mikrocontroller.net

Forum: PC Hard- und Software Kostenlose SSL-Zertifikate


Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Zusammen,
vielleicht kennt ja jemand von Euch https://www.sslforfree.com/

Hier bekommt man kostenlos SSL-Zertifikate.

In ein Zertifikat kann man bis zu 100 Domains aufnehmen, die Ausstellung 
ist recht einfach.


Der Haken ist die kurze Laufzeit der Zertifikate.

Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei 
denen die Laufzeit länger ist?

Autor: Jörg W. (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sven L. schrieb:
> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei
> denen die Laufzeit länger ist?

CAcert.org, funktioniert auf Community-Basis, allerdings sind die
root-Zertifikate in den üblichen Browsern standardmäßig nach wie
vor noch nicht drin.

StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr
Laufzeit kostenlos beantragen kann.

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Jörg W. schrieb:
> StartCom, eine israelische Firma, bei der man Zertifikate mit 1 Jahr
> Laufzeit kostenlos beantragen kann.

Nee, die sind "tainted". StartCom (auch unter dem Namen StartSSL 
bekannt) ist vor einiger Zeit von einer chinesischen Firma (WoSign) 
aufgekauft worden, und dann kursierten plötzlich einige falsche (und 
obendrein rückdatierte) Zertifikate ...

Mozilla hat WoSign und StartSSL/StartCom deswegen aus der Liste 
akzeptierter Root-CAs rausgeworfen.

https://blog.mozilla.org/security/2016/10/24/distr...

Autor: Mario G. (maestro)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Sven L. schrieb:

> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei
> denen die Laufzeit länger ist?

Wie lange ist bei denen kurz?, Ich nutze jedenfalls 
https://www.letsencrypt.org/

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Mario G. schrieb:
> Wie lange ist bei denen kurz?, Ich nutze jedenfalls
> https://www.letsencrypt.org/

sslforfree benutzt letsencrypt. Warum man dann sslforfree überhaupt 
verwenden soll, ist mir nich ganz klar.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mario G. schrieb:
> Sven L. schrieb:
>
>> Kennt jemand noch andere Anbieter von kostenfreien SSL-Zertifikaten, bei
>> denen die Laufzeit länger ist?
>
> Wie lange ist bei denen kurz?, Ich nutze jedenfalls
> https://www.letsencrypt.org/
90 Tage

kann man bei letsencypt.org auch Zertifikate ohne diesen robot 
erstellen?

Bin da auf die schnelle nicht ganz durchgestiegen


Rufus Τ. F. schrieb:
> sslforfree benutzt letsencrypt.
das ist korrekt

>Warum man dann sslforfree überhaupt verwenden soll, ist mir nich ganz klar.
Weil's schön schnell und einfach ging, letsencrypt wirkt etwas kryptisch 
=)


Naja darum spricht man ja miteinander...

Autor: Jörg W. (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> StartCom (auch unter dem Namen StartSSL bekannt) ist vor einiger Zeit
> von einer chinesischen Firma (WoSign) aufgekauft worden, und dann
> kursierten plötzlich einige falsche (und obendrein rückdatierte)
> Zertifikate ...

Ah, OK.  Das war bei mir noch nicht angekommen.

Hatte vor längerer Zeit mal eins von denen, dann aber irgendwie das
Erneuern doch vergessen.  Seitdem benutze ich wieder durchweg
CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die
Root-Zertifikate installieren muss.

Ich glaube, bei Ubuntu ist CAcert.org standardmäßig bereits installiert.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Seitdem benutze ich wieder durchweg
> CAcert.org, auch wenn es halt lästig ist, dass man da immer erst die
> Root-Zertifikate installieren muss.

Das muss man eben bei dem sslforfree / letsencrypt auch nicht... die 
funktionieren in den bei mir installierten Browsern so.

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Für Letsencrypt gibt es diese Perl-Library hier, mit der sich wohl 
einiges vereinfachen lässt:

https://github.com/do-know/Crypt-LE

(das ganze gibt es auch als "portable" Win32/Win64-Anwendung)

Autor: Gustl B. (-gb-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sven L. schrieb:
> kann man bei letsencypt.org auch Zertifikate ohne diesen robot
> erstellen?

Also Cert kann man recht einfach manuell erstellen. Da macht dieser 
certbot dann nur das cert und den Rest macht man selbst:

Auf irgendeinem Rechner mit Internet:

sudo ./certbot-auto certonly --manual

Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den 
Webserver (certbot nicht schließen):

wwwroot.well-known/acme-challenge/

Dann macht man im certbot weiter und das Cert fällt raus. Das schiebt 
man auf den Webserver und ist fertig. Auf dem Webserver braucht man also 
kein Python und kein Certbot. Ich verwende das mit Lighttpd und es 
funktioniert wunderbar.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> https://github.com/do-know/Crypt-LE
>
> (das ganze gibt es auch als "portable" Win32/Win64-Anwendung)

Ah, nicht schlecht, Danke!

Gustl B. schrieb:
> Auf irgendeinem Rechner mit Internet:
>
> sudo ./certbot-auto certonly --manual
>
> Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den
> Webserver (certbot nicht schließen):
>
> wwwroot.well-known/acme-challenge/

ebenfalls Danke!

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gustl B. schrieb:
> Dann fällt da etwas für eine ACME-Challange raus, das packt man auf den
> Webserver (certbot nicht schließen):

Es gibt auch die Alternative einer ACME-Challenge, die als TXT-Record im 
DNS eingetragen wird. Interessant für Domains, für die es keinen 
http-Server gibt/geben soll.

Setzt natürlich voraus, daß man an den Records seines DNS herumschrauben 
kann.

Autor: Chris F. (chfreund) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Comodo PositiveSSL kostet unter 15$ für 3 Jahre und wird von allen 
Browsern akzeptiert. Wozu der Stress mit den 90-Tage Certs?

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Chris F. schrieb:
> Comodo PositiveSSL kostet unter 15$ für 3 Jahre

Wo?

Ich sehe "ab" 49€ für ein Jahr.

Autor: Chris F. (chfreund) Benutzerseite
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Chris F. schrieb:
>> Comodo PositiveSSL kostet unter 15$ für 3 Jahre
>
> Wo?
>
> Ich sehe "ab" 49€ für ein Jahr.

Mom ich suche das mal raus, das gibt es eh nur als resale-produkt

hier ist es: https://cheapsslsecurity.com/comodo/positivessl.html

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann 
kein Problem, aber bei Hostern muss man den Mist per Browser hochladen, 
das nervt dann halt schon etwas.

Ansonsten ist letsencypt schon nicht schlecht, habe es dank der Hinweise 
oben nun mal ans laufen gebracht, wenn ich Zeit habe istalliere ich mir 
die Tools auf dem Server, dann sind die 90 Tage auch kein Probem mehr

Autor: Moritz (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Sven L. schrieb:
> Das mit den 90 Tagen ist auf Servern die man selbst administrieren kann
> kein Problem, aber bei Hostern muss man den Mist per Browser hochladen,
> das nervt dann halt schon etwas.

Da muss ma dann eben daheim irgendwo nen Raspi oder aehnliches laufen 
lassen, der mit etwas curl-magic und scp/sftp (fuer die challenge in 
.well-known) das Cert beim Provider hochlaedt und einbindet.
Ja das is Gefrickel, aber moeglich. Besser natuerlich, sich gleich einen 
Provider suchen, der Let's Encrypt von sich aus anbietet.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS 
bekommen soll...

Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig / 
Zertifikatpfade...

Autor: A. K. (prx)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Sven L. schrieb:
> Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig /
> Zertifikatpfade...

Sind das aber nicht genau jene Pakete, die teuer genug sind, um die 
Kosten traditioneller Zertifikate in Relation dazu nicht allzu krass 
aussehen zu lassen?

Autor: Abradolf L. (Firma: Ricksy Business) (abradolf_lincler) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sven L. schrieb:
> Ich wüsste nicht, wie man die Zertifikate bei HostEurope ins KIS
> bekommen soll...
>
> Bei bestimmten Paketen hat man keinen Zugriff auf die Serverkonfig /
> Zertifikatpfade...

Bei HostEuropre habe ich nur Server, da muss man es selbst lösen.

Bei all-inkl.com wo ich nur ne domain und webspace habe, kann man lets 
encrypt automatisch beziehen lassen ohne sich darum kümmern zu müssen.

: Bearbeitet durch User
Autor: DOS (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Chris F. schrieb:
> Comodo PositiveSSL kostet unter 15$ für 3 Jahre und wird von allen
> Browsern akzeptiert.

Weil Comodo ja auch soviel von Sicherheit versteht...
https://blog.fefe.de/?q=Comodo

Warum genau sollte man denen auch noch Geld nachschmeißen, dass sie für 
5 Sekunden ein Script laufen lassen?

Autor: Chris F. (chfreund) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Comodo, Godaddy und Symantec tun sich da nichts. In der Firma sind wir 
schon vor langem von Symantec zu Comodo gewechselt. Das war sowohl 
preislich wie auch qualitativ ein Riesenunterschied. Als TC-Trustcenter 
von Symantec geschluckt wurde haben die dann auch noch angerufen und 
Lügen über Mitbewerber erzählt.

Wenn Du es darauf anlegst findest Du über jeden größeren Laden im 
Internet irgendwo negativkritische Stimmen.

Autor: Nop (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn man einen Hoster mit CPanel-Access hat, dann geht auch das hier 
ganz gut, weil man da eben nicht alle 90 Tage manuell mit dem Browser 
hochladen muß. Root-Zugang ist nicht nötig.

https://neurobin.org/docs/web/fully-automated-lets...

Voraussetzung: CPanel muß so installiert sein, daß es die Option 
anbietet, selber Zertifikate zu installieren (was dann per Script 
erledigt wird, nicht manuell im Browser).

Den SSH-Zugang braucht man nicht zwingend, man kann auch den CSR mit 
einem einmaligen Cron-Job erstellen und den Cron-Job dann wieder in 
CPanel löschen. Quasi ein Hackaround, wenn der Provider SSH nicht 
anbietet. Muß man halt die Ausgaben in eine Datei pipen, um zu sehen, 
was das Ergebnis war.

Dann packt man das Renew-Script über CPanel in einen Cron-Job, etwa 
jeden Monatsersten, und schon geht der ganze Zirkus automatisch. Man 
sollte sich nur sehr genau die Pfade durchprüfen, ob das alles so OK 
ist, weil bei Fehlschlag sonst weitere Retries gemacht werden und man im 
Hintergrund dann so ein verunglücktes Script als Prozeß rumlungern hat.

Übrigens geht das auch bei shared hosting. Daß man dann einige ältere 
Clients nicht bedienen kann, weil SSL mit shared IP über SNI geht, ist 
zu verkraften - dabei geht es v.a. um Win XP vor SP3, und auch da ist 
dann nur der IE betroffen, nicht aber installierte andere Browser.

Ein bißchen tricky ist es, wenn man auch noch einen automatischen 
301-Redirect von http auf https haben will, das geht per htaccess ja 
recht leicht.

Nur muß man daran denken, das challenge-Verzeichnis von Let's Encrypt in 
den Rewrite-Rules auszuklammern, weil diese challenge ja gedacht ist, um 
https überhaupt erst (nach Zertifikat-Installation) zu ermöglichen, 
weswegen man den nicht auf https umlenken darf.


Oder man geht gleich zu einem Provider, der einem Let's Encrypt 
kostenlos und vollautomatisch anbietet, da muß man gar nichts mehr tun. 
Gibt Provider, die das anbieten, um Kunden von Providern abzuwerben, die 
das nicht anbieten.

Wer Namen will, bitte nachfragen - nicht, daß mich hier des Werbespams 
verdächtig mache. :-)

Ich habe genau deswegen gewechselt. Erstens spart es mir Geld, und 
zweitens werden sich alle Provider mit kostenlosem Let's Encrypt 
anfreunden müssen, wenn nur genug Kunden deswegen bei den Verweigerern 
kündigen. Diese Ansage versteht jedes Unternehmen immer noch am besten.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber 
eben beim Webhoster, in diesem Falle Host Europe.

Müsste man seine Zertifikate nur einmal pro Jahr oder alle zwei Jahre 
hochladen, dann wäre der händische Weg völlig okay.

Und dann hat man eben noch andere Spielsachen mit SSL-Zugang, bei denen 
es u.U. noch aufwendiger ist das Zertifikat zu hinterlegen, seien es 
irgendwelche Router oder ähnliches.

Autor: Ohmar (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Alfahosting hat zur Zeit ne Aktion. 1SSL Zertifikat ist kostenlos.

Autor: Sven L. (sven_rvbg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Host Europe hat einen meiner Meinung nach unglaublich guten Support, das 
SSL-Thema ist gerade das einzige was stört

Autor: Nop (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sven L. schrieb:
> Also wie schon gesagt, auf eigenen Servern sehe ich kein Problem, aber
> eben beim Webhoster, in diesem Falle Host Europe.

Wenn Du Deine Zertifikate mit CPanel händisch hochladen kannst, dann 
kannst Du auch die von mir oben verlinkte Scriptlösung verwenden und das 
automatisieren. CPanel bietet Zertifikat-Installation und Cron-Jobs, das 
langt.

Let's Encrypt ist zum Automatisieren gerade gedacht, nicht zum manuellen 
Verwalten. Im Wesentlichen, weil OCSP einfach total kaputt ist.

Autor: Jörg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Wo?
>
> Ich sehe "ab" 49€ für ein Jahr.

Hi. Ich bin Admin und wir verwenden in unserer Firma auch häufig die 
Comodo PositiveSSL Zertifikate.

Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter 
https://goto-ssl.de/

Hier kosten 3 Jahre 14,90€ (4,95/Jahr).

Sogar als Privatkunde bekommt man dort die gleichen Preise.

Autor: Tim T. (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Jörg schrieb:
> Die SSL Zertifikate beziehen wir bei dem deutschen Anbieter
> https://goto-ssl.de/
>
> Hier kosten 3 Jahre 14,90€ (4,95/Jahr).
>
> Sogar als Privatkunde bekommt man dort die gleichen Preise.


Danke Jörg 

Ich habe nebenbei einen Blog und wollte schon lange mir ein SSL 
Zertifikat holen. Habe gerade ein Zertifikat dort gekauft. Einfach Top. 
Danke nochmals und viele Grüße vom mobilen Arbeiten im Biergarten.

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Nachdem let's encrypt angekündigt hat, sogar Wildcardzertifikate 
ausstellen zu wollen, und der Skriptaufwand zur Aktualisierung 
tatsächlich überschaubar ist, erscheinen mir alternative Angebote immer 
unattraktiver zu sein.

Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht 
reaktivieren, wenn StartSSL wieder von Googles bzw. Mozillas Gnaden ist.

Autor: Abradolf L. (Firma: Ricksy Business) (abradolf_lincler) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> und der Skriptaufwand zur Aktualisierung
> tatsächlich überschaubar ist

Stimmt

service nginx stop
certbot renew
service nginx start

Rufus Τ. F. schrieb:
> Mein bislang genutztes StartSSL-Zertifikat werde ich auch dann nicht
> reaktivieren

Same here, dabei war StartSSL ein wirklich gutes Angebot. Die waren 
quasi das, was bett1.de für die hiesigen Matrazenanbieter ist.

https://www.bett1.de/anti-kartell

: Bearbeitet durch User
Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Abradolf L. schrieb:
> quasi das, was bett1.de für die hiesigen Matrazenanbieter ist.

Unabhängig davon teigt der Aufwand und das Knack-Risiko wenn die 
Zertifikate ZU lang laufen sollen. Ein rostiger Schlüssel schließt auch 
nach 30 Jahren noch. Ob es den Zertifikats-Anbieter unserer Träume dann 
noch gibt ist unsicher.

Autor: Daniel A. (daniel-a)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Abradolf L. schrieb:
> service nginx stop
> certbot renew
> service nginx start

Wenn du statt certbots integrierten webserver die webroot methode 
verwendest, und nginx entspechend einrichtest, dass /.well-known den 
richtigen Inhalt ausliefert, musst du nginx nicht stoppen oder neu 
starten, sondern kannst es am ende einfach mit "service nginx reload" 
die Konfig und Zertifikate neu laden lassen. So kann man einige Sekunden 
downtime vermeiden.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.