Ein Zertifikate für alle Dienste?

J

jochen35

New Member
Hallo,

ich würde gern mal Eure Meinung zu Verwendung von Zertifikaten auf Web- und Mailservern hören.

Für eine kleine geschlossene Nutzergruppe will ich im Internet einen Web- und Mailserver bereitstellen, dessen Dienste ausschließlich über SSL/TLS-Verbindungen erreichbar sind. Aus Kostengründen will ich dafür nur ein selbstsigniertes Zertifikat einsetzen. Nun bin ich mir aber unschlüssig, ob ich für jeden Dienst (https, imaps, smtps etc.) ein eigenes Zertifikat erstellen soll, oder ob es besser ist, für alle Dienste das gleiche Zertifikat zu verwenden.

Was meint Ihr?

Gruß
Jochen
 
Wenn es eh selbst signiert ist und nur für eine geschlossene Nutzergruppe würde ich da nicht lange fackeln und ein wildcard-Zertifikat für die Domain nutzen und bei den Diensten hinterlegen. Sollte das ablaufen bzw mal aus sicherheitsgründen getauscht werden müssen so muss man nur das eine Zertifikat ersetzen. Ich denke der Aufwand hält sich dann in Grenzen.

Grüße
 
Eine Alternative wären noch Zertifikate von Startssl
kosten nichts und du kannst dir für jeden Dienst eins machen.
Hat den Vorteil dass die Zertifikate bei den gängigen Clients ohne Meldung akzeptiert werden
 
Selbst bei einem StartSSL-Zertifikat würde ich sehen, daß es möglichst wenige sind, denn die Zertifikate müssen ja jedes Jahr erneuert werden. So bietet es sich beispielsweise an, für SMTP, POP3 und IMAP einfach die Subdomain mail zu verwenden und ein entsprechendes Zertifikat, welches alle drei Dienste nutzen.
 
@danton So mache ich das auch. StartSSL hat den Vorteil, es wird von den meisten Clients anerkannt. Selbst signiert hat den Vorteil das du flexibel bist. ( Wildcard, Laufzeit ....) Nachteil ist halt das es von den Clients nicht anerkannt wird ( Ausnahme bestätigen oder CA importieren)
 
Ein Wildcardzertifikat (Class 2) von StartSSL kostet grade mal 30$ / Jahr ( https://www.startssl.com/ ). Da kann man dann beliebig viele Subdomains absichern UND das Zertifikat wird in Browsern und Programmen akzeptiert. Nicht schlecht, würde ich meinen. Und im Vergleich zu anderen Wildcard Zertifikaten kostets grade mal 1/10.
 
007sascha said:
Das Wildcardzertifikat bezieht sich bei StartSSL auch nur auf eine Domain, oder nicht?
Click to expand...

Ja, nichts anderes habe ich behauptet. Und das würde für den vorliegenden Fall ja auch mehr als ausreichen.

Nur mal als Vergleich: Ein Wildcardzertifikat für eine Domain (und beliebig viele Subdomains) bei Comodo kostet 335€ PRO JAHR ( http://ssl.comodo.com/wildcard-ssl-certificates.php ). Man vergleiche also 670€ für 2 Jahre mit 44€ für 2 Jahre bei StartSSL. Das ist schon ein beträchtlicher Unterschied...
 
Hi,

GwenDragon said:
Ja, Domain und Subdomains; es ist kein Multidomain-Zertifikat.
Click to expand...

mit einer Class 2 Verifizierung kann man bei StartSSL auch mehrere Subject-Alternative-Names in einem Zertifikat haben:

Code: 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 135471 (0x2112f)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 2 Primary Intermediate Server CA
        Validity
            Not Before: Apr  9 13:08:04 2014 GMT
            Not After : Apr  9 18:52:26 2016 GMT
        Subject: description=lLvtsDh6f2E8sSv4, C=DE, ST=Bayern, L=Garching, O=Marcel Noe, CN=*.essential-operations.com/emailAddress=marcel@marcel-noe.de
            X509v3 Subject Alternative Name:
                DNS:*.essential-operations.com, DNS:essential-operations.com, DNS:marcel-noe.de, DNS:*.marcel-noe.de, DNS:noetech.net, DNS:*.marcel-noe.de, DNS:*.noetech.net
 
Ah, feine Sache! Ist mir noch gar nicht so aufgefallen...

Dann ist das Ding ja noch preisgünstiger. Brauch ich dann wohl mal für meine Domains.

Willst Du wirklich so viele private Infos hier posten?
 
Du brauchst doch nur auf seine Seite zu gehen und kannst dir das Zertifikat da ansehen, dann hast du die Infos auch alle - und der Link zur Seite steht ohnehin in der Signatur...
 
Hi,

Thunderbyte said:
Ah, feine Sache! Ist mir noch gar nicht so aufgefallen...

Dann ist das Ding ja noch preisgünstiger. Brauch ich dann wohl mal für meine Domains.
Click to expand...

Na ja, das ist relativ egal. Die Validierung ist für ein Jahr gültig und Du kannst so viele Zertifikate ausstellen, wie Du möchtest. Allerdings hat die Sache 2 Haken:

a) Revoken kostet Geld. Und erst recht, wenn man viele Zertifikate revoken muss (wie zuletzt nach Heartbleed)
b) Zertifikate für Domains, für Domains, zu denen es schon Zertifikate gibt, können nicht erneut ausgestellt werden. Das ist etwas lästig, vor allem wenn man ältere Browser als Client hat, die kein SNI können.

Ansonsten aber eine feine Sache, für ca. 50 Euro eine Zertifikats-flatrate.

Thunderbyte said:
Willst Du wirklich so viele private Infos hier posten?
Click to expand...

Na ja, mein Nickname alleine ist schon so eindeutig, dass Du den einfach googeln kannst. Und die Informationen stehen auch im Impressum und Whois meiner Domains... Das ist wohl das allgemeine Lebensrisiko, wenn man Dienste im Internet anbietet. :-)

Viele Grüße,

Marcel
 
Ich hab dafür eine eigene CA erstellt, mit der ich Zertifikate für meine Dienste ausstelle. Die CA binden die Personen eben ein, die diese Dienste verwenden möchten und sie bekommen bei keiner meiner selbstsignierten Zertifikate mehr irgend einen blöden Fehler.
 
Das mag in geschlossenen und übersichtlichen Nutzergruppen funktionieren. Um Websites öffentlich auf HTTPS (only) laufen zu lassen (wie Google das mittlerweile wohl favorisiert), taugt das aber nicht.
 
BTW: Die CA2 Wildcard Zertifikate von STARTSSL sind auch gleich für 2 Jahre ausgestellt.... (auch die Multidomainfähigen)
 
You must log in or register to reply here.
Back
Top