Ich hoste meine private Seite bei Prosite, und die wollen ab 49€ Jährlich für SSL Zertifikate. Für eine private Seite ist das natürlich nicht akzeptabel. GIbt es da andere günstige Anbieter oder bedeutet es wieder mit der ganzen Seite umziehen?
https://letsencrypt.org/ Setzt aber voraus, dass Du auf dem Server Code ausführen kannst. Viele Hoster bieten das inzwischen als Feature an, das Du einfach einschalten kannst.
Hmmm .. schrieb: > Setzt aber voraus, dass Du auf dem Server Code ausführen kannst. Nicht mal das. Setzt nur voraus, dass du auf der Kiste Schreibrechte im DocumentRoot des httpd hast.
Jack V. schrieb: > Hmmm .. schrieb: >> Setzt aber voraus, dass Du auf dem Server Code ausführen kannst. > > Nicht mal das. Setzt nur voraus, dass du auf der Kiste Schreibrechte im > DocumentRoot des httpd hast. Ja, wenn man sich diesen Umweg alle max. 90 Tage antun will. Generell wäre auch noch zu klären, wie man neue Zertifikate an den Webserver verfüttert. Je nach Hoster geht das nur über ein Web-Frontend.
cacert wäre auch noch eine Möglichkeit, aber deren Stammzertifikate sind in den Browsern nicht vorinstalliert. Ist also nur geringfügig besser als selbst-signiert.
na schöne kacke, damit ist eine private Webseite also eigentlich auch völlig uninteressant geworden:-( Schöne neue Internetwelt
Peter K. schrieb: > na schöne kacke, damit ist eine private Webseite also eigentlich > auch > völlig uninteressant geworden:-( > Schöne neue Internetwelt Und fast alle Hoster bieten (kostenlose) Zertifikate an, wenn du deren Webspace verwendest.
Ja, wenn die 50€ oder so im Jahr kosten.. Prosite kostet aber 12 Jährlich und würde dann zusätzlich 50€ im jahr für SSL kosten
Peter K. schrieb: > Ja, wenn die 50€ oder so im Jahr kosten.. > Prosite kostet aber 12 Jährlich und würde dann zusätzlich 50€ im jahr > für SSL kosten Das ist also nicht "Schöne neue Internetwelt", sondern Du hast eben deren Geschäftsmodell verstanden. Die 12 EUR/Jahr sind ein Lockangebot, das es nur gibt, weil eine entscheidende Funktion fehlt, die man dann für Aufpreis verkaufen kann. Aber wenn Du Dich ein bischen umschaust gibt es auch andere günstige Angebote mit SSL, z.B. https://www.netcup.de/hosting/
Bei Hetzner kostet das einfachste Hosting incl SSL incl. 1 Domain 1.90 / Monat https://www.hetzner.com/de/webhosting
Bei Hetzner gibt es das kleinste Webhostingpaket für 1,90€/Monat (+ 9,90€ Einrichtung) und das kommt inklusive Let's Encrypt. Das würde ich als günstig bezeichnen. Oder anders gesagt: Wenn es billiger als bei Hetzner & Co ist, dann ist an dem Angebot etwas faul. //edit Hat sich mit dem vorherigen Post überschnitten.
Hmmm .. schrieb: > Ja, wenn man sich diesen Umweg alle max. 90 Tage antun will. Was der völlig richtige Weg ist. Browser akzeptieren schon seit letztem Jahr keine Zertifikate mehr die länger als ein Jahr laufen. Und diese Zeit wird weiter systematisch reduziert werden. Bald werden es nur noch 9 oder 6 Monate sein. CRLs und OCSP haben in der Praxis nie richtig funktioniert und die Browser haben das logischerweise auch schon lange abgeschaltet. Willkommen im Jahr 2021, ähm, bald 2022.
Unbekannt U. schrieb: > Hmmm .. schrieb: >> Ja, wenn man sich diesen Umweg alle max. 90 Tage antun will. > > Was der völlig richtige Weg ist. Du hast meinen Beitrag nicht richtig gelesen. Es ging um die von Jack erwähnte Möglichkeit, auch ohne ACME-Client auf dem Server LE-Zertifikate nutzen zu können. Das geht zwar, aber man muss sich dieses Gefummel dann alle 90 Tage antun.
Peter K. schrieb: > GIbt es da andere günstige Anbieter Der günstigste Anbieter bist du selber. Wenn du einen Rechner mit openssl hast, kannst du dir deinen eigenen Zertifikate erzeugen. Schritt für Schritt Anleitungen findest du mit Google. Das setzt natürlich voraus, daß du dein eigenes (self-signed) CA Zerfikat als vertrauenswürdig einstufen kannst. Aber von irgendwelchen Einschränkungen bzgl. der Clients schreibst du ja nichts.
Das Problem mit LE ist, dass viele alte bzw. Embedded Clients damit seit dem Root-CA-Wechsel Anfang Oktober nichts mehr damit anfangen können. Alte Qt-Anwendungen (zumindest unter Windows <Qt5.15), die ja ihre eigene OpenSSL-Lib mitbringen müssen und damit nicht den System-CA-Store nutzen, gehen dann nicht mehr. Bei neueren QT5-Varianten kann man das fixen, wenn die Anwendung CAs nachladen kann, mit 4.x ist zumindest bei mir auch damit nix mehr zu holen. Aber sonst ist LE schon OK, Multi-Domain-Zertifikate zB. bei DNS-Load-Balancing gehen auch (wenn auch mit etwas Gebastel bei der Verteilung verbunden).
Mich hat das auch schon genervt, daß man da bei SSL etwas über das Ziel hinausgeschossen ist. Wenn man nur die Verschlüsselung benutzen möchte, dann geht das nicht ohne auch die Echtheit der Webseite nachweisen zu müssen - wofür man dann dann gleich Zertifikate von einem bestimmten Anbieter braucht. Ohne die bzw. mit selbst signierten Zertifikaten hat man zwar die gleiche Sicherheit bzw. bei der Kommunikation mit einem Server zuhause sogar noch eine bessere, aber die Scheißbrowser quäken trotzdem rum weil ihnen niemand die Authentizität der Webseite auf dem eigenen Homeserver bestätigt. Zum Kotzen.
Georg A. schrieb: > Das Problem mit LE ist, dass viele alte bzw. Embedded Clients damit seit > dem Root-CA-Wechsel Anfang Oktober nichts mehr damit anfangen können. Das liegt allerdings oft nicht an der Root-CA an sich, sondern am Verhalten älterer OpenSSL-Versionen beim LE-spezifischen Cross-Signing. Für die Kompatibilität mit älteren Android-Versionen wird weiterhin auch der Pfad zu DST Root X3 mitgeliefert. OpenSSL 1.0.x gibt auf, sobald es beim abgelaufenen Root-Cert landet, statt auch nochmal den Weg über ISRG Root X1 zu prüfen. Clientseitige Abhilfe: OpenSSL updaten oder als Workaround DST Root X3 aus dem Certificate Store entfernen. ISRG Root X1 muss natürlich im Certificate Store sein. Serverseitige Abhilfe: Andere Chain (ohne Cross-Signing) ausliefern, dann machen aber ältere Android-Clients Probleme.
Ben B. schrieb: > ber die Scheißbrowser quäken > trotzdem rum weil ihnen niemand die Authentizität der Webseite auf dem > eigenen Homeserver bestätigt. Zum Kotzen. Könnte daran liegen, dass das genau der Sinn dieser Zertifikate ist, Verschlüsselter Datentransfer ist die eine Sache, aber ob der Server auch Inhalt bereitstellt der für diese Domain gewünscht ist, ist die andere Frage. Stell dir mal vor jemand manipuliert auf deinem Rechner die DNS-Einträge und leitet beispielsweise die Website deines Mailanbieters auf seine Fishing Seite um, durch das nicht valide Zertifikat wirst du das recht schnell merken, wenn jeder Hinz und Kunz für jede Domain Zertifikate Ausstellen könnte wäre ein großer Teil der Sicherheit weg.
Ben B. schrieb: > aber die Scheißbrowser quäken trotzdem rum weil ihnen niemand die > Authentizität der Webseite auf dem eigenen Homeserver bestätigt. Zum > Kotzen. Man kann eine eigene Root-CA in die Clients bzw Browser importieren. Bei Firefox, Linux und Windows ist dann Ruhe, bei Android aber nur bedingt, soweit ich mich erinnere.
Unbekannt U. schrieb: > Browser akzeptieren schon seit letztem > Jahr keine Zertifikate mehr die länger als ein Jahr laufen. > > Und diese Zeit wird weiter systematisch reduziert werden. Bald werden es > nur noch 9 oder 6 Monate sein. Das wird ja dann richtig interessant auf embedded Geräten ohne Internetanschluss, aber einem Passwortfeld. Entweder man baut sich da son 10J Cert rauf mit der Browser Ruhe gibt oder der Browser meckert jedesmal beim PW eingeben. Bin mal gespannt wann Browser es garnicht mehr zulassen PWs einzugeben hne TLS.
Ben B. schrieb: > Mich hat das auch schon genervt, daß man da bei SSL etwas über das Ziel > hinausgeschossen ist. Wenn man nur die Verschlüsselung benutzen möchte, > dann geht das nicht ohne auch die Echtheit der Webseite nachweisen zu > müssen - wofür man dann dann gleich Zertifikate von einem bestimmten > Anbieter braucht. "Ich weiß zwar nicht wer du bist, aber ich verrate dir meine Geheimnisse über einen verschlüsselten Kanal." Was soll da schon schiefgehen? > Ohne die bzw. mit selbst signierten Zertifikaten hat > man zwar die gleiche Sicherheit bzw. bei der Kommunikation mit einem > Server zuhause sogar noch eine bessere, aber die Scheißbrowser quäken > trotzdem rum weil ihnen niemand die Authentizität der Webseite auf dem > eigenen Homeserver bestätigt. Zum Kotzen. Dann bestätige sie eben selbst.
Jan H. schrieb: > Ben B. schrieb: >> Mich hat das auch schon genervt, daß man da bei SSL etwas über das Ziel >> hinausgeschossen ist. Wenn man nur die Verschlüsselung benutzen möchte, >> dann geht das nicht ohne auch die Echtheit der Webseite nachweisen zu >> müssen - wofür man dann dann gleich Zertifikate von einem bestimmten >> Anbieter braucht. > > "Ich weiß zwar nicht wer du bist, aber ich verrate dir meine Geheimnisse > über einen verschlüsselten Kanal." Was soll da schon schiefgehen? Bevor Du dieses tolle Argument noch Jemandem um den Hals hängst, solltest Du mal für Dich selbst hinterfragen was denn genau ein LE Zertifikat eigentlich so zertifiziert..in Hinsicht "Ich weiß zwar nicht wer du bist.." It_Depends
Heute V. schrieb: > solltest Du mal für Dich selbst hinterfragen was denn genau ein LE > Zertifikat eigentlich so zertifiziert..in Hinsicht "Ich weiß zwar nicht > wer du bist.." Na der der die Kontrolle über die Domain hat.
Kevin M. schrieb: > Heute V. schrieb: >> solltest Du mal für Dich selbst hinterfragen was denn genau ein LE >> Zertifikat eigentlich so zertifiziert..in Hinsicht "Ich weiß zwar nicht >> wer du bist.." > > Na der der die Kontrolle über die Domain hat. Er dürfte darauf anspielen, dass sich die HTTP-01-Challenge theoretisch per MITM-Attacke abfangen lässt. Auf der Seite von LE wird das unwahrscheinlich gemacht, indem die Requests von unterschiedlichen Standorten kommen, aber clientseitig ist das nicht von der Hand zu weisen. Als Abhilfe kann man allerdings DNSSEC einrichten und per CAA-Record die Domain an den eigenen LE-Account binden.
> Stell dir mal vor [blah] Ist mir schon klar wozu die Zertifikate gut sein sollen und es macht ja bei Banken, Shops usw. auch Sinn. Mich nervt nur, daß es keinen encryption-only-mode gibt, der für unwichtige Dinge wie z.B. Browsergames oder private Homepages genutzt werden könnte. Die ganzen Phishing-Seiten, die mir so per eMail angedreht werden, die haben merkwürdigerweise alle ein gültiges Zertifikat oder sie benutzen das der fremden Domain, unter der sie versteckt wurden. Also irgendwie hat das mit der angestrebten totalen Sicherheit sowieso nicht funktioniert wenn der User nicht jedes Mal kleinlichst alle Adressangaben oder Zertifikat-Daten durchliest. Und selbst wenn er es tun würde, ein DAU, der den Inhalt einer Phishing-Mail glaubt, der glaubt auch komische Adresszeilen oder Zertifikate. Könnte ja der Dienstleister der Bank für abhanden gekommene Passwörter sein. Für'n Arsch. > Als Abhilfe kann man allerdings DNSSEC einrichten > und per CAA-Record die Domain an den eigenen LE-Account binden. Ja man kann da so vieles machen, wenn man dem User das jedes Mal und für jede Seite einzeln zumuten möchte. Besser wäre es wenn's da eine Möglichkeit gäbe, daß der Browser evtl. meckert (evtl. so hey, Verschlüsselung ist gut, aber kümmer Dich bitte alleine drum, daß die aufgerufene Seite auch echt ist), aber den Zugriff auf die Seite nicht blockiert bzw. sie einfach mal pauschal als unsicher oder gefährlich deklariert. Meine, ich verlasse ja teilweise schon Seiten sofort wieder, wo mich diese Cookie-Erlaubnislayer nerven und man tausend Optionen einzeln abwählen muß... dann doch noch Firmen mit "berechtigtem Interesse" - ohne eine Deklaration, was berechtigtes Interesse eigentlich ist und mit dem Hintergrund, daß prinzipiell alle Datensammelfirmen "berechtigtes" Interesse an meinen Daten haben weil sie damit Geld verdienen - Zugriff wollen etc.
Ben B. schrieb: >> Als Abhilfe kann man allerdings DNSSEC einrichten >> und per CAA-Record die Domain an den eigenen LE-Account binden. > Ja man kann da so vieles machen, wenn man dem User das jedes Mal und für > jede Seite einzeln zumuten möchte. Das macht nicht der User, das macht der Admin der jeweiligen Domain. Ben B. schrieb: > Besser wäre es wenn's da eine > Möglichkeit gäbe, daß der Browser evtl. meckert (evtl. so hey, > Verschlüsselung ist gut, aber kümmer Dich bitte alleine drum, daß die > aufgerufene Seite auch echt ist) Genau das tut mein Browser (Firefox) bei self-signed Certs. Aber es ist wirklich nicht schmerzhaft, auf einem von aussen erreichbaren System Let's Encrypt einzurichten. Einmal damit befassen und korrekt einrichten, dann funktioniert alles automatisch. Bei vielen Massenhostern ist die Verwendung von SSL/TLS mit LE-Zertifikat ohnehin nur noch ein Haken, den Du setzen musst, der Rest passiert automatisch.
> Genau das tut mein Browser (Firefox) bei self-signed Certs.
Bei welcher Version? Meiner schreit rum er möchte eine manuell
eingerichtete Ausnahmeregel, ansonsten kommt man nicht auf die Seite
drauf.
Yep Let's Encrypt ist da im Moment die einzige Möglichkeit, die man auf
Heimservern hat. Mal sehen wann die auch noch als unsicher und
gefährlich deklariert wird. Dann ist das Internet bald wirklich nur noch
für Firmen zu gebrauchen bzw. nur noch damit Firmen damit Geld machen
können.
Ben B. schrieb: >> Genau das tut mein Browser (Firefox) bei self-signed Certs. > Bei welcher Version? Meiner schreit rum er möchte eine manuell > eingerichtete Ausnahmeregel, ansonsten kommt man nicht auf die Seite > drauf. Die aktuelle (93.0). Geschrei kommt natürlich, aber nach einem Klick auf "Advanced" kann ich es ausnahmsweise zulassen. Ich habe security.certerrors.permanentOverride auf false gesetzt, damit immer nur eine temporäre Ausnahme gesetzt wird. Zum Testen bietet sich übrigens https://badssl.com/ an. Ben B. schrieb: > Mal sehen wann die auch noch als unsicher und > gefährlich deklariert wird. Dann ist das Internet bald wirklich nur noch > für Firmen zu gebrauchen bzw. nur noch damit Firmen damit Geld machen > können. Das Gegenteil ist der Fall, Let's Encrypt hat sich etabliert, während dubiose kommerzielle CAs wie StartCom versenkt wurden.
Das ist im Zweifel alles nur eine Frage der Zeit und des Geldes, das irgendwer den großen Browser-Entwicklern anbietet, damit sie Let's Encrypt "wegen Sicherheitsbedenken" rausschmeißen.
Ben B. schrieb: > Das ist im Zweifel alles nur eine Frage der Zeit und des Geldes, das > irgendwer den großen Browser-Entwicklern anbietet, damit sie Let's > Encrypt "wegen Sicherheitsbedenken" rausschmeißen. Der eine große Browserentwickler ist Alphabet/Google – ich denke nicht, dass jemand genug Geld aufbringen kann, um die zu locken, außerdem ist die Codebasis von Chrome offen. Der andere große Browserentwickler wäre Mozilla mit Firefox – wenn die’s rauswerfen sollten, was unwahrscheinlich genug ist, gäbe es einen Fork, in dem es wieder drin wäre. Auch scheinst du eine etwas verworrene Vorstellung zu haben, wie die Sachen so zusammenhängen – nicht als Angriff gemeint. Aber vielleicht möchtest du dir mal die Liste der Hauptunterstützer von LE anschauen? Du könntest überrascht sein, wieviele bekannte Logos dort so auftauchen – und welche.
Jack V. schrieb: > Der eine große Browserentwickler ist Alphabet/Google – ich denke nicht, > dass jemand genug Geld aufbringen kann, um die zu locken, außerdem ist > die Codebasis von Chrome offen. Google zeigt zudem seit geraumer Zeit grosses Interesse daran, HTTPS in grosser Breite durchzusetzen. LE rauszuwerfen würde das direkt konterkarieren.
Keine verworrenen Ansichten, nur Erfahrung wie man es mit manchen unliebsamen Dingen eben so macht. Mal sehen wann einer der Internetriesen seine Meinung ändert. Da meine ich gar nicht so sehr die reinen Datenkraken, sondern eher Internetriesen, die ein Interesse daran hätten, daß jeder ausschließlich ihr eigenes Angebot nutzen soll. An der Netzneutralität wird ja immer wieder gesägt, da gibts einige, die aus dem Netz noch viel mehr Geld machen wollen.
werde mir mal netcup.de ansehen. Scheint deutlich interessanter als das von hetzner zu sein
Ich bin auch bei netcup. LE gibts kostenlos dazu und ist super einfach zum einrichten. Und dazu noch günstig.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.