Hallo Zusammen,
vielleicht kennt ja jemand von Euch https://www.sslforfree.com/
Hier bekommt man kostenlos SSL-Zertifikate.
In ein Zertifikat kann man bis zu 100 Domains aufnehmen, die Ausstellung
ist recht einfach.
Der Haken ist die kurze Laufzeit der Zertifikate.
Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei
denen die Laufzeit länger ist?
Sven L. schrieb:> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei> denen die Laufzeit länger ist?
CAcert.org, funktioniert auf Community-Basis, allerdings sind die
root-Zertifikate in den üblichen Browsern standardmäßig nach wie
vor noch nicht drin.
StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr
Laufzeit kostenlos beantragen kann.
Jörg W. schrieb:> StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr> Laufzeit kostenlos beantragen kann.
Nee, die sind "tainted". StartCom (auch unter dem Namen StartSSL
bekannt) ist vor einiger Zeit von einer chinesischen Firma (WoSign)
aufgekauft worden, und dann kursierten plötzlich einige falsche (und
obendrein rückdatierte) Zertifikate ...
Mozilla hat WoSign und StartSSL/StartCom deswegen aus der Liste
akzeptierter Root-CAs rausgeworfen.
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Sven L. schrieb:> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei> denen die Laufzeit länger ist?
Wie lange ist bei denen kurz?, Ich nutze jedenfalls
https://www.letsencrypt.org/
Mario G. schrieb:> Wie lange ist bei denen kurz?, Ich nutze jedenfalls> https://www.letsencrypt.org/
sslforfree benutzt letsencrypt. Warum man dann sslforfree überhaupt
verwenden soll, ist mir nich ganz klar.
Mario G. schrieb:> Sven L. schrieb:>>> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei>> denen die Laufzeit länger ist?>> Wie lange ist bei denen kurz?, Ich nutze jedenfalls> https://www.letsencrypt.org/
90 Tage
kann man bei letsencypt.org auch Zertifikate ohne diesen robot
erstellen?
Bin da auf die schnelle nicht ganz durchgestiegen
Rufus Τ. F. schrieb:> sslforfree benutzt letsencrypt.
das ist korrekt
>Warum man dann sslforfree überhaupt verwenden soll, ist mir nich ganz klar.
Weil's schön schnell und einfach ging, letsencrypt wirkt etwas kryptisch
=)
Naja darum spricht man ja miteinander...
Rufus Τ. F. schrieb:> StartCom (auch unter dem Namen StartSSL bekannt) ist vor einiger Zeit> von einer chinesischen Firma (WoSign) aufgekauft worden, und dann> kursierten plötzlich einige falsche (und obendrein rückdatierte)> Zertifikate ...
Ah, OK. Das war bei mir noch nicht angekommen.
Hatte vor längerer Zeit mal eins von denen, dann aber irgendwie das
Erneuern doch vergessen. Seitdem benutze ich wieder durchweg
CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die
Root-Zertifikate installieren muss.
Ich glaube, bei Ubuntu ist CAcert.org standardmäßig bereits installiert.
Jörg W. schrieb:> Seitdem benutze ich wieder durchweg> CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die> Root-Zertifikate installieren muss.
Das muss man eben bei dem sslforfree / letsencrypt auch nicht... die
funktionieren in den bei mir installierten Browsern so.
Für Letsencrypt gibt es diese Perl-Library hier, mit der sich wohl
einiges vereinfachen lässt:
https://github.com/do-know/Crypt-LE
(das ganze gibt es auch als "portable" Win32/Win64-Anwendung)
Sven L. schrieb:> kann man bei letsencypt.org auch Zertifikate ohne diesen robot> erstellen?
Also Cert kann man recht einfach manuell erstellen. Da macht dieser
certbot dann nur das cert und den Rest macht man selbst:
Auf irgendeinem Rechner mit Internet:
sudo ./certbot-auto certonly --manual
Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den
Webserver (certbot nicht schließen):
wwwroot.well-known/acme-challenge/
Dann macht man im certbot weiter und das Cert fällt raus. Das schiebt
man auf den Webserver und ist fertig. Auf dem Webserver braucht man also
kein Python und kein Certbot. Ich verwende das mit Lighttpd und es
funktioniert wunderbar.
Rufus Τ. F. schrieb:> https://github.com/do-know/Crypt-LE>> (das ganze gibt es auch als "portable" Win32/Win64-Anwendung)
Ah, nicht schlecht, Danke!
Gustl B. schrieb:> Auf irgendeinem Rechner mit Internet:>> sudo ./certbot-auto certonly --manual>> Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den> Webserver (certbot nicht schließen):>> wwwroot.well-known/acme-challenge/
ebenfalls Danke!
Gustl B. schrieb:> Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den> Webserver (certbot nicht schließen):
Es gibt auch die Alternative einer ACME-Challenge, die als TXT-Record im
DNS eingetragen wird. Interessant für Domains, für die es keinen
http-Server gibt/geben soll.
Setzt natürlich voraus, daß man an den Records seines DNS herumschrauben
kann.
Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann
kein Problem, aber bei Hostern muss man den Mist per Browser hochladen,
das nervt dann halt schon etwas.
Ansonsten ist letsencypt schon nicht schlecht, habe es dank der Hinweise
oben nun mal ans laufen gebracht, wenn ich Zeit habe istalliere ich mir
die Tools auf dem Server, dann sind die 90 Tage auch kein Probem mehr
Sven L. schrieb:> Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann> kein Problem, aber bei Hostern muss man den Mist per Browser hochladen,> das nervt dann halt schon etwas.
Da muss ma dann eben daheim irgendwo nen Raspi oder aehnliches laufen
lassen, der mit etwas curl-magic und scp/sftp (fuer die challenge in
.well-known) das Cert beim Provider hochlaedt und einbindet.
Ja das is Gefrickel, aber moeglich. Besser natuerlich, sich gleich einen
Provider suchen, der Let's Encrypt von sich aus anbietet.
Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS
bekommen soll...
Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig /
Zertifikatpfade...
Sven L. schrieb:> Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig /> Zertifikatpfade...
Sind das aber nicht genau jene Pakete, die teuer genug sind, um die
Kosten traditioneller Zertifikate in Relation dazu nicht allzu krass
aussehen zu lassen?
Sven L. schrieb:> Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS> bekommen soll...>> Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig /> Zertifikatpfade...
Bei HostEuropre habe ich nur Server, da muss man es selbst lösen.
Bei all-inkl.com wo ich nur ne domain und webspace habe, kann man lets
encrypt automatisch beziehen lassen ohne sich darum kümmern zu müssen.
Chris F. schrieb:> Comodo PositiveSSL kostet unter 15$ für 3 Jahre und wird von allen> Browsern akzeptiert.
Weil Comodo ja auch soviel von Sicherheit versteht...
https://blog.fefe.de/?q=Comodo
Warum genau sollte man denen auch noch Geld nachschmeißen, dass sie für
5 Sekunden ein Script laufen lassen?
Comodo, Godaddy und Symantec tun sich da nichts. In der Firma sind wir
schon vor langem von Symantec zu Comodo gewechselt. Das war sowohl
preislich wie auch qualitativ ein Riesenunterschied. Als TC-Trustcenter
von Symantec geschluckt wurde haben die dann auch noch angerufen und
Lügen über Mitbewerber erzählt.
Wenn Du es darauf anlegst findest Du über jeden größeren Laden im
Internet irgendwo negativkritische Stimmen.
Wenn man einen Hoster mit CPanel-Access hat, dann geht auch das hier
ganz gut, weil man da eben nicht alle 90 Tage manuell mit dem Browser
hochladen muß. Root-Zugang ist nicht nötig.
https://neurobin.org/docs/web/fully-automated-letsencrypt-integration-with-cpanel/
Voraussetzung: CPanel muß so installiert sein, daß es die Option
anbietet, selber Zertifikate zu installieren (was dann per Script
erledigt wird, nicht manuell im Browser).
Den SSH-Zugang braucht man nicht zwingend, man kann auch den CSR mit
einem einmaligen Cron-Job erstellen und den Cron-Job dann wieder in
CPanel löschen. Quasi ein Hackaround, wenn der Provider SSH nicht
anbietet. Muß man halt die Ausgaben in eine Datei pipen, um zu sehen,
was das Ergebnis war.
Dann packt man das Renew-Script über CPanel in einen Cron-Job, etwa
jeden Monatsersten, und schon geht der ganze Zirkus automatisch. Man
sollte sich nur sehr genau die Pfade durchprüfen, ob das alles so OK
ist, weil bei Fehlschlag sonst weitere Retries gemacht werden und man im
Hintergrund dann so ein verunglücktes Script als Prozeß rumlungern hat.
Übrigens geht das auch bei shared hosting. Daß man dann einige ältere
Clients nicht bedienen kann, weil SSL mit shared IP über SNI geht, ist
zu verkraften - dabei geht es v.a. um Win XP vor SP3, und auch da ist
dann nur der IE betroffen, nicht aber installierte andere Browser.
Ein bißchen tricky ist es, wenn man auch noch einen automatischen
301-Redirect von http auf https haben will, das geht per htaccess ja
recht leicht.
Nur muß man daran denken, das challenge-Verzeichnis von Let's Encrypt in
den Rewrite-Rules auszuklammern, weil diese challenge ja gedacht ist, um
https überhaupt erst (nach Zertifikat-Installation) zu ermöglichen,
weswegen man den nicht auf https umlenken darf.
Oder man geht gleich zu einem Provider, der einem Let's Encrypt
kostenlos und vollautomatisch anbietet, da muß man gar nichts mehr tun.
Gibt Provider, die das anbieten, um Kunden von Providern abzuwerben, die
das nicht anbieten.
Wer Namen will, bitte nachfragen - nicht, daß mich hier des Werbespams
verdächtig mache. :-)
Ich habe genau deswegen gewechselt. Erstens spart es mir Geld, und
zweitens werden sich alle Provider mit kostenlosem Let's Encrypt
anfreunden müssen, wenn nur genug Kunden deswegen bei den Verweigerern
kündigen. Diese Ansage versteht jedes Unternehmen immer noch am besten.
Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber
eben beim Webhoster, in diesem Falle Host Europe.
Müsste man seine Zertifikate nur einmal pro Jahr oder alle zwei Jahre
hochladen, dann wäre der händische Weg völlig okay.
Und dann hat man eben noch andere Spielsachen mit SSL-Zugang, bei denen
es u.U. noch aufwendiger ist das Zertifikat zu hinterlegen, seien es
irgendwelche Router oder ähnliches.
Sven L. schrieb:> Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber> eben beim Webhoster, in diesem Falle Host Europe.
Wenn Du Deine Zertifikate mit CPanel händisch hochladen kannst, dann
kannst Du auch die von mir oben verlinkte Scriptlösung verwenden und das
automatisieren. CPanel bietet Zertifikat-Installation und Cron-Jobs, das
langt.
Let's Encrypt ist zum Automatisieren gerade gedacht, nicht zum manuellen
Verwalten. Im Wesentlichen, weil OCSP einfach total kaputt ist.
Rufus Τ. F. schrieb:> Wo?>> Ich sehe "ab" 49€ für ein Jahr.
Hi. Ich bin Admin und wir verwenden in unserer Firma auch häufig die
Comodo PositiveSSL Zertifikate.
Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter
https://goto-ssl.de/
Hier kosten 3 Jahre 14,90€ (4,95/Jahr).
Sogar als Privatkunde bekommt man dort die gleichen Preise.
Jörg schrieb:> Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter> https://goto-ssl.de/>> Hier kosten 3 Jahre 14,90€ (4,95/Jahr).>> Sogar als Privatkunde bekommt man dort die gleichen Preise.
Danke Jörg
Ich habe nebenbei einen Blog und wollte schon lange mir ein SSL
Zertifikat holen. Habe gerade ein Zertifikat dort gekauft. Einfach Top.
Danke nochmals und viele Grüße vom mobilen Arbeiten im Biergarten.
Nachdem let's encrypt angekündigt hat, sogar Wildcardzertifikate
ausstellen zu wollen, und der Skriptaufwand zur Aktualisierung
tatsächlich überschaubar ist, erscheinen mir alternative Angebote immer
unattraktiver zu sein.
Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht
reaktivieren, wenn StartSSL wieder von Googles bzw. Mozillas Gnaden ist.
Rufus Τ. F. schrieb:> und der Skriptaufwand zur Aktualisierung> tatsächlich überschaubar ist
Stimmt
service nginx stop
certbot renew
service nginx start
Rufus Τ. F. schrieb:> Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht> reaktivieren
Same here, dabei war StartSSL ein wirklich gutes Angebot. Die waren
quasi das, was bett1.de für die hiesigen Matrazenanbieter ist.
https://www.bett1.de/anti-kartell
Abradolf L. schrieb:> quasi das, was bett1.de für die hiesigen Matrazenanbieter ist.
Unabhängig davon teigt der Aufwand und das Knack-Risiko wenn die
Zertifikate ZU lang laufen sollen. Ein rostiger Schlüssel schließt auch
nach 30 Jahren noch. Ob es den Zertifikats-Anbieter unserer Träume dann
noch gibt ist unsicher.
Abradolf L. schrieb:> service nginx stop> certbot renew> service nginx start
Wenn du statt certbots integrierten webserver die webroot methode
verwendest, und nginx entspechend einrichtest, dass /.well-known den
richtigen Inhalt ausliefert, musst du nginx nicht stoppen oder neu
starten, sondern kannst es am ende einfach mit "service nginx reload"
die Konfig und Zertifikate neu laden lassen. So kann man einige Sekunden
downtime vermeiden.
Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.
Wichtige Regeln - erst lesen, dann posten!
Groß- und Kleinschreibung verwenden
Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang