StartSSL: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
Zeile 11: Zeile 11:
=== Serverzertifikate und Firefox ===
=== Serverzertifikate und Firefox ===
Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe [https://forum.startcom.org/viewtopic.php?f=15&t=2654 Certificate OCSP Validation Failure in Firefox].
Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe [https://forum.startcom.org/viewtopic.php?f=15&t=2654 Certificate OCSP Validation Failure in Firefox].
=== Verlängerung ===
Zertifikate werden prinzipiell wohl nicht verlängert, sondern müssen komplett neu erstellt werden (inkl. Validierung von Domain und E-Mail-Adresse). Vorteil: Es wird jeweils ein neuer privater Key erzeugt, was hinsichtlich etwaig vorhandener Schwachstellen wichtig sein kann.


== Nachteile Class-1 ==
== Nachteile Class-1 ==

Version vom 5. November 2014, 13:22 Uhr

StartSSL der Firma StartCom Ltd. (Start Commercial Limited) bietet X.509 Zertifikate für Clients und Server. Class-1 Zertifikate ohne Identitätsprüfung sind kostenlos und haben eine Gültigkeit von einem Jahr. Das Zertifikat der Root-CA von StartSSL ist in gängigen Browsern und E-Mail-Clients enthalten, so dass sie sofort gültig sind - im Gegensatz zu denen von CAcert.

Tipps und Tricks

Domain

Wenn ein Zertifikat für www.example.com erstellt wird, ist das ebenfalls gültig für example.com (mehrere Einträge mit "DNS-Name"). Vorteil: Man kann das gleiche Zertifikat für beide Domains nutzen, z.B. indem man in Apache einen Alias einrichtet:

ServerName www.example.com
ServerAlias example.com

Serverzertifikate und Firefox

Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe Certificate OCSP Validation Failure in Firefox.

Verlängerung

Zertifikate werden prinzipiell wohl nicht verlängert, sondern müssen komplett neu erstellt werden (inkl. Validierung von Domain und E-Mail-Adresse). Vorteil: Es wird jeweils ein neuer privater Key erzeugt, was hinsichtlich etwaig vorhandener Schwachstellen wichtig sein kann.

Nachteile Class-1

  • Man kann nur ein Zertifikat pro Domain erstellen, das für die Domain selbst und die www Subdomain gilt. Weitere Subdomains sind nicht möglich.
  • Der Rückruf eines Zertifikats kostet 25 US$. Ohne Rückruf kann man keine neues Zertifikat ausstellen.

Weblinks

Siehe auch