SSL - aktiviert, nur falsche Domain?

[B4sti199191]

Hallo zusammen,

ich habe auf meinem VServer (HS) jetzt Plesk installiert und möchte dort meine gesamten E-Mails verwalten (senden/empfangen).
Nun dachte ich, ich hole mir ein einfaches SSL Zertifikat von HostEurope und habe dies auch getan.
Installiert habe ich es auch via Plesk und dieses Zertifikat auch mit der IP verknüpft.
Nun habe ich einige Fragen:

1.
Das SSL - Zertifikat habe ich mit der domain www.domain.de verknüpft.
Wenn ich jedoch nun webmail.domain.de aufrufe, wird das Zertifikat nicht erkannt, da es ja mit www.domain.de "verheiratet" ist.
Gibt es eine Möglichkeit Webmail auch Secure zu nutzen?


2.
Ich habe bei Thunderbird und meinem Android als Verschlüsselung SSL angegeben.
Ist die Verbindung nun verschlüsselt? Ich hab keine Meldung von "Zertifikat herunterladen" oder so bekommen..


Danke und LG

Basti

 

[aiko]

Hallo zusammen,

1.
Das SSL - Zertifikat habe ich mit der domain www.domain.de verknüpft.
Wenn ich jedoch nun webmail.domain.de aufrufe, wird das Zertifikat nicht erkannt, da es ja mit www.domain.de "verheiratet" ist.
Gibt es eine Möglichkeit Webmail auch Secure zu nutzen?


2.
Ich habe bei Thunderbird und meinem Android als Verschlüsselung SSL angegeben.
Ist die Verbindung nun verschlüsselt? Ich hab keine Meldung von "Zertifikat herunterladen" oder so bekommen..


Danke und LG

Basti

1. Es gibt Wildcard SSL Zertifikate, die gelten dann für alle subdomains deiner Domain, also *.deinedomain.de. Allerdings sind diese auch erheblich teurer!

2. Wenn du SSL angegeben hast und Dein Server das unterstützt und du auch den richtigen Port für SSL angegeben hast, dann sollte er es nutzen.

lg

 

[B4sti199191]

Morgen zusammen,

also ich wollte nicht viel Geld ausgeben Eigentlich wollte ich nur von den großen weg und sicherstellen, dass nur ich meine Mails lese Und kein dritter...

Ich habe das Host Europe SSL Zertifikat (siehe Anhang).

Ist damit eine sichere SSL Verbindung möglich?

Ich hab keine Lust, dass jemand irgendwelche Daten zwischen mir und meinem Server mitbekommt.

 

[aiko]

Ja, gibt nur ne Warnung im Browser wenn du sie für andere Domains nutzt, geht aber und ist so sicher wie fuer die eigl Domain....

 

[Thunderbyte]

Du solltest Dir https://www.startssl.com ansehen.

 

[d4f]

gibt nur ne Warnung im Browser wenn du sie für andere Domains nutzt, geht aber

Dann kann man auch direkt ein self-signed Zertifikat für die Subdomain verwenden und die eigenerstellte entsprechende CA in den Browser importieren.

 

[TerraX]

...Ich habe das Host Europe SSL Zertifikat (siehe Anhang).

Ist damit eine sichere SSL Verbindung möglich?

Ich hab keine Lust, dass jemand irgendwelche Daten zwischen mir und meinem Server mitbekommt.

Dann solltest Du eher eine eigene CA erstellen und daraus die benötigten Zertifikate ableiten.

Zu Thunderbird sowie sonstigen Mail-Clients:

Damit die verschlüsselt kommunizieren, musst Du die entsprechenden Dienste auf Deinem Server (SMTP, IMAP und/oder POP3) auch entsprechend konfigurieren. Was dafür zu tun ist, steht in der Dokumentation der von Dir eingesetzten Software.

 

[Thunderbyte]

Im Bezug auf Mails ist das aber doch eh nur dafür gut, die IMAP / SMTP Zugangsdaten zu verschlüsseln. Denn die Mails sind im Endeffekt ja sowieso schon unverschlüsselt durchs Internet gereist.

 

[d4f]

Denn die Mails sind im Endeffekt ja sowieso schon unverschlüsselt durchs Internet gereist.

Das stimmt so pauschal nicht mehr. Immer mehr Mail-Server verwenden mittlerweile TLS-verschlüsselte Verbindungen zur Kommunikation.
In einem perfekten Szenario sind die Daten verschlüsselt vom Client auf den Sende-Server, dort verschlüsselt zum Empfangsserver und dann verschlüsselt zum Empänger.

 

[Thunderbyte]

In einem perfekten Szenario sind die Daten verschlüsselt vom Client auf den Sende-Server, dort verschlüsselt zum Empfangsserver und dann verschlüsselt zum Empänger.

Schön wärs. Dann könnte uns Prism mal gerne haben.

 

[counteam]

und irgendwo dazwischen hängt dann die CIA oder des FBI mit seinen Servern und lesen es trotzdem mit

Zwar OT, aber etwas Ironie kann man immer gebrauchen.

Im übrigen gibt es einen Trick, wie man SEHR GÜNSTIG an einem Wildcard-Zerti kommt - Genaugenommen für 40 €.

Hoster/Provider und Zertifizierungsstellen sind miteinander in Geschäftlichen Beziehungen, sprich der Hoster/Provider zahlt ohnehin für Zertifikate dumpingpreise (und das fängt schon bei 30€ an) und vertickt die dann teurer weiter - Schliesslich will dieser erstens auch was daran verdienen, zweitens muss er im gleichen preisniveau aufgrund des Wettbewerbsrechtes bleiben.

Und hier kommt nun der Trick:
Man wendet sich an einen Anbieter und richtet aus, dass man selbst bei einem Provider/Hoster tätig gewesen ist und die Preise kenne, ob diese ein Anbegot zukommen lassen.

Für meine wenigkeit eh zum erfolg, da ich ja tatsächlich für diverse Provider gearbeitet hatte, so war es mir möglich Wildcart-Zertifikate für grade mal 40€ zu ergattern.

 

[d4f]

und irgendwo dazwischen hängt dann die CIA oder des FBI mit seinen Servern und lesen es trotzdem mit

Will ich gerne sehen bei 2048bit Zertifikaten und der empfohlenen Variante von CSR-basierter Zertfierung. Wusste nicht dass die D-Wave "Quantencomputer" bereits so fortgeschritten sind als dass sie das alles in den nächsten Jahren "einfach so" knacken können.
Die NSA darf aber gerne viel Rechenpower verbraten um meine "wie gehts" Email zu dechiffrieren.

Im übrigen gibt es einen Trick, wie man SEHR GÜNSTIG an einem Wildcard-Zerti kommt - Genaugenommen für 40 €.

Ganz ohne langwierige Diskussionen, "Tricks" und Verhandlungen kriegste für den gleichen Preis eine unbegrenze Anzahl an Wildcard-Zertifikaten; StartSSL Class2 Zertifierung.
Anbieter kriegen Zertifikate übrigens oft/meist deutlich unter 30€.

Schön wärs.

Also ich sehe rund 2/3 der einkommenden legitimen Emails mit TLS. Und jede Menge Spam auch, aber das sind wohl gekaperte Server.

 

[Thunderbyte]

Ganz ohne langwierige Diskussionen, "Tricks" und Verhandlungen kriegste für den gleichen Preis eine unbegrenze Anzahl an Wildcard-Zertifikaten; StartSSL Class2 Zertifierung.

Für 2 Jahre sind das ca 23€/Jahr. Oder eben ein Nicht-Wildcard Zert kostenfrei. Daher auch mein Link.

 

[counteam]

Genau, besonders bei startssl:

Fehlercode: ERR_SSL_PROTOCOL_ERROR

(Quelle: https://auth.startssl.com/)

Dies ist für einen Kunden doch nicht zumutbar.

 

[Thunderbyte]

Genau, besonders bei startssl:

(Quelle: https://auth.startssl.com/)

Dies ist für einen Kunden doch nicht zumutbar.

"Um die verschiedenen Überprüfungen durchführen und Zertifikate anfordern zu können, müssen Sie ein Benutzerkonto und ein kostenfreies Authentifizierungszertifikat von StartSSL™ besitzen."

Wo ist das Problem? Dieses Auth Zertifikat sollte man sich halt gut sichern. Und SSL Zertifikate sind jetzt nicht gerade was für "Standard-Endkunden". Wenn man die nutzen will, muss man halt etwas Arbeit aufwenden. Ich verwende seit mehreren Jahren ein kostenfreies StartSSL Zert für meinen Mailserver. So what?

 

[magenbrot]

Genau, besonders bei startssl:

(Quelle: https://auth.startssl.com/)

Dies ist für einen Kunden doch nicht zumutbar.

Das ist die Login-URL fürs ControlPanel. Dir fehlt hier einfach das Client-Zertifikat. Darüber läuft bei StartSSL die Authentifizierung, anstatt Username/Passwort. Also kein Fehler von StartSSL.

 

[magenbrot]

Ich verwende seit mehreren Jahren ein kostenfreies StartSSL Zert für meinen Mailserver. So what?

dito. Ob jetzt StartSSL, RapidSSL oder Geotrust QuickSSL, die sind vermutlich alle gleich von NSA, etc, durchseucht..

 

[DerNeueDa]

Anbieter kriegen Zertifikate übrigens oft/meist deutlich unter 30€.

Die von Comodo kosten mich im EK nicht mal 3 Euro..

 

[d4f]

Die von Comodo Kosten mich im EK nicht mal 3 Euro..

Wir reden hier schon über Wildcard-Zertifikate, nicht die normalen Commodo-Zertifikate.
Ich weiss nicht wie es bei euch so ist, aber der Comodo-Hack damals hat mich vom Anbieter Abstand nehmen lassen.

die sind vermutlich alle gleich von NSA, etc, durchseucht..

Und wo genau liegt das Problem? Bei (wie oben gesagt) CSR-Zertifierung sieht der Anbieter nur dein Public-Key. Um den zu kriegen muss nicht eine CA "infiltriert" werden sondern lediglich eine SSL-Verbindung zu deinem Server aufgebaut werden; der verrät ihn dir direkt.

Das einzige -und grösste- PKI-Problem ist dass jede der etwa 200 vom Browser vertrauten Entitäten ein Zertifikat für deine Domain ausstellen kann das dann anstandslos von allen gängigen Browser akzeptiert wird. Dazu gehören Firmen und Länder denen ich spontan nicht unbedingt vertrauen würde.

 

[counteam]

Habs mal OT gesetzt, da ich anscheinend ned richtig lesen konnte
[OT]

Das ist die Login-URL fürs ControlPanel. Dir fehlt hier einfach das Client-Zertifikat. Darüber läuft bei StartSSL die Authentifizierung, anstatt Username/Passwort. Also kein Fehler von StartSSL.

Eher weniger, denn du kannst den Seitenbesuchern nicht verlangen, dass die bei dem Aufruf erstmal umständlich Client-Zertifikate manuell installieren.

Ein Seriöser Anbieter bietet korrekte SSL-Zertifikate an sodass der Seitenbesucher keinerlei Probleme hat und die Seite direkt aufgerufen wird.

Dann verzichtet man lieber auf StartSSL und nutzt was selfsigned.
[/OT]

Darüber läuft bei StartSSL die Authentifizierung, anstatt Username/Passwort.

Ok, nicht richtig gelesen. Aha - Auch eine möglichkeit.