• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Frage zu SSL

Azurel

Member
Ich habe einen kleinen Root Server mit einer handvoll eigener Domains (und einer handvoll noch inaktiver Domains, max 10 Domains), welche meist noch Subdomains mittels
Code:
ServerAlias *.example.com
in der domain.conf haben.

Ich möchte jetzt gern ein einfaches SSL Zertifikat einspielen, mit grünen Schloss, ohne irgendwelchen grünen Text in der Adressbar des Browsers. Mein Problem ist jetzt, dass ich nicht ganz im SSL Zertifkat-Dschungel durchblicke.

Ich verwende einen Server von HE mit Plesk 12.0.18 und laut FAQ, kann man einfachheitshalber ein Zertifikat auf die IP des Servers legen: https://faq.hosteurope.de/?cpid=16472

Gilt ein solches Zertifikat dann für die IPv4 und die IPv6?

Welches Zertifikat brauch ich dann?

Ich habe lange gesucht und finde nur teure Zertifikate, wäre aber das hier was ich prinzipiell suche?

https://www.sslmarket.de/ssl/geotrust-quickssl-premium-wildcard/

Zumindest steht dort:

* Absicherung einer unbegrenzten Anzahl von Subdomains
* Unbegrenzte Domainlizenz für Server

Kennt jemand eventuell ein günstiges Zertifikat das meine Ansprüche erfüllt? Über Tipps würde ich mich freuen. :)
 
Last edited by a moderator:
Hi,

wenn Du einen (V)Server von HE verwendest, solltest Du die Möglichkeit für ein kostengünstiges SSL Zertifikat haben.

Das Zertifikat hat erstmal nichts mit der Bindung an IPv4 oder IPv6 zu tun.
(Beides ist möglich)

1. Du erstellst auf Deinen Server einen Privat Key einen CSR (Certificate Signing Request)
2. Du reichst den CSR bei Deiner ausstellenden SSL Stelle ein
3. Du erhälst Dein Zertifikat

Unter PSA bindest Du dann alles (Private Key / Zertifikat/ Intermediate Zertifikat) ein.

Evtl. benötigst Du noch das Intermediate Zertifikat der ausstellenden SSL Stelle (wird Dir aber in der Regel gemailt / zum DL angeboten)
 
Danke für die Antwort, leider komme ich damit noch nicht ganz klar. ;)

Das Zertifikat hat erstmal nichts mit der Bindung an IPv4 oder IPv6 zu tun.
(Beides ist möglich)
Was genau soll das heißen? Das ein Zertifikat für einen Server die IPv4 und IPv6 bedient? Ich habe mal weiter gesucht und hier https://ssl-trust.com/SSL-Zertifikate/Multi-Domain steht ausdrücklich:
Mit einem Multi-Domain Zertifikat können Sie bis zu 100 Domains mit nur einem Zertifikat und einer IP-Adresse absichern.
Für mich sind jedenfalls IPv4 und IPv6 zwei unterschiedliche IPs, auch wenn sie auf dem selben Server liegen mögen, dass können ja durchaus noch weitere IPs.
Bisher verstehe ich es so, das ich dann zwei Zertifikate benötige, um IPv4 und IPv6 zu bedienen.

Was genau soll deine Arbeitsliste verdeutlichen? Meine Frage war ja wo man ein günstiges Zertifikat für meinen Fall erhalten könnte, noch gar nicht wie man dieses Einbindet. :)
 
Ein SSL-Zertifikat arbeitet auf Domain-Basis. Die dahinter liegende IP (egal ob v4 oder v6) ist für das Zertifikat nicht relevant.

Sprich Du brauchst entweder für jede (Sub)-Domain ein einzelnes Zertifikat. Oder für jede Haupt-Domain ein Wild-Card-Zertifikat. Oder für alles zusammen ein Multisite-Wildcard-Zertifikat.

Bis auf letzteres ist AFAIK alles davon auch kostenlos zu bekommen.

Es lohnt sich übrigens, die ganze Doku dazu mal durchzulesen - da werden auch solche Fragen sehr gut beantwortet, sowohl auf Wikipedia z.B. als auch in den FAQs der meisten Zertifikatsaussteller. Spart auch Stress im tagtägliche Umgang damit.
 
StartSSL bietet unter https://www.startssl.com/?lang=de beliebig viele Zertifikate für 59$ - auch Wildcard ab Class 2 Verifizierung an, die in allen Browsern funktionieren.

Einen grünen Balken gibt es mit https://www.startssl.com/?app=30 für 199$

ACHTUNG: Kosten werden - anders als bei anderen Zertifikatsauthorities - nur durch Verifizierungen verursacht. Ist die Verifizierung der angegebenen Daten durch kannst Du selbst so viele Zertifikate für so viele Domains wie gewünscht erstellen.
 
Ein Zertifikat bezieht sich wie oben genannt auf eine Domain. Viele günstige Zertifikate gelten für exakt eine Domain (oft noch nicht mal mehrere Subdomains).
Beim Aufruf einer HTTPS-Seite wird als erstes die Verschlüsselung übertragen, bevor der Hostname per HTTP verschlüsselt übertragen wird - der Webserver sendet also das erstebeste Zertifikat in seiner Konfiguration, die zur IP passt, unabhängig von Hostnamen. Das erzeugt dann u.U. die Meldung, dass das Zertifikat auf die falsche Seite ausgestellt ist. Dagegen gibt es zwei Möglichkeiten:
1. SNI: Wenn Browser und Webserver das unterstützen, übermittelt der Browser den aufgerufenen Hostnamen an den Server, bevor die Verschlüsselung ausgehandelt wird und der Server kann das passende Zertifikat übermitteln. Hier werden für jeden Host separate Zertifikate erstellt, die auch auf unterschiedliche Personen/Firmen etc. laufen können (falls domainvalidiert nicht ausreicht). SNI wird aber nicht von allen Betriebssystemen und Browsern unterstützt, z.B. Windows erst ab Vista/Server 2008, Android auf 3.0/4.0 (eine Übersicht gibt es z.B. in der Wikipedia)
2. Multidomain-Zertifikate: Hier wird das Zertifikat auf mehrere Domains ausgestellt. Diese Zertifikate sind oft recht teuer. Also Unterform seien noch die Wildcard-Zertifikate erwähnt, die für eine Domain, aber beliebig viele Subdomains gelten (und meist etwas günstiger sind). Da sich alle verschlüsselten Webseiten das gleiche Zertifikat teilen, taucht aber für alle Seiten die gleiche Person/Firma auf - also nicht geeignet, wenn man Seiten von unterschiedlichen Personen/Firmen hostet.

Sofern du allerdings mit sogenannten Domain-validierten Zertifikaten auskommst (diese beinhalten keine Inhaber-Informationen, es wird nur geprüft, ob der Anforderer Kontrolle über die Domain hat), könnte auch das kürzliche gestartete Let's Encrypt Projekt interessant sein.
 
Back
Top