Server Support Forum
Frage zu SSL Zertifikat

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 29.09.2015, 10:56
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Frage zu SSL Zertifikat

Hallo Leute, ich habe mal eine kleine Frage an Euch...
Auf unserer Firmeninternetseite markiert der Google Chrome das Schloss (welches auf eine SSL geschützte Seite hinweist) mit einem gelben Ausrufezeichen. Dabei wird erwähnt das unsere Seite eine Schwache Konfiguration (SHA-1) verwendet.

In den nächsten Tagen ist ein Teamgespräch und ich möchte dann gerne ein GeoTrust True BusinessID SAN EV Zertifikat besorgen. Für den Fall das Chef dieses Vorhaben allerdings abwinkt, wüsste ich gerne ob mir jemand sagen kann was ich in der Apache Config oder beim SSL Zertifikat übersehen haben könnte bezüglich dieser Meldung

Vielleicht kann mir da jemand etwas zu sagen.
Gruß, Domi

p.s. Das erwähnte GeoTrust True BusinessID SAN EV ist doch wegen seiner SAN Fähigkeit für mehrere (laut Beschreibung bis zu 25) Domains gültig, oder?
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten

  #2  
Alt 29.09.2015, 11:13
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.003
Mit der Apache-Konfig hat das nichts zu tun, wenn ein Zertifikat vom Aussteller mit SHA1 signiert ist.
Die aktuellen Zertifikate der Anbieter sind mit SHA256 von den Ausstellern signiert.
Zudem ist das von dir ausgesuchte auch ein Extended Validation Certificate.
Das ergibt dann ein grünes Schloss.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #3  
Alt 29.09.2015, 11:13
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Auf unserer Firmeninternetseite markiert der Google Chrome das Schloss (welches auf eine SSL geschützte Seite hinweist) mit einem gelben Ausrufezeiche
Eure Seite verwendet ein Zertifikat von Startcom welche bereits seit Jahren SHA2-Zertifkate unterstützen und auch empfehlen. Google hat auch schon länger darauf hingewiesen dass SHA1 deprecated wird. Hier handelt es sich also ausschliesslich um einen Konfigurationsfehler auf Seite der zuständigen Person bei euch. Entweder im Interface oder per CSR wurde halt SHA1 ausgewählt. Allerdings ist das bei Weitem nicht das einzige Problem an eurer SSL-Konfiguration, bitte unbedingt die Kritikpunkte auf folgender Seite abarbeiten: https://www.ssllabs.com/ssltest/anal...cure-travel.de

Zitat:
In den nächsten Tagen ist ein Teamgespräch und ich möchte dann gerne ein GeoTrust True BusinessID SAN EV Zertifikat besorgen.
Der grüne Balken eines EV Zertifikates kann eventuell vorteilhaft sein, ansonsten bringt dir das rund 2.5x teurere Zertifikat verglichen mit einer Startcom-Mitgliedschaft keine direkten Vorteile.

Zitat:
p.s. Das erwähnte GeoTrust True BusinessID SAN EV ist doch wegen seiner SAN Fähigkeit für mehrere (laut Beschreibung bis zu 25) Domains gültig, oder?
Genau. SAN ist allerdings nicht Wildcard (alle Subdomains) wie das aktuelle Zertifikat welche alle Subdomains der folgenden Domains abdeckt:
*.i-m-h.de *.i-m-h.net *.reiseschutz-plus.com *.secure-travel.de
Je nachdem ob das benötigt wird brauchst du also weiterhin noch zusätzlich ein non-ev Wildcard-Zertifikat.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #4  
Alt 29.09.2015, 11:25
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Ah.. Verdammt.. dann habe ich den Fehler gemacht, als ich das Zertifikat erstellt habe

Was die Wildcard Geschichte angeht, es muss ja nicht zwingend eine Wildcard sein. Wenn ich z.B. mail.i-m-h.de (für Mails) und dann mit und ohne WWW für secure-travel.de oder Reiseschutz Plus verwenden kann, sollte das schon ausreichen.

Das aktuelle Zertifikat habe ich (auch wenn man es nicht macht) über meinen persönlichen Account bei Startcom erstellt, darum ist auch mein Name darin. Wenn ich nun ein EV Zertifikat (wegen dem grünen Balken) bei Startcom erstellen lassen will, würde ich einen separaten Account dafür erstellen damit das getrennt ist.

Zitat:
Zitat von d4f Beitrag anzeigen
Der grüne Balken eines EV Zertifikates kann eventuell vorteilhaft sein, ansonsten bringt dir das rund 2.5x teurere Zertifikat verglichen mit einer Startcom-Mitgliedschaft keine direkten Vorteile.
Verstehe ich dich denn richtig das es keinen Unterschied macht ob ich das EV Zertifikat von gogetssl.com oder von Startcom erstellen lasse, außer dass das von Startcom um einiges günstiger ist?!

Gruß, Domi

Nachtrag: @GwenDragon, dein Post ist eben untergegangen.. Ja, dass EV Zertifikat mit dem grünen Schloss möchte ich schon ganz gerne auf unserer Seite haben. Und zum Zertifikat selbst.. wie in meinem Text erwähnt, dass habe ich wohl verschlampt.
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial

Geändert von Domi (29.09.2015 um 11:30 Uhr)
Mit Zitat antworten
  #5  
Alt 29.09.2015, 11:32
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Was die Wildcard Geschichte angeht, es muss ja nicht zwingend eine Wildcard sein. Wenn ich z.B. mail.i-m-h.de (für Mails) und dann mit und ohne WWW für secure-travel.de oder Reiseschutz Plus verwenden kann, sollte das schon ausreichen.
Das hängt von den Anforderungen ab

Zitat:
Ah.. Verdammt.. dann habe ich den Fehler gemacht, als ich das Zertifikat erstellt habe
Im Bedarfsfall: pro Validierungsperiode kann / konnte man bei Startssl 1 Zertifikat revoken lassen und danach neu ausstellen.

Zitat:
Verstehe ich dich denn richtig das es keinen Unterschied macht ob ich das EV Zertifikat von gogetssl.com oder von Startcom erstellen lasse
Ja und nein. Zum einen ist gogetssl keine Zertifierungsstelle sondern ein Reseller. Das ist insoweit relevant als dass zumal bei "grüner Balken" der Name einiger Stellen für technisch versierte Anwender deutlich vertrauenswürdiger ist als andere, du also hier noch wählen darfst und musst welche CA du überhaupt nimmst und leisten willst. Vorteil von Startssl ist allerdings dass du binnen dem Jahr Zertifierung weitere EV für "nur" 49$ generieren kannst.
Die Zertifierungsprozedur ist allerdings mit 59.90 + 140 USD pro Jahr nicht unbedingt günstig. Details: https://www.startssl.com/?app=40
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #6  
Alt 29.09.2015, 11:46
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Also die Anforderungen der Kollegen sind gar nicht so enorm hoch. Ich war halt nur derjenige der solch ein Zertifikat erstellt hat (SAN + Wildcard) um auf dem Server nur ein Zertifikat hinterlegen zu müssen

Die Funktion für einen Zertifikat revoke hatte ich schon mal gefunden, ich schaue mir das dann mal genauer an aber das sollte kein Problem und machbar sein

Was diese Gebühren in Höhe von $59,90 die man bei Startssl bezahlt ist ja die kleine die man sowieso braucht. Zumindest hab ich das ja bezahlt um meine Person zu identifizieren. Dafür hatten sie mich ja auch angerufen und kurz mit mir telefoniert Das gogetssl ein Reseller ist, ist mir kurz nach dem Post auch wieder eingefallen... ich hatte die URL als Lesezeichen hinterlegt und mir ist dann eingefallen das ich ja mal nach Reseller geschaut hatte.

Zitat:
der Name einiger Stellen für technisch versierte Anwender deutlich vertrauenswürdiger ist als andere, du also hier noch wählen darfst und musst welche CA du überhaupt nimmst und leisten willst.
Ich hoffe den Satz verstehe ich richtig... da die EV Zertifikate vertrauenswürdiger sind, wollte ich dieses haben. Wenn ich auf der Seite der Sparkasse gucke, gibt es einem ein besseres / sicheres Gefühl Wo ich allerdings harke ist der Teil mit dem "wählen" des CA, wie ist das genau gemeint? Da stehe ich blöderweise gerade auf dem Schlauch

Gruß, Domi
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #7  
Alt 29.09.2015, 11:47
Orebor Orebor ist offline
Registered User
 
Registriert seit: 12.2014
Ort: Der Süden Deutschlands
Beiträge: 428
Wenn ich einen Tipp zu StartSSL geben darf:
Revoken ist nicht notwendig.
Es reicht, wenn das neue Zertifikat auf andere Subdomains lautet, was bei Wildcard Certs sowieso irrelevant ist.

Beispiel:
es wurde aus Versehen *.example.com SHA1 erzeugt.
Eigentlich benötigt man aber SHA2.

Jetzt reicht es aus, wenn man ein neues Zertifikat erzeugt mit (z.B.) test.example.com und *.example.com

Den Tipp hatte ich aus dem StartSSL Forum und ihn auch schon mal genutzt.
Mit Zitat antworten
  #8  
Alt 29.09.2015, 11:55
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Ach stimmt, ganz vergessen. Da kann ich Orebor nur zustimmen dass es funktioniert. Wurde mir mal so sogar vom StartSSL CEO vorgeschlagen als ich ein Zertifikat wegen Fehler revoken lassen wollte.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #9  
Alt 29.09.2015, 12:02
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Okay, dass wäre auch eine Variante... Ich glaube vor ein paar Jahren hatte ich das auch mal für eine von meinen privaten Domains so gemacht.

Da ich die Grundbausteine über ein Linuxsystem erstelle, brauche ich doch nur ein neue CA erstellen und dann einen Key mit dem Parameter '-sha256' erstellen, oder irre ich mich da gerade? Die nächste Frage wäre dann noch, kann man noch eine Nummer sicherer gehen bei Zertifikaten für Webseiten, oder ist der SHA-256 da die bessere Wahl?!

Wenn ich mich jetzt nicht irre, kennt SQL oder PHP auch SHA-512 Ist aber die Frage ob das Sinn macht oder eben nicht und ob es funktioniert

Gruß, Domi
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #10  
Alt 29.09.2015, 12:17
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 3.003
Aktuelle SSL-Zertifikate sollten nicht mehr mit SHA-1 sondern mit einem aus der Familie SHA-2 signiert werden. Mit SHA256 passt das.

Wie du das einstellen musst, hängt von deinem Programm, welches die Zertifikatsanforderung erzeugt, ab.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #11  
Alt 29.09.2015, 13:50
Benutzerbild von MadMakz
MadMakz MadMakz ist offline
Registered User
 
Registriert seit: 03.2013
Alter: 32
Beiträge: 665
Der vollständigkeit halber; auch nicht vergessen das SHA2 intermediate zu benützen (Chrome mäckert nämlich auch wenn nicht die komplette chain SHA2 ist).

https://knowledge.geotrust.com/suppo...nt&id=INFO1421
Mit Zitat antworten
  #12  
Alt 29.09.2015, 14:33
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.324
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
SHA1 kann man übrigens im Schnelltest ohne die ganze Prozedur von SSLLabs ab zu warten auf folgender Seite testen:
http://shaaaaaaaaaaaaa.com
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #13  
Alt 29.09.2015, 16:06
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Hallöchen, leider komme ich jetzt erst dazu, einiges zu erzählen. Also mein CA und die KEY Files habe ich unter Linux immer ganz einfach mit 'openssl' erstellt.

Ich glaube unter Windows gibt es da auch etwas, aber da hab ich keine Ahnung wie das funktioniert, daher bevorzuge ich die Variante über Linux.. das kann ich wenigstens und da ich solche Systeme administriere, geht das für mich einfacher als wenn ich einem der Windows Clients so etwas beibringen muss

Aber bevor ich die neuen SSL Zertifikate erstelle, werde ich wohl erst einmal bei Startssl die Identifizierung als Firma durchführen um das EV Zertifikat erstellen zu können... dann hätte ich gleich ein neues SHA2 Zertifikat mit der erweiterten Validierung

Gruß, Domi
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #14  
Alt 15.10.2015, 13:01
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 34
Beiträge: 785
Hallo Leute, ich habe mal eine kleine Frage zum erstellen des neuen Zertifikates... Reichen folgende Parameter für ein neues und sicheres Zertifikat aus?
Code:
openssl req -nodes -newkey rsa:4096 -sha256 -keyout domain.key -out domain.csr
Ich denke mal 4096bit dürfte mehr als ausreichend sein Und durch den sha256 sollte es auch passen... oder geht noch eine Nummer sicherer die auch auf allen Browser kompatibel ist?!

Gruß, Domi
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #15  
Alt 15.10.2015, 14:59
Benutzerbild von Joe User
Joe User Joe User ist offline
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 39
Beiträge: 3.930
So wäre es heutzutage richtig:
Code:
### Zufälliges, sicheres Passwort für das Zertifikat
### erzeugen und zur späteren (automatisierten)
### Verwendung in der .pwd speichern.
openssl rand -hex 16 | \
    openssl passwd -1 -stdin | \
    tr -cd '[[:alnum:]]' | \
    sed -e 's/^1//' \
    > private/srv.example.org.pwd

### Privaten Schlüssel (RSA mit 4096 Bit Länge
### und AES256 verschlüsselt) zum Signieren
### des Zertifikats erzeugen.
openssl genpkey \
    -aes-256-cbc \
    -algorithm RSA \
    -pkeyopt 'rsa_keygen_bits:4096' \
    -out private/srv.example.org.key.enc \
    -pass file:private/srv.example.org.pwd

### Zertifikatsanforderung erzeugen und
### mit dem privaten Schlüssel signieren.
openssl req \
    -new \
    -sha256 \
    -out certs/srv.example.org.csr \
    -key private/srv.example.org.key.enc \
    -passin file:private/srv.example.org.pwd

### Eine passwortlose Kopie des privaten Schlüssels anlegen,
### wie sie zum problemlosen Starten von Diensten wie
### Webserver, Mailserver, etc benötigt wird.
openssl pkey \
    -in private/srv.example.org.key.enc \
    -out private/srv.example.org.key \
    -passin file:private/srv.example.org.pwd
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityFreeBSD Remote InstallationFreeBSD WebHosting System

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ssl, zertifikat


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
SSL Zertifikat - Allgemeine Frage zur Installation Vr3lWp9z Security 3 02.09.2010 09:02
Zertifikat Domain und nicht das Standart Zertifikat patrickf Plesk 0 18.11.2009 16:57
SSL Zertifikat Frage jimmyone Security 1 27.04.2009 00:25
Zertifikat von thawte installieren. Was ist das CA-Zertifikat? imehl Plesk 3 19.02.2009 21:25
Frage: Strato SSL123 Zertifikat Nobby Smalltalk 1 17.02.2009 07:14


Frage zu SSL Zertifikat
Frage zu SSL Zertifikat
Frage zu SSL Zertifikat Frage zu SSL Zertifikat
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.