SSL Zertifikat Reseller

Domi

Blog Benutzer
Falls du Wildcard-Zertifikate, mehrere Zertifikate oder andere Besonderheiten willst/brauchst dann ist für dich selber Startssl die günstigste und eventuell sogar einfachste Lösung.
Okay, dann weiß ich da schon mal bescheid...

Falls du jetzt spezifisch von Startssl in diesem Kontext sprichst - dies ist nicht erlaubt, siehe meinen Post dazu weiter oben. Die Verifizierung ist nur höchstpersönlich möglich - außer deine Kunden sind Firmen, die dürfen ausnahmsweise auch per Vollmacht von dir gemacht werden.
Jou, deinen Text hatte ich gelesen. Darum hatte ich ja überlegt ob ich für einen Kunden (wenn er ein Zertifikat braucht) einen weiteren Account anlege. Aber das geht ja schlecht (ist mir auch gerade eingefallen) da es ja eine telefonische Verifizierung gibt. Somit ist das Thema auch vom Tisch :)

Gruß, Domi

p.s. Meine StartSSL Zertifikate habe ich gerade mal 18 Monate ungefähr... kann man diese eigentlich verlängern, oder muss man diese dann komplett neu generieren? :) Ich hatte mal irgendwo gelesen das man die StartSSL Zertifikate dann wieder ganz neu erstellen muss.
 

Thunderbyte

Moderator
Staff member
Meine Class1 (kostenfrei) Zertifikate musste ich neu erstellen. Aber nochmal: man zahlt für die Validierung. D.h. für den Aufwand, den StartSSL durch die Prüfung der persönlichen Unterlagen hat. Daher mag ein Neueinstellen der Zertifikate (geringfügigen) technischen Aufwand bedeuten, Kosten sind mit diesem technischen Prozess nicht verbunden (wohl aber mit der erneuten Prüfung, die einen dann in die Lage versetzt, wieder Zertifikate ausstellen zu können).
 

cider

New Member
Für einfache Anforderungen reichen die kostenlosen StartSSL und WoSign Zertifikate eigentlich aus, man könnte die ja auch für einen (sehr kostenbewusten) Kunden anlegen. Davon ausgenommen sind natürlich Wildcard-, SAN- oder EV-Zertifikate die man bei StartSSL nur in der kostenpflichtigen, nicht Mandantenfähigen Version bekommt.

SSL-Zertifikat Reseller aus Deutschland sind wie bereits erwähnt PSW, InternetX oder auch PartnerGate. Bei einem deutschen Anbieter ist es ggf. einfacher kompliziertere Validierungen vorzunehmen. Dafür sind sie recht teuer.

Wenn du auch mit einem internationalen Anbieter zurecht kommst sind SSLS.com (gehört zu NameCheap) und besonders GoGetSSL sehr zum empfehlen. Die kosten oft nur so ca. 1/4 gegenüber der deutschen Konkurrenz.

Beispiel:
Günstigstes 2 Jahre Domainvalidiertes-Zertifikat: PSW: 29€, GoGetSSL: 8,95$ (7,87€)
Das sind jeweils die Endkundenpreise, die Reseller-Preise sind nicht öffentlich einsehbar aber wahrscheinlich günstiger.
 

Domi

Blog Benutzer
Ob National oder International wäre mir da eigentlich egal. Zertifikat ist Zertifikat. Oder gibt es da doch noch Unterschiede? Aber schon mal vielen Dank für die Tipps.

Bei StartSSL bin ich mit dem Class2 registriert gewesen. Das läuft ja im Regelfall nur ein Jahr und die erstellten Zertifikate laufen zwei Jahre, wenn ich das richtig sehe :)

Es war auch hauptsächlich eine Interessen Frage. Für einen Bekannten habe ich halt erst einmal ein SSL Zertifikat organisiert. Im Juli wird unsere Firma dann wieder für die Homepage ein Zertifikat benötigen und wenn ich meine aktualisieren muss, nutze ich einfach wieder StartSSL denn der Vorteil dabei ist halt, dass ich Problemlos ein Wildcard Zertifikat für mehrere Domains bekomme. So kann ich dem PTR von meinem Server, der IP direkt und der Domain meiner Webseite ein Zertifikat verpassen.

Also nicht falsch verstehen mit dem PTR, ich meine halt die Domain die ich dem Server selbst gegeben habe (srv01.domain.tld und zusätzlich natürlich dann mail.domain.tld etc.) :)

Hoffe ich konnte das passend erklären :D
Gruß, Domi

Nachtrag: Also wenn ich das richtig sehe, wäre für unsere Firma dieses das passende Zertifikat. Damit könnte ich die wichtigste Domain + Subdomain mit einem EV Zertifikat absichern UND sogar den Domainnamen vom Server (srv01.domain.tld) für Mails und ISPconfig absichern :D
 
Last edited by a moderator:

Domi

Blog Benutzer
Moin moin... Lange ist es her und ich wollte mich zu dem Thema mal wieder melden :D

Gestern habe ich mit einem Kumpel über das Thema Reseller gesprochen und da sind wir auf ssl-trust.com und seine Preise gekommen. Hat jemand Erfahrungen mit dem Anbieter?

Ich hätte ja auch gerne mal geschaut wie es bei internetx.com aussieht und wie da die Marge für SSL Zertifikate ist, aber dort sind ja keine Preise offen gelegt.

Gruß, Domi
 

d4f

Müder Benutzer
Etwas spät - aber besser spät als nie.

Gestern habe ich mit einem Kumpel über das Thema Reseller gesprochen und da sind wir auf ssl-trust.com und seine Preise gekommen. Hat jemand Erfahrungen mit dem Anbieter?
Die Preise sind nicht sonderlich günstig, bei GogetSsl sind die Endkundenpreise deutlich niedriger. Mit dem Anbieter habe ich geschäftlich bislang nur positive Erfahrungen und auch das System sowie die API sind bequem zu benutzen.
Wenn man sich für deren Resellerprogramm anmeldet kriegt man bereits in Basisform ohne jedgliche Grundgebühr oder Startkosten nochmal deutlich billigere Preise. Als Beispiel; ein Comodo PositiveSSL kostet dann im EK $4.00 pro Jahr.


Mittlerweile kann man sich allerdings (je nach Setup mehr oder weniger) bequem SSL-Zertifikate kostenfrei für alle Domains und Subdomains via LetsEncrypt beziehen.
 

Domi

Blog Benutzer
Moin, dass macht ja nichts mit der späten Meldung :)

Das Thema LetsEncrypt hat mein Kumpel auch auf den Tisch gelegt. Ich bin da aber mittlerweile eher Faul geworden. Ich habe bei LetsEncrypt noch nicht rein geschaut, aber wenn es wie bei StartCom ist, habe ich ehrlich gesagt keine Lust mich irgendwann in ein paar Jahren mit zig Accounts herum schlagen zu müssen weil in jedem Account ein anderes Zertifikat drin liegt.

Das ist mittlerweile auch ein Grund, wieso ich alle IT Einkäufe für meine Kunden über ein (maximal zwei) Großhändler durchführe. Ich bin einfach zu faul geworden alles abzusuchen :D
 

d4f

Müder Benutzer
Ich bin da aber mittlerweile eher Faul geworden. Ich habe bei LetsEncrypt noch nicht rein geschaut, aber wenn es wie bei StartCom ist, habe ich ehrlich gesagt keine Lust mich irgendwann in ein paar Jahren mit zig Accounts herum schlagen zu müssen
Nein, genau das Gegenteil. Letsencrypt ist accountlos (dieser wird technisch gut versteckt) und kann über Cronjob bequem autoverlängernd eingesetzt werden - das Tool liefert der Anbieter frei haus.

Das ist mittlerweile auch ein Grund, wieso ich alle IT Einkäufe für meine Kunden über ein (maximal zwei) Großhändler durchführe. Ich bin einfach zu faul geworden alles abzusuchen
Genau dafür gibts doch IT-Scope sowie entsprechende Buchhaltungssysteme mit EK-Preisverwaltung :D
 

Domi

Blog Benutzer
Vielen Dank schon mal für deine weitere Anteilnahme :)

Wie Zuverlässig sind denn die Zertifikate von Letsencrypt zur Zeit? Der Dienst wurde ja erst vergangenes Jahr (im Herbst?) ins Leben gerufen mit dem Motto "ssl for everyone" oder so ähnlich, aber es wäre doof wenn ganz oft in den Browsern die Meldung auftaucht dass das Zertifikat nicht vertrauenswürdig ist :)

Die nächste Frage wäre dann noch, wer steht als Inhaber in den SSL Zertifikaten wenn ich jetzt bei gogetssl.com oder letsencrypt.org Zertifikate für meine Kunden erstelle?! Hast du damit schon Erfahrungen gemacht..?

Gruß, Domi
 

Orebor

He who dances with pointers
Bei mir werden Letsencrypt Zertifikate anstandslos von Chrome und Firefox akzeptiert, andere Browser habe ich nicht getestet.
Ansonsten werden von Letsencrypt Domains und keine Personen validiert, von daher lauten die Zertifikate lediglich auf den Domainnamen und es sind keine weiteren Informationen angegeben (keine Person, keine Organisation).
 

d4f

Müder Benutzer
Wie Zuverlässig sind denn die Zertifikate von Letsencrypt zur Zeit?
Die CA ist cross-signed, will heissen auf absehbare Zeit ist eine in allen üblichen Browser hinterlegte CA als Root miteingetragen so dass die Zertifikate auch auf älteren System funktionieren.

Ansonsten werden von Letsencrypt Domains und keine Personen validiert, von daher lauten die Zertifikate lediglich auf den Domainnamen und es sind keine weiteren Informationen angegeben
Die überwiegende Mehrheit der am Markt üblichen Zertifikate sind domainvalidiert (DV), wie bspw RapidSSL, InstantSSL, PositiveSSL oder auch Startssl Class1.
 

Domi

Blog Benutzer
Okay, ich schaue mir das von Letsencrypt einfach mal an. Wichtig ist eigentlich, dass ich alles über einen Account regeln kann. Ich weiß, dass ich bei Startssl mehrere Accounts bräuchte. Da wollte ich nämlich mal ein DV Zertifikat für die Firma erstellen und bekam die Info das die Domain der Firma aber nicht zu meinen Daten vom Account gehören. Das Ergebnis war, dass das Zertifikat dann abgelehnt wurde.

Von daher ist es mir halt wichtig gewesen, wenn ich mich halt als "Bob Müller" dort registriere, dass das Zertifikat dann nicht für "Bob Müller" sondern für den Domaininhaber ausgestellt wird :)

Aber selbst die Preise für die Zertifikate von gogetssl.com sind schon sehr gut. Da kann man nicht meckern und wer einen Shop betreibt kann auch dort (bei dem Preis) bedenkenlos ein Zertifikat ordern.

Gruß, Domi

Nachtrag: Kleine Frage so nebenbei.. Ist die hier beschriebene Anleitung alles was man tun muss? Wenn ich das hier richtig lese, kann man die Zertifikate sogar automatisch erneuern lassen. Ich überlege sogar gerade das Zertifikat der Firma mal neu zu machen :D
 
Last edited by a moderator:

Orebor

He who dances with pointers
Die überwiegende Mehrheit der am Markt üblichen Zertifikate sind domainvalidiert (DV), wie bspw RapidSSL, InstantSSL, PositiveSSL oder auch Startssl Class1.
Das ist mir bewusst. Die Frage lautete allerdings, welche Daten in den Letsencrypt Zertifikaten hinterlegt werden und deshalb verwies ich darauf, dass es sich um eine Domain Validierung handelt.
 

Thunderbyte

Moderator
Staff member
Wenn ich das hier richtig lese, kann man die Zertifikate sogar automatisch erneuern lassen. Ich überlege sogar gerade das Zertifikat der Firma mal neu zu machen :D
Ja, man MUSS eigentlich sogar das automatische Erneuern konfigurieren, denn die Zertifikate sind nur 90 Tage gültig und man müsste dann alle 3 Monate neue Zertifikate manuell einspielen, was doch etwas nerven könnte...
 

Domi

Blog Benutzer
Okay, dass ist gut zu wissen... Dann muss ich mal schauen wie ich das am besten via Crontab baue, denn die Variante mit dem erstellen der Certfiles fand ich schöner als das automatische einbinden der Zertifikate in den Apache :)

Aber nur noch mal für doofe wie mich zum Verständnis, wenn ich jetzt über das Script ein Zertifikat von Letsencrypt erstelle, wird als Inhaber des Zertifikates der Admin-C oder Domaininhaber vom Whois verwendet, ist das richtig? Dann muss ich ja nur gucken, das bei INWX von mir der korrekte Inhaber hinterlegt wurde :)

Gruß, Domi

Nachtrag: Macht es für den Laien / Enduser eigentlich einen großen Unterschied ob DV, Personal / Business Zertifikat? Das einzige was doch wirklich heraus sticht ist das EV Zertifikat. Und, mein Englisch ist jetzt nicht das beste, aber die Prozedur für ein EV Zertifikat ist schon eine Hausnummer.
 
Last edited by a moderator:

d4f

Müder Benutzer
Aber nur noch mal für doofe wie mich zum Verständnis, wenn ich jetzt über das Script ein Zertifikat von Letsencrypt erstelle, wird als Inhaber des Zertifikates der Admin-C oder Domaininhaber vom Whois verwendet, ist das richtig?
Nein! Die Zertifikate von LetsEncrypt sind genau wie alle anderen billigen und kostenfreie Zertifikate DV. DV (Domain-validated) bedeutet dass nur der Domainname kontrolliert wurde, es ist also im Zertifikat schlicht gar kein Inhaber eingetragen.

In den wenigsten Fällen ist ein höher-validiertes Zertifikat wirklich sinnvoll. Zum einen wird kaum ein Benutzer die Zertifikatdetails ansehen wollen (oder können) und zum anderen bringt es generell für dich als Betreiber keine weitere Absicherung. Zertifikate im HTTPS gelten ausschließlich der Verschlüsslung, und das tut ein teures Zertifikat genau so gut wie ein kostenfreies.
 

Domi

Blog Benutzer
Ganz ehrlich, gut dass du das gesagt hast.. Ich selbst gucke auch nicht wirklich in jedes Zertifikat, ob es mit dem Whois oder dem Impressum zusammen passt :D

Ich rate dann mal so ins blaue.. Die ganz normalen DV Zertifikate reichen zu 98% aus, im Vergleich zu den Person oder Business Zertifikaten. Einzig das EV hebt sich halt wirklich hervor und macht Sinn :)

Ich denke mal, damit habe ich alles was ich brauche. Letsencrypt auf dem Server einrichten, Zertifikate erstellen, fertig ist der Spaß. Dann muss ich mir den Automatismus noch schön machen und ich könnte das Zertifikat auch für Postfix / Dovecot verwenden :)

Gruß, Domi

p.s. Könnte man eigentlich auch mehrere Zertifikate für Domains in ein Cert File für Postfix und Dovecot tun? Fällt mir jetzt gerade so ein.. :confused: Es geht darum, dann könnte ich anschließend für jeden auch ein mail.domain.tld Zertifikat anlegen und das bei Postfix hinterlegen. Dann währen halt mehrere Zertifikate in einem File.. hoffe ich hab das richtig und verständlich beschrieben :eek:
 

d4f

Müder Benutzer
Könnte man eigentlich auch mehrere Zertifikate für Domains in ein Cert File für Postfix und Dovecot tun? Fällt mir jetzt gerade so ein.. Es geht darum, dann könnte ich anschließend für jeden auch ein mail.domain.tld Zertifikat anlegen und das bei Postfix hinterlegen.
Leider, leider, leider nein. Die einzige Lösung ist ein SAN (Multidomain) Zertifikat. In diese lassen sich bei der Erstellung eine maximale Anzahl X von Domains eintragen welche dann für Verbindungen gültig sind. Es ist also nur für statische Umgebungen mit einer festen und übersichtlichen Anzahl an Domains sinnvoll, bspw Enterprise-Umgebungen.
Günstigster Anbieter von solchen Zertifikaten ist übrigens (wieder mal) StartSSL.Auch hier gilt aber dass du dann Besitzer aller Domains sein musst, man kann/darf also nicht bspw Kundendomains mit listen.

Ich rate dann mal so ins blaue.. Die ganz normalen DV Zertifikate reichen zu 98% aus, im Vergleich zu den Person oder Business Zertifikaten.
Genau ;)
 

remote_mind

Blog Benutzer
Günstigster Anbieter von solchen Zertifikaten ist übrigens (wieder mal) StartSSL.Auch hier gilt aber dass du dann Besitzer aller Domains sein musst, man kann/darf also nicht bspw Kundendomains mit listen.
Wenn Du mit 'solchen Zertifikaten' die Multidomain-Zertifikate meinst - die kann man auch mit LetsEncrypt erzeugen. Das aktuelle Limit liegt bei 100 Domainnamen pro Zertifikat.

Je nach Setup muss man dafür allerdings ggf. den manual mode verwenden.
 
Top