Server Support Forum
SSL Zertifikat Reseller

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Bewertung: Bewertung: 2 Stimmen, 1,00 durchschnittlich.
  #31  
Alt 07.02.2016, 17:48
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Wie Zuverlässig sind denn die Zertifikate von Letsencrypt zur Zeit?
Die CA ist cross-signed, will heissen auf absehbare Zeit ist eine in allen üblichen Browser hinterlegte CA als Root miteingetragen so dass die Zertifikate auch auf älteren System funktionieren.

Zitat:
Ansonsten werden von Letsencrypt Domains und keine Personen validiert, von daher lauten die Zertifikate lediglich auf den Domainnamen und es sind keine weiteren Informationen angegeben
Die überwiegende Mehrheit der am Markt üblichen Zertifikate sind domainvalidiert (DV), wie bspw RapidSSL, InstantSSL, PositiveSSL oder auch Startssl Class1.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten

  #32  
Alt 08.02.2016, 10:11
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Okay, ich schaue mir das von Letsencrypt einfach mal an. Wichtig ist eigentlich, dass ich alles über einen Account regeln kann. Ich weiß, dass ich bei Startssl mehrere Accounts bräuchte. Da wollte ich nämlich mal ein DV Zertifikat für die Firma erstellen und bekam die Info das die Domain der Firma aber nicht zu meinen Daten vom Account gehören. Das Ergebnis war, dass das Zertifikat dann abgelehnt wurde.

Von daher ist es mir halt wichtig gewesen, wenn ich mich halt als "Bob Müller" dort registriere, dass das Zertifikat dann nicht für "Bob Müller" sondern für den Domaininhaber ausgestellt wird

Aber selbst die Preise für die Zertifikate von gogetssl.com sind schon sehr gut. Da kann man nicht meckern und wer einen Shop betreibt kann auch dort (bei dem Preis) bedenkenlos ein Zertifikat ordern.

Gruß, Domi

Nachtrag: Kleine Frage so nebenbei.. Ist die hier beschriebene Anleitung alles was man tun muss? Wenn ich das hier richtig lese, kann man die Zertifikate sogar automatisch erneuern lassen. Ich überlege sogar gerade das Zertifikat der Firma mal neu zu machen
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial

Geändert von Domi (08.02.2016 um 10:41 Uhr)
Mit Zitat antworten
  #33  
Alt 08.02.2016, 11:14
Orebor Orebor ist offline
Registered User
 
Registriert seit: 12.2014
Ort: Der Süden Deutschlands
Beiträge: 428
Zitat:
Zitat von d4f Beitrag anzeigen
Die überwiegende Mehrheit der am Markt üblichen Zertifikate sind domainvalidiert (DV), wie bspw RapidSSL, InstantSSL, PositiveSSL oder auch Startssl Class1.
Das ist mir bewusst. Die Frage lautete allerdings, welche Daten in den Letsencrypt Zertifikaten hinterlegt werden und deshalb verwies ich darauf, dass es sich um eine Domain Validierung handelt.
Mit Zitat antworten
  #34  
Alt 08.02.2016, 11:42
Benutzerbild von Thunderbyte
Thunderbyte Thunderbyte ist offline
Moderator
 
Registriert seit: 01.2006
Alter: 42
Beiträge: 6.499
Zitat:
Zitat von Domi Beitrag anzeigen
Wenn ich das hier richtig lese, kann man die Zertifikate sogar automatisch erneuern lassen. Ich überlege sogar gerade das Zertifikat der Firma mal neu zu machen
Ja, man MUSS eigentlich sogar das automatische Erneuern konfigurieren, denn die Zertifikate sind nur 90 Tage gültig und man müsste dann alle 3 Monate neue Zertifikate manuell einspielen, was doch etwas nerven könnte...
__________________

...Der Werdegang eines Rootserveradmins...
Mit Zitat antworten
  #35  
Alt 08.02.2016, 12:06
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Okay, dass ist gut zu wissen... Dann muss ich mal schauen wie ich das am besten via Crontab baue, denn die Variante mit dem erstellen der Certfiles fand ich schöner als das automatische einbinden der Zertifikate in den Apache

Aber nur noch mal für doofe wie mich zum Verständnis, wenn ich jetzt über das Script ein Zertifikat von Letsencrypt erstelle, wird als Inhaber des Zertifikates der Admin-C oder Domaininhaber vom Whois verwendet, ist das richtig? Dann muss ich ja nur gucken, das bei INWX von mir der korrekte Inhaber hinterlegt wurde

Gruß, Domi

Nachtrag: Macht es für den Laien / Enduser eigentlich einen großen Unterschied ob DV, Personal / Business Zertifikat? Das einzige was doch wirklich heraus sticht ist das EV Zertifikat. Und, mein Englisch ist jetzt nicht das beste, aber die Prozedur für ein EV Zertifikat ist schon eine Hausnummer.
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial

Geändert von Domi (08.02.2016 um 13:48 Uhr)
Mit Zitat antworten
  #36  
Alt 08.02.2016, 16:16
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Aber nur noch mal für doofe wie mich zum Verständnis, wenn ich jetzt über das Script ein Zertifikat von Letsencrypt erstelle, wird als Inhaber des Zertifikates der Admin-C oder Domaininhaber vom Whois verwendet, ist das richtig?
Nein! Die Zertifikate von LetsEncrypt sind genau wie alle anderen billigen und kostenfreie Zertifikate DV. DV (Domain-validated) bedeutet dass nur der Domainname kontrolliert wurde, es ist also im Zertifikat schlicht gar kein Inhaber eingetragen.

In den wenigsten Fällen ist ein höher-validiertes Zertifikat wirklich sinnvoll. Zum einen wird kaum ein Benutzer die Zertifikatdetails ansehen wollen (oder können) und zum anderen bringt es generell für dich als Betreiber keine weitere Absicherung. Zertifikate im HTTPS gelten ausschließlich der Verschlüsslung, und das tut ein teures Zertifikat genau so gut wie ein kostenfreies.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #37  
Alt 08.02.2016, 16:36
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Ganz ehrlich, gut dass du das gesagt hast.. Ich selbst gucke auch nicht wirklich in jedes Zertifikat, ob es mit dem Whois oder dem Impressum zusammen passt

Ich rate dann mal so ins blaue.. Die ganz normalen DV Zertifikate reichen zu 98% aus, im Vergleich zu den Person oder Business Zertifikaten. Einzig das EV hebt sich halt wirklich hervor und macht Sinn

Ich denke mal, damit habe ich alles was ich brauche. Letsencrypt auf dem Server einrichten, Zertifikate erstellen, fertig ist der Spaß. Dann muss ich mir den Automatismus noch schön machen und ich könnte das Zertifikat auch für Postfix / Dovecot verwenden

Gruß, Domi

p.s. Könnte man eigentlich auch mehrere Zertifikate für Domains in ein Cert File für Postfix und Dovecot tun? Fällt mir jetzt gerade so ein.. Es geht darum, dann könnte ich anschließend für jeden auch ein mail.domain.tld Zertifikat anlegen und das bei Postfix hinterlegen. Dann währen halt mehrere Zertifikate in einem File.. hoffe ich hab das richtig und verständlich beschrieben
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #38  
Alt 08.02.2016, 18:31
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Könnte man eigentlich auch mehrere Zertifikate für Domains in ein Cert File für Postfix und Dovecot tun? Fällt mir jetzt gerade so ein.. Es geht darum, dann könnte ich anschließend für jeden auch ein mail.domain.tld Zertifikat anlegen und das bei Postfix hinterlegen.
Leider, leider, leider nein. Die einzige Lösung ist ein SAN (Multidomain) Zertifikat. In diese lassen sich bei der Erstellung eine maximale Anzahl X von Domains eintragen welche dann für Verbindungen gültig sind. Es ist also nur für statische Umgebungen mit einer festen und übersichtlichen Anzahl an Domains sinnvoll, bspw Enterprise-Umgebungen.
Günstigster Anbieter von solchen Zertifikaten ist übrigens (wieder mal) StartSSL.Auch hier gilt aber dass du dann Besitzer aller Domains sein musst, man kann/darf also nicht bspw Kundendomains mit listen.

Zitat:
Ich rate dann mal so ins blaue.. Die ganz normalen DV Zertifikate reichen zu 98% aus, im Vergleich zu den Person oder Business Zertifikaten.
Genau
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #39  
Alt 08.02.2016, 19:10
remote_mind remote_mind ist offline
Registered User
 
Registriert seit: 01.2012
Beiträge: 298
remote_mind eine Nachricht über ICQ schicken SSL Zertifikat Reseller
Zitat:
Zitat von d4f Beitrag anzeigen
Günstigster Anbieter von solchen Zertifikaten ist übrigens (wieder mal) StartSSL.Auch hier gilt aber dass du dann Besitzer aller Domains sein musst, man kann/darf also nicht bspw Kundendomains mit listen.
Wenn Du mit 'solchen Zertifikaten' die Multidomain-Zertifikate meinst - die kann man auch mit LetsEncrypt erzeugen. Das aktuelle Limit liegt bei 100 Domainnamen pro Zertifikat.

Je nach Setup muss man dafür allerdings ggf. den manual mode verwenden.
__________________
remote_minds IT - Nils Jürgens || Emsstraße 34 || 48431 Rheine
Email: nj@remoteminds.it || Tel: 05971 9600760 || Fax: 05971 9600759
USt-IdNr.: DE279523599
Mit Zitat antworten
  #40  
Alt 08.02.2016, 19:33
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Hmm interessant, das hatte ich wohl übersehen
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #41  
Alt 09.02.2016, 08:51
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Moin moin... Ja, dass StartSSL so etwas anbietet wusste ich. Ich habe für mein Gewerbe dort einen Account mit bezahlter Personen Identifizierung und aufgrund dieser Grundlage habe ich mir dann ein Wildcard + SAN Zertifikat erstellt
- domain1.tld
- *.domain1.tld
- domain2.tld
- *.domain2.tld
- ...

So ist das ISP-Config von meinen Servern mit einem schönen Zertifikat abgesichert und Dovecot / Postfix arbeiten auch mit diesem Zertifikat. Wenn jetzt ein neuer Kunde auf meinen Server kommt, kann er seine eigene mail.domain.tld verwenden, oder er benutzt meine srv01.domain.tld wo der E-Mail Client dann nicht wegen dem Zertifikat meckert.

Keine Ahnung ob das eine gute Idee / Löstung ist (oder war), aber so funktioniert es und alle scheinen bis jetzt glücklich zu sein

Was die Zertifikate von LetsEncrypt angeht, ich probiere einfach mal die wichtigsten Domains unserer Firma (sind 5 - 8) mit und ohne WWW Subdomain abzudecken und schaue mal was das System von denen sagt... also ob es da Probleme gibt

Gruß, Domi

Nachtrag: Okay, hat soweit schon mal geklappt und selbst Chrome findet das SSL Zertifikat besser als das was ich schon mal erstellt hatte Mit folgendem Parameter ging das sehr einfach..
Code:
./letsencrypt-auto certonly --rsa-key-size 4096 -d domain1.tld
Vorher einmal den Apache stoppen und dann lief alles wie von selbst. Ich habe dann alle Domains in das Zertifikat gehauen die ich wollte. Was ich in der Doku nicht gefunden habe, kann ich noch mehr Domains in das Zertifikat stopfen?
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial

Geändert von Domi (09.02.2016 um 13:08 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ssl, ssl zertifikat


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
SSL Zertifikat Reseller Milchbroetchen Smalltalk 6 03.03.2014 16:27
Zertifikat Domain und nicht das Standart Zertifikat patrickf Plesk 0 18.11.2009 16:57
Zertifikat von thawte installieren. Was ist das CA-Zertifikat? imehl Plesk 3 19.02.2009 21:25
DNS Server für Reseller Reen DNS 2 05.12.2006 22:17
Netdirekt Reseller C93 Hosting & Provider 3 28.06.2005 21:49


SSL Zertifikat Reseller
SSL Zertifikat Reseller
SSL Zertifikat Reseller SSL Zertifikat Reseller
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.