Was darf ein SSL-Zertifikat kosten?

lynx

lynx

0
Guten Morgen HaBos!

Ich denke darüber nach mir ein SSL-Zertifikat für meinen gehosteten Server zuzulegen.

Jetzt würde ich gerne wissen, was das kosten darf.

Mein Provider hat diverse Zertifikate im Angebot:

1) AlphaSSL für 35€ pro Jahr
("256 Bit-Verschlüsselung, kompatibel zu 99% aller Internetbrowser, inklusive "Secured by" Sicherheitssiegel von Globalsign")
2) AlphaSSL Wildcard für 105€ pro Jahr
("256 Bit-Verschlüsselung, kompatibel zu 99% aller Internetbrowser, inklusive "Secured by" Sicherheitssiegel, für beliebig viele Subdomains gültig")
3) DomainSSL für 75€ pro Jahr
("domainverifiziert, kompatibel zu 99% aller Internetbrowser, Sichert Domain.de und domain.de(ohne www), 256 Bit Verschlüsselung, 2048 Bit Schlüssellänge, Globalsign Secured Siegel, Versicherungsschutz bis 10000$")

Sind diese Preise in Ordnung? Habt ihr vielleicht Alternativen in Benutzung, die ihr mir empfehlen könnt?

Auch müsste ich wissen, ob ein einziges Zertifikat alle meine Domains auf diesem einen Server abdeckt.

Für eure Tipps danke im Voraus!

Viele Grüße,
lynx

P.S.: Lohnt sich ein Zertifikat überhaupt für eine kleine Cloud und ein paar CMS-Systeme??
 
Wenn du alle Domains abdecken willst, brauchst du für jede Domain ein Zertifikat. Selbst Wildcard-Zertifikate sind normalerweise nur für *.domain.tld und nicht für *.tld, weil dann SSL ziemlich sinnlos wäre.
 
Ich empfehle auch mal einen Blick auf StartSSL. Gerade wenn Du mehrere Zertifikate brauchst sind die extrem günstig weil du nur alle 2 Jahre deine ~60 Dollar für die Validierung deiner Person und nicht für die einzelnen Zertifikate zahlst. Der Support ist auch ganz okay soweit ich das überschauen kann. Hatten bisher 3x mit denen zu tun und hatten immer freundliche, bausteinarme und schnelle Antworten (immer unter 15min).

Wenn du keinen dedizierten Server sondern ein Hostingprodukt hast solltest du das dann nochmal mit dem Anbieter absprechen ob die dir das Zertifikat dann auch einbinden wollen.
 
sieben hat gesagt.:
Ich empfehle auch mal einen Blick auf StartSSL. Gerade wenn Du mehrere Zertifikate brauchst sind die extrem günstig weil du nur alle 2 Jahre deine ~60 Dollar für die Validierung deiner Person und nicht für die einzelnen Zertifikate zahlst.
Zum Vergrößern anklicken....

Aber nicht für die Class 1 Zertifikate, oder?
 
Klasse, erst einmal danke für die vielen Ideen & Anregungen!

@schwarzebeere: Vielen Dank für den Hinweis, habe das mit XCA in wenigen Minuten hinbekommen. Jetzt ist es so, dass ich drei Zertifikate habe: eines für den Client, eines für den Server und eines mit CA. Konnte aber nicht herauslesen, wie genau der nächste Schritt ablaufen soll. Die schreiben dort was von einem Ruby-Skript und habe diesbezüglich keinen (oder kaum einen) Plan.

@bitmuncher: War auch meine Annahme, dass es teuer wird, wenn alle Domains ein eigenes Zertifikat bekommen sollen. Das ist natürlich weder elegant, noch sinnvoll.

@derhesse: Bei startssl sieht das doch sehr gut aus! Beliebig viele Domains für nicht mal 50€ in zwei Jahren.

Was ich eben noch machen müsste ist meinen Provider fragen. Da der aber eben eigene anbietet kann der sich auch sperren. Bin gespannt, was er sagt.

Yo, dann nochmals danke! Wenn ihr euch auf StartSSL geeinigt habt, dann hat sich meine Frage beantwortet. :thumb_up: Ansonsten: Das mit XCA selber zu lösen wäre natürlich extrem gut. Mal sehen, warte jetzt die Antwort von meinem Hoster ab.

Viele Grüße,
lynx

[Edit, 10:15]

So, die Antwort von meinem Provider bekommen: Die lassen es _nicht_ zu eigene Zertifikate zu hinterlegen. Bad luck. Die Infos waren aber trotzdem hilfreich. Vielleicht ziehe ich meinen Kram um...
 
Zuletzt bearbeitet:
xeno hat gesagt.:
Ich wollte damit auch nur auf diesen Umstand hinweisen. Auch wenn ich auf Android-Geräten nicht immer Glück hatte was die Bekanntheit von StartSSL angeht ;)
Zum Vergrößern anklicken....

Android und Zertikate beliebiger CAs sind immer wieder Quell der Freude. Ich habe auch nie verstanden warum die den Nutzer da nicht an den Zertifikatspeicher lassen. Aber hey, hauptsache das Root CA von der NSA ist immer sauber drin. ;-)

Eigentlich ist StartSSl seit Android 2.2 drin, aber einzelne Hersteller pfuschen da halt dann immernoch ordentlich dran rum. Hast Du da noch aktuelle Beispiele (so ab Android 2.4 aufwärts) wo es Probleme gibt?

lynx hat gesagt.:
So, die Antwort von meinem Provider bekommen: Die lassen es _nicht_ zu eigene Zertifikate zu hinterlegen. Bad luck. Die Infos waren aber trotzdem hilfreich. Vielleicht ziehe ich meinen Kram um...
Zum Vergrößern anklicken....

Das ist leider ein recht verbreitetes Problem. Die Anbieter verkaufen die Zertifikate mit richtig ordentlich großen Gewinnmargen und die wollen sie sich eben auch nicht durch die Lappen gehen lassen in dem sie irgendwelche Fremdzertifikate einbinden. Technisch gibt es für sie keinen Grund es nicht zu tun.
 
lynx hat gesagt.:
@schwarzebeere: Vielen Dank für den Hinweis, habe das mit XCA in wenigen Minuten hinbekommen. Jetzt ist es so, dass ich drei Zertifikate habe: eines für den Client, eines für den Server und eines mit CA. Konnte aber nicht herauslesen, wie genau der nächste Schritt ablaufen soll. Die schreiben dort was von einem Ruby-Skript und habe diesbezüglich keinen (oder kaum einen) Plan.
Zum Vergrößern anklicken....

Das Ruby-Skript dient nur zur Validierung, d.h. es wird (grob gesagt) versucht, das Serverzertifikat, welches vom Webserver ausgeliefert wird, auf eine im Client eingetragene vertrauenswürdige CA zurückzuführen. Gleiches macht der Firefox beim Aufruf einer Website. Der CA wird hierbei direkt vertraut, dem Serverzertifikat wird jedoch ein hierarchisches Modell zurgrunde gelegt, welches auf dem direkten Vertrauen in die (selbstsignierte) CA aufbaut.

Dein nächster Schritt wäre das Eintragen des CA-Zetrifikats in die Liste der vertrauenswürdigen CAs:
- Firefox: Einstellungen -> Erweitert -> Zertifikate anzeigen -> Importieren; - IE: Internetoptionen -> Inhalte -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen (bei einer einstufigen PKI, wie in der Anleitung beschrieben) -> Importieren..)
- Jedes Java-basierte Programm besitzt einen Keystore, in dem du Zertifikate speichern kannst. Ein Beispiel hierzu wäre: http://blog-it.hypoport.de/20....keystores/ -> Konfiguration des Clients.

Öffnest du nun mit einem der Clients deine Website und wird dein Zertifikat komplett ausgeliefert, so kann man durch das hierarchische Vertrauen in die CA dein Serverzertifikat verifizieren. Das Problem wird nun sein, dass du das Zertifikat der CA zu deinen Clients bringen musst. Im begrenzten Benutzerkreis (z.B. innerhalb eines Unternehmens) ist das in der Regel einfach (z.B. über Gruppenrichtlinien in Windows Umgebungen), im offenen Internet werden dazu vordefinierte Listen in die Softwareprodukte (Firefox, Windows, ..) integriert - das sind die CAs von StartSSL, Verisign, Entrust, der Bundesnetzagentur, usw...

Daher kann man folgenden Schluss ziehen: Ist deine Website für unbekannte "Benutzer aus dem Internet" gedacht, dann macht es Sinn, sich von den o.g. Anbietern ein Zertifikat ausstellen zu lassen, da dein Client dann im Vergleich zu deiner nicht vertrauenswürdigen CA (weil nicht in der Liste) erstmal keine Fehlermeldung wirft. Ist deine Website nur für einen bekannten Besucherkreis, dann interessiert eine solche Meldung meist niemanden und jeder kann dazu gebracht werden, deinem Zertifikat bzw. deiner CA zu Vertrauen, sodass die Meldung automatisch verschwindet.
 
So, Provider gewechselt. :-D

Gilt dieses Angebot von StartSSL noch als das günstigste gute oder gibt es inzwischen bessere Lösungen?

@SchwarzeBeere: Sehe ich das hier richtig, dass es vom Benutzer _immer_ den Aufwand erfordert mein selbst erstelltes Zertifikat einem Browser seiner Wahl erst bekannt zu machen? Das wäre natürlich den Wenigsten wirklich zuzumuten.

Und ja, die Seiten sind aus dem normalen (von der NSA überwachten) Internet erreichbar.

Also was ich halt suche sind SSL-Zertifikate, die ich selber installieren kann und der Ablauf sollte eben so sein, wie man es kennt: dass ein User das mit dem Schlossymbol nachprüfen kann, wenn es ihn interessiert, aber seinen laufenden Besuch nicht stört.

Wie immer sehr informativ hier! :-D Dafür schätze ich das Schnitzelbrett. Good work!
 
lynx hat gesagt.:
@SchwarzeBeere: Sehe ich das hier richtig, dass es vom Benutzer _immer_ den Aufwand erfordert mein selbst erstelltes Zertifikat einem Browser seiner Wahl erst bekannt zu machen?
Zum Vergrößern anklicken....

Ja.

Also was ich halt suche sind SSL-Zertifikate, die ich selber installieren kann und der Ablauf sollte eben so sein, wie man es kennt: dass ein User das mit dem Schlossymbol nachprüfen kann, wenn es ihn interessiert, aber seinen laufenden Besuch nicht stört.
Zum Vergrößern anklicken....

Dann brauchst du ein Zertifikat, das von einer CA ausgestellt wurde, deren Root-Zertifikat im Firefox bzw. im jeweiligen Browser installiert ist. Welche das z.B. beim Firefox sind, siehst du hier.
 
Hey,

hier mal ein Artikel zu dem Thema.
Dort werden einige Anbieter beschrieben, unter anderem auch PSW, wo man seine SSL Zertifikat kaufen kann.
Meine habe ich von der PSW GROUP, welche ebenfalls im Artikel erwähnt werden, und ich bin vollkommen zufrieden!
Außerdem siehst du dort auch einige Preise von den verschiedenen Anbietern. Ein echt informativer Artikel!
Ich hoffe ich kann damit helfen :)

lg Maxi

PS: Hallo Forum :)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben