StartSSL: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
 
(12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
[http://www.startssl.com StartSSL] der Firma StartCom Ltd. (Start Commercial Limited) bietet X.509 Zertifikate für Clients und Server. Class-1 Zertifikate ohne Identitätsprüfung sind kostenlos und haben eine Gültigkeit von einem Jahr. Das Zertifikat der Root-CA von StartSSL ist in gängigen Browsern und E-Mail-Clients enthalten, so dass sie sofort gültig sind - im Gegensatz zu denen von [[CAcert]].
[http://www.startssl.com StartSSL] der Firma StartCom Ltd. (Start Commercial Limited) bietet X.509 Zertifikate für Clients und Server. Class-1 Zertifikate ohne Identitätsprüfung sind kostenlos und haben seit 2016 eine Gültigkeit von drei Jahren. Das Zertifikat der Root-CA von StartSSL ist in gängigen Browsern und E-Mail-Clients enthalten, so dass sie sofort gültig sind - im Gegensatz zu denen von [[CAcert]].


== Tipps und Tricks ==
== Tipps und Tricks ==
=== Serverzertifikate und Firefox ===
=== Domain ===
Seit 2016 kann man bis zu 10 Hostnamen pro Zertifikat angeben, die sogar aus unterschiedlichen 2nd Level Domains stammen können. Diese Domains müssen vorab validiert werden.
[[Datei:Startssl_cert_wizard_dv.png|mini|ohne]]
 
=== Zertifikate in Firefox ===
Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe [https://forum.startcom.org/viewtopic.php?f=15&t=2654 Certificate OCSP Validation Failure in Firefox].
Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe [https://forum.startcom.org/viewtopic.php?f=15&t=2654 Certificate OCSP Validation Failure in Firefox].
Bei Fehlern mit dem Einloggen in StartSSL:
*[https://bugzilla.mozilla.org/show_bug.cgi?id=1037080 Can't login to StartCom control panel due to "ssl_error_unknown_ca_alert" error], [https://forum.startcom.org/viewtopic.php?f=15&t=2522&start=0&st=0&sk=t&sd=a&sid=726ef50e638cbd2a62985164859834a2&view=print]
=== Verlängerung ===
Class-1 Zertifikate werden prinzipiell wohl nicht verlängert, sondern müssen komplett neu erstellt werden (inkl. Validierung von Domain und E-Mail-Adresse). Vorteil: Es kann jeweils ein neuer privater Key erzeugt werden, was hinsichtlich etwaig vorhandener Schwachstellen wichtig sein kann.
== Nachteile Class-1 ==
*Man kann nur ein Zertifikat pro Domain erstellen, das für die Domain selbst und die ''www'' Subdomain gilt. Weitere Subdomains sind nicht möglich.
*Der Rückruf eines Zertifikats kostet 10 US$.
== Installation ==
=== Keys erzeugen ===
Unter openSUSE, siehe auch [[Apache#SSL.2FTLS_Zertifikate_unter_openSUSE|Apache]]:
gensslcert -c DE -s NRW -l Mettmann -o "privat" -u "privat" -e "webmaster@kruedewagen.de" -n www.kruedewagen.de
=== Apache ===
Siehe https://startssl.com/Support?v=21.
<syntaxhighlight lang="apache">
SSLCertificateFile "/usr/local/apache2/conf/2_your_domain.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/private.key"
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"
</syntaxhighlight>


== Weblinks ==
== Weblinks ==
Zeile 10: Zeile 37:
== Siehe auch ==
== Siehe auch ==
*[[CAcert]]
*[[CAcert]]
*[[Apache#TLS|Apache TLS]]


[[Kategorie:Sicherheit]]
[[Kategorie:Sicherheit]]

Aktuelle Version vom 2. Oktober 2016, 12:01 Uhr

StartSSL der Firma StartCom Ltd. (Start Commercial Limited) bietet X.509 Zertifikate für Clients und Server. Class-1 Zertifikate ohne Identitätsprüfung sind kostenlos und haben seit 2016 eine Gültigkeit von drei Jahren. Das Zertifikat der Root-CA von StartSSL ist in gängigen Browsern und E-Mail-Clients enthalten, so dass sie sofort gültig sind - im Gegensatz zu denen von CAcert.

Tipps und Tricks

Domain

Seit 2016 kann man bis zu 10 Hostnamen pro Zertifikat angeben, die sogar aus unterschiedlichen 2nd Level Domains stammen können. Diese Domains müssen vorab validiert werden.

Zertifikate in Firefox

Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe Certificate OCSP Validation Failure in Firefox.

Bei Fehlern mit dem Einloggen in StartSSL:

Verlängerung

Class-1 Zertifikate werden prinzipiell wohl nicht verlängert, sondern müssen komplett neu erstellt werden (inkl. Validierung von Domain und E-Mail-Adresse). Vorteil: Es kann jeweils ein neuer privater Key erzeugt werden, was hinsichtlich etwaig vorhandener Schwachstellen wichtig sein kann.

Nachteile Class-1

  • Man kann nur ein Zertifikat pro Domain erstellen, das für die Domain selbst und die www Subdomain gilt. Weitere Subdomains sind nicht möglich.
  • Der Rückruf eines Zertifikats kostet 10 US$.

Installation

Keys erzeugen

Unter openSUSE, siehe auch Apache:

gensslcert -c DE -s NRW -l Mettmann -o "privat" -u "privat" -e "webmaster@kruedewagen.de" -n www.kruedewagen.de

Apache

Siehe https://startssl.com/Support?v=21.

SSLCertificateFile "/usr/local/apache2/conf/2_your_domain.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/private.key"
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"

Weblinks

Siehe auch