rewrite-Rules auszuklammern, weil diese challenge ja gedacht ist, um https überhaupt erst (nach Zertifikat-Installation) zu ermöglichen, weswegen man den nicht auf https umlenken darf. Oder man geht gleich zu einem Provider, der einem Let's Encrypt kostenlos und vollautomatisch anbietet, da muß man gar nichts mehr tun. Gibt Provider, die das anbieten, um Kunden von Providern abzuwerben, die das nicht anbieten. Wer Namen will, bitte nachfragen - nicht, daß mich hier des Werbespams verdächtig mache. :-) Ich habe genau deswegen gewechselt. Erstens spart es mir Geld, und zweitens werden sich alle Provider mit kostenlosem Let's Encrypt anfreunden müssen, wenn nur genug Kunden deswegen bei den Verweigerern kündigen. Diese Ansage versteht jedes Unternehmen immer noch am besten.
Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber eben beim Webhoster, in diesem Falle Host Europe. Müsste man seine Zertifikate nur einmal pro Jahr oder alle zwei Jahre hochladen, dann wäre der händische Weg völlig okay. Und dann hat man eben noch andere Spielsachen mit SSL-Zugang, bei denen es u.U. noch aufwendiger ist das Zertifikat zu hinterlegen, seien es irgendwelche Router oder ähnliches.
Host Europe hat einen meiner Meinung nach unglaublich guten Support, das SSL-Thema ist gerade das einzige was stört
Sven L. schrieb: > Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber > eben beim Webhoster, in diesem Falle Host Europe. Wenn Du Deine Zertifikate mit CPanel händisch hochladen kannst, dann kannst Du auch die von mir oben verlinkte Scriptlösung verwenden und das automatisieren. CPanel bietet Zertifikat-Installation und Cron-Jobs, das langt. Let's Encrypt ist zum Automatisieren gerade gedacht, nicht zum manuellen Verwalten. Im Wesentlichen, weil OCSP einfach total kaputt ist.
Rufus Τ. F. schrieb: > Wo? > > Ich sehe "ab" 49€ für ein Jahr. Hi. Ich bin Admin und wir verwenden in unserer Firma auch häufig die Comodo PositiveSSL Zertifikate. Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter https://goto-ssl.de/ Hier kosten 3 Jahre 14,90€ (4,95/Jahr). Sogar als Privatkunde bekommt man dort die gleichen Preise.
Jörg schrieb: > Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter > https://goto-ssl.de/ > > Hier kosten 3 Jahre 14,90€ (4,95/Jahr). > > Sogar als Privatkunde bekommt man dort die gleichen Preise. Danke Jörg Ich habe nebenbei einen Blog und wollte schon lange mir ein SSL Zertifikat holen. Habe gerade ein Zertifikat dort gekauft. Einfach Top. Danke nochmals und viele Grüße vom mobilen Arbeiten im Biergarten.
Nachdem let's encrypt angekündigt hat, sogar Wildcardzertifikate ausstellen zu wollen, und der Skriptaufwand zur Aktualisierung tatsächlich überschaubar ist, erscheinen mir alternative Angebote immer unattraktiver zu sein. Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht reaktivieren, wenn StartSSL wieder von Googles bzw. Mozillas Gnaden ist.
Rufus Τ. F. schrieb: > und der Skriptaufwand zur Aktualisierung > tatsächlich überschaubar ist Stimmt service nginx stop certbot renew service nginx start Rufus Τ. F. schrieb: > Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht > reaktivieren Same here, dabei war StartSSL ein wirklich gutes Angebot. Die waren quasi das, was bett1.de für die hiesigen Matrazenanbieter ist. https://www.bett1.de/anti-kartell
Abradolf L. schrieb: > quasi das, was bett1.de für die hiesigen Matrazenanbieter ist. Unabhängig davon teigt der Aufwand und das Knack-Risiko wenn die Zertifikate ZU lang laufen sollen. Ein rostiger Schlüssel schließt auch nach 30 Jahren noch. Ob es den Zertifikats-Anbieter unserer Träume dann noch gibt ist unsicher.
Abradolf L. schrieb: > service nginx stop > certbot renew > service nginx start Wenn du statt certbots integrierten webserver die webroot methode verwendest, und nginx entspechend einrichtest, dass /.well-known den richtigen Inhalt ausliefert, musst du nginx nicht stoppen oder neu starten, sondern kannst es am ende einfach mit "service nginx reload" die Konfig und Zertifikate neu laden lassen. So kann man einige Sekunden downtime vermeiden.
Thread beobachten
Seitenaufteilung abschalten