SSL-Zertifikat: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
veraltete infos weg, neue infos
Zeile 1: Zeile 1:
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.
Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.


Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.


== Zertifizierungsstellen ==
== Zertifizierungsstellen ==


===Kommerzielle Anbieter===
==Let's Encrypt==


Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte ''Certification Authorities'' (CAs). Diese Firmen stellen (teilweise nach einer Prüfung der persönlichen Daten) ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.
Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: [https://letsencrypt.org/ Let's Encrypt].


Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:
Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.
# Der Besucher der Website vertraut dem Aussteller des Zertifikats ''blind'', in aller Regel ohne überhaupt jemals etwas über diese Firma gehört zu haben. Die Tatsache, dass bei einem Download eines Browsers (aus einer x-beliebigen Download-Quelle) diese Zertifizierungsstelle als vertrauenswürdig eingetragen ist, ist die Basis des Vertrauens.
# Die Kosten für die Technik der Zertifikatsausstellung sind praktisch nicht messbar. Heutzutage wird meist noch nicht einmal mehr die Identität eines Website-Betreibers überprüft sondern es wird nur durch ein personalloses E-Mail-Verfahren geprüft, dass derjenige der den Antrag stellt auch Verwalter der Domain ist. In Relation zu der erzeugten Verlässlichkeit sind die Preise für solche Zertifikate auch beim aktuellen Niveau wesentlich zu teuer.


===CAcert.org===
Aus heutiger Sicht gibt es in aller Regel keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.


Alternativ gibt es einen moderneren Ansatz, der auf einem ''Web-of-Trust'' (Vertrauens-Netzwerk) basiert und so funktioniert:
==Extended Validation (EV) und Organization Validation (OV)==
* Jeder Interessent kann sich kostenlos und unverbindlich bei der Website des Betreibers (einem Verein) anmelden.
* Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird. Also genau wie bei den Billigangeboten der kommerziellen Zertifizierungsstellen.
* Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die amtlichen Ausweispapiere bei einem '''persönlichen Treffen''' und unterschreibt auf einem vorgegebenen Formular, dass der betreffende Benutzer ausgefüllt hat. Diese Unterschrift leistet er zusätzlich auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
* Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
* Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.


Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.
Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führen dazu, dass ein Firmenname in grün in der URL-Leiste angezeigt wird. Mehr Sicherheit bieten diese Zertifikate jedoch nicht, die Verschlüsselungstechnologie bleibt die selbe.


=== StartSSL ===
Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.


Die Firma StartCOM bietet mit dem Produkt [http://www.startssl.com/ StartSSL] kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.
==CAcert.org==
 
Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.
 
CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.


Einzig Opera benötigt noch die [http://www.startssl.com/certs/ca.cer manuelle Installation des Rootzertifikats] von Startssl.
=== StartSSL und WoSign ===


== Unsere Zertifizierungsstelle ==
Die Firma StartCOM bietet mit dem Produkt [http://www.startssl.com/ StartSSL] kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.
Aufgrund der oben genannten Umstände nutzen wir für die Systeme bei denen viele unbedarfte Nutzer zu erwarten sind (z.B. Webmail) Zertifikate von StartCom, für viele anderen Dienste jedoch Zertifikate von [http://www.cacert.org CAcert]. Beim ersten Aufruf einer von CAcert beglaubigten Website erhalten Besucher leider eine Warnung, dass das Zertifikat nicht vertrauenswürdig sei.
Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.


Besuchen Sie dazu bitte die Adresse http://www.cacert.org/index.php?id=3 und installieren Sie bitte das Root Certificate (Class 1). Benutzen Sie bitte stets die PEM-Variante.
Um die Firma StartCOM gab es zuletzt jedoch einigen Wirbel und es ist unklar, ob die StartSSL-Zertifikate in Zukunft noch akzeptiert werden. Wir nutzen zwar selbst noch einige Zertifikate von StartSSL, wir werden diese jedoch mittelfristig durch Let's Encrypt-Zertifikate ersetzen.


[[Kategorie:SSL]]
[[Kategorie:SSL]]

Version vom 9. Oktober 2016, 21:06 Uhr

Um Seiten verschlüsselt übertragen zu können, benötigt man ein TLS-Zertifikat. TLS ist der Nachfolger von SSL. Das Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Sie können bei schokokeks.org entweder ein eigenes Zertifikat eintragen oder ein Zertifikat von Let's Encrypt automatisch erstellen lassen.

Zertifizierungsstellen

Let's Encrypt

Seit 2015 gibt es eine Zertifizierungsstelle, die die kostenlose und automatisierte Ausstellung von Zertifikaten erlaubt: Let's Encrypt.

Als Kunde von schokokeks.org können Sie Zertifikate von Let's Encrypt automatisiert erstellen lassen. Dabei muss lediglich im entsprechenden Webhost "Automatische Zertifikatsverwaltung mit Let's Encrypt" ausgewählt werden.

Aus heutiger Sicht gibt es in aller Regel keinen Grund mehr, auf kostenpflichtige Zertifikate zu setzen.

Extended Validation (EV) und Organization Validation (OV)

Einige Zertifizierungsstellen bieten Zertifikate mit Extended Validation (EV) oder Organization Validation (OV) an. Diese sind deutlich teurer, haben aber keinerlei technische Vorteile. EV-Zertifikate führen dazu, dass ein Firmenname in grün in der URL-Leiste angezeigt wird. Mehr Sicherheit bieten diese Zertifikate jedoch nicht, die Verschlüsselungstechnologie bleibt die selbe.

Wir raten davon ab, überteuerte EV- oder OV-Zertifikate zu kaufen.

CAcert.org

Früher hatten wir die Community-Zertifizierungsstelle CAcert.org unterstütz. Inzwischen raten wir aber ausdrücklich von der Nutzung von CAcert ab, da diese Zertifikate von gängigen Browsern nicht akzeptiert werden. Besucher von Webseiten erhalten daher verwirrende und für sie oft unverständliche Fehlermeldungen.

CAcert war einst ein Versuch, eine kostenlose Zertifizierungsstelle zu schaffen. Allerdings gelang es CAcert nie, von den Browserherstellern akzeptiert zu werden. Ein dafür notwendiger Audit wurde nie durchgeführt. Durch die Gründung von Let's Encrypt ist CAcert weitestgehend obsolet.

StartSSL und WoSign

Die Firma StartCOM bietet mit dem Produkt StartSSL kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.

Um die Firma StartCOM gab es zuletzt jedoch einigen Wirbel und es ist unklar, ob die StartSSL-Zertifikate in Zukunft noch akzeptiert werden. Wir nutzen zwar selbst noch einige Zertifikate von StartSSL, wir werden diese jedoch mittelfristig durch Let's Encrypt-Zertifikate ersetzen.