Kostenloses SSL-Zertifikat?

vserverix · Nov 14, 2008

Eine grundsätzliche Frage

Wenn ich das mit dem Zertifieren richtig verstehe, dann dient ein Zertifikat dazu, mich als Betreiber einer Seite zu identifizieren und damit als vertrauenswürdig zu klassifizieren. Somit bin ich dann in der Lage, vertrauenswürdige Daten (Passworte, Kontoverbindungen, etc.) entgegenzunehmen. Wird mein System nun gehackt, kann der Angreifer also einfach das Zertifikat mitübernehmen, oder?
Ich verstehe also den Nutzen eines Zertifikats nicht ganz, außer vielleicht dass so ein nettes Zertifikaten-128bit-Verschlüsselungs-Icon ein netter Marketing Gag ist und die Seite meines Shops schmückt. Die SSL-Verschlüsselung funktioniert doch auch ohne das Vorhandenseins eines Zertifikats, oder?

Darüberhinaus bin ich als Betreiber durch Impressum, DENIC-Eintrag etc. doch ebenfalls "identifierbar", oder nicht? Werden denn wirklich an die Vergabe von Zertifikaten strengere Maßstäbe angesetzt als an die von z.B. .de-Domains?

Ich frage auch deshalb, weil ich gerne die Gebühren für ein Zertikat einsparen möchte. Anwendung ist die webbasierte Verwaltung von Mitgliedsdaten (incl. Kontodaten) eines Vereins.

Bitte klärt mich doch mal auf

Ben. · Nov 14, 2008

Für die Verschlüsselung brauchst du immer ein Zertifikat, auch wenn du es selbst signierst.

Zertifizierungsstellen bürgen dafür, dass dein Zertifikat gültig ist und deine Person/dein Unternehmen identifiziert ist. Sollte dein Zertifikat geklaut werden, meldest du der Stelle dass es ungültig ist und Besucher der Seite mit dem gestohlenen Zertifikat kriegen eine entsprechende Meldung.

Ungefähr klar wofür du bezahlst?

Zudem unterscheiden sich die Zertifikate durch Versicherungssummen und Gültigkeitsbereiche (nur eine Domain, mehrere Domains etc.).

LinuxAdmin · Nov 14, 2008

Niemand hindert mich, Deine komplette Site per wget oder was auch immer zu kopieren -- inklusive Impressum und dann per DNS-Cachepoisening die Anfragen auf meinen Server umzubiegen. Dann würde so manche Leute ihre Kontodaten, oder andere kritische Daten bei mir abladen.

Solch ein Szenario wird durch das Zertifikat wirksam verhindert, da ich es nicht ohne weiteres klauen kann und es im besten Fall durch ein Passwort geschützt ist.

elias5000 · Nov 14, 2008

LinuxAdmin said:
Solch ein Szenario wird durch das Zertifikat wirksam verhindert, da ich es nicht ohne weiteres klauen kann und es im besten Fall durch ein Passwort geschützt ist.

Nicht wirklich. Damit der Apache per default starten kann, muss der Key unverschlüsselt sein.
Wird das Zertifikat gestohlen, ist es bis es abläuft missbrauchbar.
Dagegen ist das Revoken von Zertifikaten über CRLs vorgesehen. Dummerweise werden die CRLs von allen Browsern per default nicht geprüft, da das mit den CRLs in der Realität nicht skaliert.
Man kann also davon ausgehen, dass geklaute Zertifikate bis zum Ablaufen ohne Einschränkung missbrauchbar sind.

Nette Geschichte zu dem Thema: Fefes Blog

LinuxAdmin · Nov 15, 2008

Mit "nicht ohne weiteres klauen" meinte ich "nicht ohne in den Server einzubrechen".
Und wer es sicher haben möchte verwendet eben ein Passwort und verzichtet darauf, dass der Webserver beim Booten automatisch startet -- ich weiß, das machen die wenigsten, daher schrieb ich auch "im besten Fall".

vserverix · Nov 15, 2008

Hallo,

danke für die Antworten.

Ben. said:
Für die Verschlüsselung brauchst du immer ein Zertifikat, auch wenn du es selbst signierst.

Ungefähr klar wofür du bezahlst?

Zudem unterscheiden sich die Zertifikate durch Versicherungssummen und Gültigkeitsbereiche (nur eine Domain, mehrere Domains etc.).

Ja, schon klar. Dass Zertifikate mit Versicherung gebundelt vertrieben werden, war mir allerdings neu. Dass ein Zertifikat erstellt werden muss auch. Bei der V-Server-Installation war eins vorinstalliert. Lustig, oder?

LinuxAdmin said:
Niemand hindert mich, Deine komplette Site per wget oder was auch immer zu kopieren -- inklusive Impressum und dann per DNS-Cachepoisening die Anfragen auf meinen Server umzubiegen. Dann würde so manche Leute ihre Kontodaten, oder andere kritische Daten bei mir abladen.

Solch ein Szenario wird durch das Zertifikat wirksam verhindert, da ich es nicht ohne weiteres klauen kann und es im besten Fall durch ein Passwort geschützt ist.

OK. Schon klar, dass das Zertifikat am besten nicht in der Dokumentroot installiert wird

elias5000 said:
Nicht wirklich. Damit der Apache per default starten kann, muss der Key unverschlüsselt sein.
Wird das Zertifikat gestohlen, ist es bis es abläuft missbrauchbar.
Dagegen ist das Revoken von Zertifikaten über CRLs vorgesehen. Dummerweise werden die CRLs von allen Browsern per default nicht geprüft, da das mit den CRLs in der Realität nicht skaliert.
Man kann also davon ausgehen, dass geklaute Zertifikate bis zum Ablaufen ohne Einschränkung missbrauchbar sind.

Nette Geschichte zu dem Thema: Fefes Blog

Na klasse. Das mit der Skalierung habe ich nicht ganz verstanden. Im Prinzip geht doch ein Request den gleichen Weg wie ein Revoke, oder? Und der Request skaliert doch auch?

Oder ist mit Skalierung hier gemeint, dass das Zertifikat einmal den Weg geht, aber n-mal von den Browern des Clients auf revokation getestet werden muss?
--
Was würdet Ihr mir in meinem Falle raten? Ich will nicht unbedingt Geld des Vereins für ein teures Zertifkat ausgeben. Meint Ihr es reicht, auf einer http-Seite die User darauf hinzuweisen, dass sie gleich ein selbst signiertes Zertikat trauen müssen ("WIr sind es wirklich") und beim Firefox/IE hier, hier und hier klicken müssen (untermalt mit Screenhosts und der Erklärung, dass sonst Vereinsgebühren angehoben werden müssten?)

Also doch einfach cacert.org?

Ben. · Nov 15, 2008

vserverix said:
Bei der V-Server-Installation war eins vorinstalliert. Lustig, oder?

Also ich finde das nicht lustig, denn ein Zertifikat brauchst du immer wenn du SSL verwendest. Wenn also auf deinem vServer Plesk bspw. mit SSL eingerichtet wurde, war sicherlich eines dabei, denn ohne geht es nunmal nicht. Allerdings ist das ein selbstsigniertes Zertifikat (höchstwahrscheinlich), das nicht von einer Zertifizierungsstelle beglaubigt ist.

Nochmals:
SSL braucht immer ein Zertifikat zur Verschlüsselung.
Du kannst Zertifikate auch selber ausstellen, allerdings wird das dem Besucher der Website mitgeteilt (in Form einer Warnung).
Wenn du ein Zeritifkat von einer Zeritifizierungsstelle bestätigen lässt, kommt die Warnung nicht. Einen Teil der Zertifikatskosten gehen an die Versicherung.

Aber als vServer-Betreiber solltest du DAS auf jeden Fall schon mal gehört haben.......

elias5000 · Nov 15, 2008

Von RapidSSL gibts übrigens Zertifikate ab 10$/Jahr, die "hochoffiziell" sind - also von allen Browsern per default akzeptiert werden.
Wenn man nur eins will, kostet das 13$/Jahr. AFAIK das günstigste Angebot im Netz.

https://www.servertastic.com/rapidssl/

vserverix · Nov 15, 2008

Ben. said:
Also ich finde das nicht lustig, denn ein Zertifikat brauchst du immer wenn du SSL verwendest. Wenn also auf deinem vServer Plesk bspw. mit SSL eingerichtet wurde, war sicherlich eines dabei, denn ohne geht es nunmal nicht. Allerdings ist das ein selbstsigniertes Zertifikat (höchstwahrscheinlich), das nicht von einer Zertifizierungsstelle beglaubigt ist.

Nochmals:
SSL braucht immer ein Zertifikat zur Verschlüsselung.
Du kannst Zertifikate auch selber ausstellen, allerdings wird das dem Besucher der Website mitgeteilt (in Form einer Warnung).
Wenn du ein Zeritifkat von einer Zeritifizierungsstelle bestätigen lässt, kommt die Warnung nicht. Einen Teil der Zertifikatskosten gehen an die Versicherung.

Aber als vServer-Betreiber solltest du DAS auf jeden Fall schon mal gehört haben.......

Danke nochmals für die Ausführungen. Ich denke, ich hatte alles verstanden. Was ich lustig (eigentlich eher traurig) fand, ist einfach die Tatsache, dass auf einem v-Server ein und das gleiche Zertifikat vorinstalliert ist (ohne Plesk etc.). Ich gehe mal davon aus, dass das Zertifikat auf jedem Vserver dann erstmal das gleiche ist, und was das heißt, kann sich jeder ausmalen.
Um meine These zu bestätigen, müßte man mal gleichzeitig zwei Test-V-Server eines Providers anmieten.

Ben. · Nov 15, 2008

vserverix said:
Danke nochmals für die Ausführungen. Ich denke, ich hatte alles verstanden. Was ich lustig (eigentlich eher traurig) fand, ist einfach die Tatsache, dass auf einem v-Server ein und das gleiche Zertifikat vorinstalliert ist (ohne Plesk etc.). Ich gehe mal davon aus, dass das Zertifikat auf jedem Vserver dann erstmal das gleiche ist, und was das heißt, kann sich jeder ausmalen.
Um meine These zu bestätigen, müßte man mal gleichzeitig zwei Test-V-Server eines Providers anmieten.

Ist nicht gesagt. Wenn das Installationsskript ein Zertifikat neu erstellt, ist auf jedem Server unterschiedlich. Ist das Zertifikat auf deine Domain ausgestellt?

vserverix · Nov 15, 2008

Ben. said:
Ist nicht gesagt. Wenn das Installationsskript ein Zertifikat neu erstellt, ist auf jedem Server unterschiedlich. Ist das Zertifikat auf deine Domain ausgestellt?

Kann ich nicht mehr sagen, da ich es überbraten habe. Du hast aber wahrscheinlich recht, das Root-password unterscheidet sich ja auch bei jedem v-Server. Ich denke mal, der Provider wird ein Image aufspielen und dieses dann customizen.

Kostenloses SSL-Zertifikat?

vserverix

New Member

Ben.

Registered User

LinuxAdmin

Moderator

elias5000

Site Reliability Engineer

LinuxAdmin

Moderator

vserverix

New Member

Ben.

Registered User

elias5000

Site Reliability Engineer

vserverix

New Member

Ben.

Registered User

vserverix

New Member

We value your privacy