Empfehlung SSL-Zertifikat

kaktux

New Member
Moin zusammen,

ich habe bei allinkl eine Webseite (+subdomains) gehostet - dort gibt es ein SSL-Wildcard-Zertifikat zu kaufen (Comodo - kostet 359Eur pro jahr).

Jetzt schaue ich gerade nach günstigeren Alternativen - allerdings weiß ich nicht, inwieweit man diese bei allinkl dann auch einbinden kann - ob es möglich ist bzw. falls ja ob es einigermassen unkompliziert möglich ist (ich nutze den premium Webhosting Tarif). Lets encrypt wäre möglich - aber ich bevorzuge ein Organisationsvalidiertes Zertifikat.

Wie würdet ihr das ganze handhaben?
Welche Zertifikate würdet ihr nutzen?
Könnt ihr einen Zertifikateanbieter empfehlen?

bin für jeden Tip dankbar
 

kaktux

New Member
Auch wenn man vielleicht einen webshop plant? für eine statische Seite ok - aber die meisten Shops scheinen weiterhin auf gekaufte Zertifikate zu achten (zumindest die, die ich beispielhaft geprüft habe)
 

marce

Well-Known Member
Was sollte an einem LE-Zert. da nicht ausreichend sein?

Wenn technisch nichts dagegen spricht (sprich die notwendigen Workflows automatisiert abgerarbeitet werden können) ist ein LE-Zert genau so gut wie jedes andere. Eher im Gegenteil - mit denen hatte man im letzten Jahr weniger Streß und neg. Presse zu befürchten als mit einem Zert. der großen Reseller...

... und solange Du nicht einen EV-Zert. zwingend benötigst - gibt's abgesehen von technisch begründeten Notwendigkeiten keinen Grund mehr, dafür Geld auszugeben.
 

kaktux

New Member
ich schließe LE ja nicht aus - frag mich nur, warum so ziemlich jeder große Shop/Marke, der einem so einfällt nicht LE nutzt (Ausnahme die ich gefunden hab: shopify - da wirds für alle genutzt. Bekanntes Beispiel was ich gefunden habe war Lindt).
Mit automatisiert meinst du Erneuerung etc? Ja - das ist bei meinem Hoster automatisiert.

EV Zertifikate sehe ich nicht wirklich den Vorteil gegenüber Organisationsvalidiert. Die grüne Browser Leiste mit der da immer noch geworben wird, wird bei den meisten Browsern ja eh nicht mehr angezeigt.
Aber mich wundert schon ein bisschen, das (bis auf wie gesagt Lindt) jede größere Marke mit Shop, die ich angeschaut habe kein LE nutzt.
 

marce

Well-Known Member
"das haben wir schon immer so gemacht", "was nix kostet, taugt auch nichts", ...

Dadurch, daß die "richtigen" :) Zertifikate nun aber auch noch für nur 1 Jahr ausgestellt werden geht der (einzige) Vorteil der langen Laufzeit auch immer mehr zurück. Und da das automatische Verlängern von LE i.a. völlig problemlos ist - wird die Verbreitung und Nutzung davon immer mehr zunehmen.

In großen Konzernen sieht's da ggf. aber immer noch ein wenig anders aus, da die gerne mal auch für intern komplexere Strukturen am laufen haben und sich durch den Kauf eines Wildcard-Zerts. da intern viel Aufwand sparen können (weil eben nicht jede Software, Appliance, ... mit LE kann)
... dann weiß man das aber auch und kann das entsprechend begründen und müsste die Frage hier gar nicht stellen.
 

Joe User

Zentrum der Macht
LE bietet keinen Support, keine Garantien, kein Irgendwas, nur das reine Zertifikat.
Soetwas ist in vielen Unternehmen (zu Recht) ein absolutes No-Go...
 

marce

Well-Known Member
LE bietet keinen Support, keine Garantien, kein Irgendwas, nur das reine Zertifikat.
Soetwas ist in vielen Unternehmen (zu Recht) ein absolutes No-Go...
Der Support der "echten Anbieter" ist aber mehr oder weniger für den A*

... und Garantien, die wirklich was wert sind bekommst Du dort auch nicht.
 

Joe User

Zentrum der Macht
Selbst schlechter Support und unwertvolle Garantien sind erheblich mehr als Nix.
Reguläre (Dienstleistungs-)Verträge kann man anfechten und/oder durchsetzen und/oder finanziell ausgleichen (Regress), bei LE geht all das nicht.


kaktux: Du oder die im Unternehmen dafür zuständige Person muss sich halt die Vertragsbedingungen der jeweiligen Anbieter genau ansehen und dann den Best-Fit auswählen. Der Best-Fit kann ja durchaus LE sein, auch wenn ich das stark bezweifle...
Da ich/wir nicht wissen können und auch nicht wissen wollen und auf Grund von Geschäftgeheimnissen auch nicht wissen dürfen, welche nicht-technischen Anforderungen das Unternehmen an den Zertifikatsanbieter stellt, werde ich keine derartige Empfehlung aussprechen.
 

marce

Well-Known Member
Selbst schlechter Support und unwertvolle Garantien sind erheblich mehr als Nix.
Reguläre (Dienstleistungs-)Verträge kann man anfechten und/oder durchsetzen und/oder finanziell ausgleichen (Regress), bei LE geht all das nicht.
Tja, wo man nichts dafür bezahlt hat ist natürlich Regress schwer zu machen.

... aber wer für's gute Gefühl viel Geld ausgeben will darf das gerne machen.

Bei den klassischen Anbietern - und ich habe leider Kontakt mit ein paar davon - ist leider die Kommunikation meist um Klassen schlechter als bei LE. So Späße wie "leider sind unsere intermediates seit Freitag leider spontan ungültig, bitte aktualisieren" sind da leider nicht unüblich. Daß man das GsD immer noch frühzeitig uns anderen Quellen erfahren hat lindert das Problem nur minimal.

... und Service heißt heute eigentlich nur noch "Problem mit Zert -> wir stellen halt ein neues aus. Mit an das alte angepasster Laufzeit" - nichts, was sich bei LE sogar ohne aufwändiges Tickets erstellen oder sonstiges Support-Gedöhns erledigen lässt.

... bis auf EV läuft im Hintergrund eh alles automatisiert - da gibt's keinen Grund, Geld dafür zu bezahlen, nur daß da ein anderer Name draufsteht von einer Firma, die sich bzgl. Sicherheit und Konsorten in letzter Zeit mehr oder weniger vertrauenswürdig erwiesen hat. Und das kann man heute fast pauschal über alle komerziellen Anbieter sagen.
 
Technisch gesehen sind alle 3 Typen (Extended Validation (EV SSL), Organization Validated (OV SSL) und Domain Validated (DV SSL)) haargenau gleich gut.

Aber die Eingangsfrage war ja, ob man für einen Shop ein OV-Zertifikat nehmen soll. Da steht dann halt noch der Firmenname im Zertifikat mit drin. Kann man machen, machen auch viele. Falsch ist es sicher nicht, es kostet halt etwas Geld.

Let's encrypt gibt nur DV-Zertifikate aus. Da steht dann halt nur der Domain und nicht der Firmenname drin. Technisch gesehen ist es genau so sicher.

Letztendlich ist das wohl eher eine Geschmacksfrage und eine Frage des Geldbeutels. Dass Otto Versand ein OV Zertifikat nimmt ist doch klar, ebenso wie, dass der Shop des örtlichen Anglervereins dies eben nicht tut.

Das einzige fragwürdige ist manchmal, warum jemand ein DV-Zertifikat kauft, wenn es das gleiche bei Let's encrypt gratis gibt.
 
Top