CwCity Board >>> Internet >>> Eigener Server & Netzwerk >>> Günstige SSL-Zertifikate
Günstige SSL-Zertifikate

Seiten: 1, 2
twc
Verfasst am: 28.09.2014 um: 18:48 Uhr
 
Cw Posting Dude
Poster Teufel
Beiträge: 90
SPAM:
0% Spam
Hallo liebe Community,

seit ca. einem Monat habe ich nun meinen eigenen Server (Web, IRC, VPN, ...) auf einem Cubietruck zu laufen.
Da mir Datenschutz bzw. Privatsphäre gegenüber Dritten (Provider, gewisse Behörden *räusper*, Angreifer) sehr wichtig ist, läufen all die genannten Anwendungen über SSL (bzw. TLS usw.).
Vor allem beim Webserver stört jedoch sehr, dass ich (als Administrator) jedes Mal als pöser, pöser Pursche dargestellt werden.
("Ihre Verbindung ist nicht privat", "Diesem Server wird nicht vetraut", ...)

Deswegen wollte ich mir nun ein SSL Zertifikat zulegen. Ich habe es zunächst bei StartSSL probiert, jedoch kann ich mich nicht einloggen (SSL_PROTOCOL_ERROR auf auth.startssl.com

Nützt ja nichts, ich brauche ein Zertifikat. Ich habe mich auch bereits ein wenig im Netz umgeschaut, allerdings ist die Spanne sehr weit (20€ - 200+€)

Kann mir jemand einen Anbieter empfehlen, der günstige (nicht "billige", sondern gutes P/L-Verhältnis) Zertifikate anbietet?
Welchen Anbieter nutzt ihr selber? 



 



consider
Verfasst am: 28.09.2014 um: 18:58 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Class A Certs haben sie eigentlich fast alle kostenlos.

Cacert sollte aber für dich passen:

www.cacert.org/

Ironischerweise bekomme ich bei denen nen Certificate Error. Sehr seltsam. Aber Ccert ist normalerweise als CA in allen gängigen Browsern vorhanden.



 

chrwhm
Verfasst am: 28.09.2014 um: 19:42 Uhr
 
Globaler Moderator
0
Beiträge: 6088
SPAM:
0% Spam
Hey,

die leidige Diskussion über die Zertifikatsanbieter und die Zertifikate
Kann consider wieder mal nur zustimmen, ein kostenloses tuts genauso gut. "Billig" oder "Gutes P/L-Verhältnis" sind schwer definierbare Geschichten, weil selbiges sehr stark von deinen Anforderungen abhängt. Ein Vergleich der minimalen Unterschiede von SSL-Zertifikaten ist eh immer schwierig.

Bei StartSSL authentifierst du dich über ein im Browser gespeicherten Login-Zertifikat; ist das abgelaufen, kommt der Fehler. Weiß grad nicht aus dem Kopf wo man die dann wiederum löschen kann, daher empfehle ich fürs Erste, einen anderen Browser zu verwenden. Das ist bei StartSSL etwas tricky, ansonsten bin ich mit deren Zertifikaten im privaten Bereich immer recht zufrieden gewesen. Cacert hab ich selber noch nicht verwendet.

Ansonsten müsste man erst einmal schauen, was Deine Anforderungen sind. Wie viele "fully qualified" Domains willst du absichern, hast du pro Domain eine IP-Adresse oder willst Du bei mehr Domains als IP-Adressen auf SNI zurückgreifen und damit Windows XP-Nutzer und alte Android-Smartphones von der Nutzung deiner Seite uU ausschließen - oder dann doch ein Wildcard-Zertifikat oder ein SAN-Zertifikat? Oder hast du eh nur eine Domain? Willst du das SSL-Zertifikat nur auf einem Server einsetzen oder mgwl. auch auf mehreren (-> Server-Lizenzen)?

Unterm Strich ist bei Zertifikaten in erster Linie der genaue Anwendungsfall sowie die Abdeckung der Browser interessant - wobei letzteres sich mittlerweile soweit angeglichen hat, dass man wohl kaum noch einen Unterschied merken wird. Viel wichtiger ist die entsprechende Konfiguration des Servers. Cipher Suites, Hash-Algorithmus / Key-Stärke, Forward Secrecy - um nur mal blind ein paar Begriffe in den Raum zu werfen - sind mehr oder weniger unabhängig vom Zertifikat und aber deutlich wichtiger als selbiges. Wenn die Serverkonfiguration nicht hin haut, kann auch ein gültiges Zertifikat unsicher sein. Ich empfehle dazu folgende Lektüre: https://www.ssllabs.com/projects/best-practices/index.html

lg



www.laptop-kaffee.de

"Normalised data is for sissies."
(Cal Henderson, chief software architect of flickr)



Letzte Änderung am: 28.09.2014 um: 19:44 Uhr durch: chrwhm
 

consider
Verfasst am: 28.09.2014 um: 19:51 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Ups, hab grad gesehen, dass das cacert Stammzertifikart nicht im Firefox und Thunderbird dabei ist. Dann bleib mal doch bei StartSSL.

Comodo ist auch gut, bietet aber kostenlos nur Mailcerts an. Ansonsten müssen die User halt einmalig das Stammzertifikat importieren und gut ists. Aber dann kann man auch selbs signiren.

Wenn StartSSL rumzickt dann lösche mal dein Cert im FF unter "Einstellungen / Erweitert / Zertifikate / Meine Zertifikate"

 

consider
Verfasst am: 28.09.2014 um: 20:35 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Sorry für den Doppelpost, aber Edits werden so schnell übersehen. Bevor irgendwelche Certs gelöscht werden: Tus nicht:

Wann hast du dich denn bei StartSSL Angemeldet? Es dauert idR einige Stunden, bis das geprüft ist. Dann bekommst du einen Link und einen Code, der 24h gültig ist.

Darüber wird dann ein Zertifikat im Browser installiert mit welchem du eingelogt wirst. Hast du das Zrt noch nicht, kommt genau der Fehler.

Sobald du es hast kannst du dich enloggen. Oasswort und Username gibts da nicht. Geht alles über das Cert, also tus dir gut weg. Am besten exprotieren und aufn Stick oder ins Backup oder so.

 

twc
Verfasst am: 28.09.2014 um: 22:28 Uhr
 
Cw Posting Dude
Poster Teufel
Beiträge: 90
SPAM:
0% Spam
  
Zitat von consider

Sorry für den Doppelpost, aber Edits werden so schnell übersehen. Bevor irgendwelche Certs gelöscht werden: Tus nicht:

Wann hast du dich denn bei StartSSL Angemeldet? Es dauert idR einige Stunden, bis das geprüft ist. Dann bekommst du einen Link und einen Code, der 24h gültig ist.

Darüber wird dann ein Zertifikat im Browser installiert mit welchem du eingelogt wirst. Hast du das Zrt noch nicht, kommt genau der Fehler.

Sobald du es hast kannst du dich enloggen. Oasswort und Username gibts da nicht. Geht alles über das Cert, also tus dir gut weg. Am besten exprotieren und aufn Stick oder ins Backup oder so.

Na klasse. Ich habe mich vor ca. 1 Monat da angemeldet und die Mail über einen anderen PC geöffnet. Auf den habe ich jetzt natürlich keinen Zugriff mehr.
Also erneut anmelden?


 

consider
Verfasst am: 28.09.2014 um: 22:31 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Hast du da schon ne Dmain eingetragen oder irgendwas gemacht? Ich hatte das Problem auch mal. Einfach mit einer andren Mail neu angemeldet, dauert halt ein paar Stunden, und dann kannst du ganz normal deine Domain oder Mailaddies dort verifizieren.

Erst dann gibts die Zertifikate. Aber es sollte gehen. ich weis halt nicht, wie das ist, wenn du schon mit dem andren Account deine Domain registriert hast, ob das dann mit dem neuen noch mal geht.

 

twc
Verfasst am: 28.09.2014 um: 22:34 Uhr
 
Cw Posting Dude
Poster Teufel
Beiträge: 90
SPAM:
0% Spam
  
Zitat von consider

Hast du da schon ne Dmain eingetragen oder irgendwas gemacht? Ich hatte das Problem auch mal. Einfach mit einer andren Mail neu angemeldet, dauert halt ein paar Stunden, und dann kannst du ganz normal deine Domain oder Mailaddies dort verifizieren.

Erst dann gibts die Zertifikate. Aber es sollte gehen. ich weis halt nicht, wie das ist, wenn du schon mit dem andren Account deine Domain registriert hast, ob das dann mit dem neuen noch mal geht.

Hmm, ok. Ich werde es mal probieren.
Falls es nicht funktioniert, versuche ich es mal bei CACert.

Vielen Dank schon mal für eure Antworten!


 

chrwhm
Verfasst am: 29.09.2014 um: 08:57 Uhr
 
Globaler Moderator
0
Beiträge: 6088
SPAM:
0% Spam
Hey,

du hast also schon einen Account? Wenns nicht geht, nutz einfach deren Support - der kann dir auch das Zertifikat zurücksetzen.

lg



www.laptop-kaffee.de

"Normalised data is for sissies."
(Cal Henderson, chief software architect of flickr)

 

schulle
Verfasst am: 29.09.2014 um: 11:17 Uhr
 
System Admin
Admin
Beiträge: 5106
SPAM:
0% Spam
Moin,

ich habe meine Erfahrungen mit StartSSL sowie kostenpflichtigen Zertifikaten. StartSSL Zertifikate funktionieren in modernen Browsern wunderbar und es erscheint keine Warnung. Dies vehält sich aber bei Mobilgeräten anders. Insbesondere Handys mit Microsoft-SW warnen ganz gerne mal davor. 

Falls Du das verhindern willst, kannst Du Dich mal bei PSW umschauen. Das Light Zertifikat gibt es ab 15 € im Jahr. Damit habe ich sehr gute Erfahrungen bisher gemacht.
www.psw.net/ssl-zertifikate.cfm

Mit freundlichen Grüßen

Support & Management


Schulle

Urlaubs Schnäppchen bei Urlaubstracker




Jetzt neu: CwCity auf Facebook

 



Studentenjobs


Support:
support[ a ]cwcity.de
 

 
Seiten: 1, 2

Folgende User sind hier gerade aktiv:
-

ANZEIGE