SSL Zertifikate - Generelle Unterschiede?

[web-gear]

Hallo zusammen,

ich denke darüber nach, mit von einer Zertifizierungsstelle ein SSL Zertifikat ausstellen zu lassen, dass ich dann für meinen Webserver einsetzen würde. Ich möchte dabei nichts selbstsigniertes, weil das Zertifikat von den Webbrowsern meiner Anwender ohne Umwege als "vertrauenswürdig" eingestuft werden sollte.

Jetzt habe ich schon einige Anbieter gefunden, die akzeptable Preise haben und auch einen guten Eindruck machen, jedoch frage ich mich, warum es so viele Angebote gibt die sich teilweise recht heftig im Preis unterscheiden.

Ausschlaggebend scheinen zu sein (das habe ich bisher gefunden):

• - ob es sich um ein Zertifikat mit 128-Bit-Verschlüsselung oder z.B. 256 Bit handelt
  - wie gut man selbst als Antragssteller von der Zertifizierungsstelle geprüft wird (nur per Mailrobot oder auch mit Dokumenten etc.)
  - wie gut die Unterstützung "gängiger" Webbrowser ist
  - ob es sich bei CA um eine mit großem Namen handelt
  - wie hoch die Versicherungssumme ist

Das ist sicher noch nicht alles. Ich frage mich aber, welche Auswirkungen das in der Praxis für den Seitenbesicher hat?? Klar die Sache mit dem Webbrowsern sollte man vorher klären, aber da waren alles Angebote die ich bisher gesehen habe zufriedenstellend.
Ich meine, könnte ich es später bereuen, mein Zertifikat nicht bei einem der großen eingekauft zu haben?

Ich weiß, dass hier keine Anbietervergleich erwünscht sind, deswegen möchte ich darauf verzichten, hier reinzuschreiben, mit was ich konkret liebäugele, aber recht interessant sieht z.B. die CA aus, die von der Addons-Seite von Mozilla.org verwendet wird. Die ich dort aber zum ersten Mal gesehen habe.

Also ich verstehe im Moment einfach nicht wieso es da zig Anbieter mit unterschiedlichen Preisen für in meinen Augen praktisch gleich Angebote gibt. Kann mir hier jemand die Augen öffnen?

Danke & mfG
web-gear

[jhnet]

Hallo,

die wichtigsten Unterschiede hast Du doch schon herausgefunden. Die grösste Rolle dabei spielt sicherlich die Prüfung des Antragstellers. Preiswertere Anbieter prüfen über einen (meist automatisierten) Telefonanruf, namhafte Anbieter prüfen per Handelsregister bzw. Gewerbegenehmigung und persönlichem Kontakt. Oftmals handelt es sich auch um Reseller die Dir für ein paar Euro Aufpreis die Arbeit der Prüfung abnehmen.
Die Güte des Zertifikats sollte auf das abgestimmt sein was Du damit machen möchtest. Für das Versenden weniger kritischer Daten (z.B. Formulareingaben etc.) reicht ein einfaches Zertifikat, auch für kleine Onlineshops sollte das ausreichen. Willst Du einen grösseren Shop betreiben oder oftmals kritische Daten (z.B. Kreditkartennummern) übertragen sollte ein Zertifikat der Mittelklasse her. Die richtig grossen und teueren Zertifikate bei denen auch die Prüfung des Antragstellers schon mal mehrere Tage dauern kann sind ansich nur für Banken oder ähnliche Sites interessant.
Als Privatperson hast Du bei den ganz grossen Anbietern wie Verisign sowieso Probleme überhaupt ein entsprechendes Zertifikat zu bekommen, andere Anbieter geben für Privatpersonen lediglich abgespeckte Zertifikate aus.
Die meisten Zertifikate lassen sich übrigens auch für den IMAP oder POP3 Server nutzen und machen sich damit an mehreren Stellen bezahlt.

Die Browser-Unterstützung ist inzwischen überall recht gut, zudem merkt der "Normaluser" nicht was für ein Zertifikat der Betreiber verwendet.

Bye,

Jörg

[web-gear]

Hallo,

danke für Deine Antwort! Also da ich das ganze gewerblich nutzen will, wäre das mit Dokumenten kein Problem, im Gegenteil ist mir recht wenns schön "offiziell" ist. Ich denke das sensibelste was übertragen werden soll sind (deutsche) Kontoverbindungen. Ansonsten vielleicht noch Adressdaten, Telefonnummern etc.
Aber was genau meinst Du "Güte des Zertifikats". Sind die "kleinen" Zertifikate also sozusagen unsicherer? Wie kann man das auf eine Skala bringen? Ich meine nur weil auf einen Zertifikat VeriSign draufsteht ist es doch nicht besser, oder?

Das alles kommt mir nach wie vor seltsam vor.

Die meisten Zertifikate lassen sich übrigens auch für den IMAP oder POP3 Server nutzen und machen sich damit an mehreren Stellen bezahlt.

Ja das wäre tatsächlich sehr praktisch. Allerdings bräuchte man vermutlich sowieso ein eigenes wenn der Mailserver mail.domain.net o.ä. und nicht http://www.domain.net heißt.

MfG
web-gear

[jhnet]

Hallo,

unsicher sind die kleinen Zertifikate nicht, die Verschlüsselung funktioniert technisch genauso (mit zumeist 1024 bit Schlüsseln) und einem 128 bit Zertifikat.
Der zentrale Punkt ist die Prüfung, es ist relativ leicht ein billiges Zertifikat zu bekommen, wo lediglich per Telefon und/oder Email geprüft wird oder wo sogar nur der Domaininhaber mit dem Antragsteller übereinstimmen muss. Ein "grosses" Zertifikat erfordert hingegen einen HR-Eintrag oder ähnliches sowie meist einen Manager beim Antragsteller der persönlich kontaktiert wird. Manchmal werden auch zusätzlich Telefonrechnungen etc. angefordert. Darüber hinaus bieten die "Grossen" mehr Service in Form von Schulungen oder Remindern beim Zertifikatsablauf und natürlich höhere Versicherungssummen.

Wenn man für die Verwendung für Mail etc. kein Wildcard-Zertifikat einsetzen will muss man tatsächlich pro Domain ein eigenes anschaffen.

Bye,
Jörg

[Outlaw]

Ich habe mir in den USA ein "Billigzertifikat" geholt, da nachher kein Schwein mehr genauer dahinterschaut, wer das Zertifikat geprüft hat. Hauptsache das Schloss ist unten im Browser, also daß verschlüsselt wird, und es kommen keine Browsermeldungen.

Ich habe ca. 16US$ für das Jahr bezahlt und das Grundzerti kommt IMHO von FREESSL aber ich habe es über meinen US Domainhändler besorgt, da ich mit denen super Erfahrungen gemacht habe.

Naja, etwas Nachteiliges konnte ich bis jetzt nicht feststellen und ich sehe auch nicht ein, warum ich 100e von â?¬ im Jahr für so n Zerti ausgeben soll.

Prüfung ging auch telefonisch und war innerhalb Minuten erledigt und ne Anleitung war auch dabei.

Wer sich allerdings wegen US "Rechnungen" ins Hemd macht, sollte die Finger davon lassen, denn per Post gibbet nix und man kann es sich auch nur per Oberfläche ausdrucken lassen. Man sollte aber daran denken, daß man die deutschen Steuerrichtlinien einhält, da die keine Steuern auf ihren Rechnungen ausweisen.

Den Anbieter nenne ich jetzt nicht, da wir hier ja keine Vergleiche fahren dürfen, Infos gibbet auf Anfrage per PM aber ich glaube, man findet über Google mehrere Anbieter und im Prinzip dürften die sich kaum unterscheiden.

Gruß Outi

[jeti-power]

Hi,

16$ - hört sich günstig an. Darf ich fragen, wo du das genau bestellt hast?
Interessant wäre auch, ob FreeSSL als Antragssteller eingetragen ist + Link zu einer Info-Seite, oder ob das Zertifikat auf dich ausgestellt wurde.

Gruss,
jeti-power

[w. gerlign]

Ich will auch den Anbieter erfahren. :-D

Ich finde die Preise einfach übertrieben da gibt es eingie die pro jahr 499â?¬ für die 20 Zeilen Text/Code verlangen... :?

Ich habe aus einem Forum http://cert.startcom.org/ gefunden. Soll angeblich kostenlose und richtig segnirte Zertifikate erstellen... aber geht bei mir irgendwie nicht, confixx behauptet immer Key und Zertifikat gehören nicht zusemmen... :evil:

[theomega]

hm, das ist aber kein richtiges cert, die ca ist meinem firefox zumindest unbekannt, womit jeder der eine Seite besucht erstmal eine Meldung über eine Unsichtheit bekommt, sollange bis er das ca von denen importiert. Da kannst du gleich dein eigenes ca benutzen.

Gruß
TO

[jeti-power]

hm, das ist aber kein richtiges cert, die ca ist meinem firefox zumindest unbekannt, womit jeder der eine Seite besucht erstmal eine Meldung über eine Unsichtheit bekommt, sollange bis er das ca von denen importiert. Da kannst du gleich dein eigenes ca benutzen.

Gruß
TO

Servus,

es ist auch nichts anderes, nur mit dem Unterschied, dass hier noch das Risiko dazu kommt, dass es nicht lokal auf deinem Server erzeugt wurde.

Also ich würde auf jeden Fall die Finger von sowas lassen...

Gruss,
Jens

[theomega]

naja, es hat den vorteil: wenn ganz viele seiten bei dem projekt mitmachen dann hat irgendwann jeder user die ca importiert und damit wird auch keine meldung mehr ausgegeben. Aber ich würde lieber auf seriäse Anbieter setzten.

[andreask2]

Wobei ich dann allerdings cacert.org mehr Chancen einräumen würde: http://www.cacert.org/index.php?id=0&lang=de_DE

[jeti-power]

naja, es hat den vorteil: wenn ganz viele seiten bei dem projekt mitmachen dann hat irgendwann jeder user die ca importiert und damit wird auch keine meldung mehr ausgegeben. Aber ich würde lieber auf seriäse Anbieter setzten.

Hi,

das mag ein Vorteil sein. Aber ich bezweifle, dass es soweit kommen wird und gerade bei dem Anbieter sehe ich als primäres Problem (und das ist imens), dass die Zertifikats-Anfrage direkt bei denen auf den Servern generiert wird mit allem was dazu gehört (z.B. Private Key).

Der problematische Aspekt hat Heise vor geraumer Zeit sehr gut aufgeführt:
http://www.heise.de/newsticker/meldung/56750

Ich kann daher nur davor warnen einen solchen Dienst zu verwenden, sofern man etwas auf Sicherheit wertlegt.

Gruss,
Jens

[andreask2]

Bei cacert.org muss man KEY und CSR selbst erzeugen und erhält dann für sein CSR das Zertifikat. Genau so wie bei kostenpflichtigen Anbietern. Und authentifiziert wird man über die Email-Adresse, ebenfalls so wie bei den billigen kostenpflichtigen Zertifikaten. Der Unterschied ist, dass dieser Service kostenlos ist, dafür das CA-Zertifikat auch noch(!) nicht in den Browsern enthalten.

[jeti-power]

Bei cacert.org muss man KEY und CSR selbst erzeugen und erhält dann für sein CSR das Zertifikat. Genau so wie bei kostenpflichtigen Anbietern. Und authentifiziert wird man über die Email-Adresse, ebenfalls so wie bei den billigen kostenpflichtigen Zertifikaten. Der Unterschied ist, dass dieser Service kostenlos ist, dafür das CA-Zertifikat auch noch(!) nicht in den Browsern enthalten.

Hi,

eben genau das ist der Vorteil gegenüber den Zertifikaten von Startcom.

Die Frage die sich halt stellt ist, ob cacert.org als Stamm-CA es in die diversen etablierten Browser schafft.

Wenn man bedenkt, dass hier praktisch überhaupt kein Schutz mehr stattfindet, dann ist die Entwicklung doch sehr bedenklich. Andererseits geht die Richtung eh in Richtung schwächere Prüfung (siehe StarterSSL, wo nur eine telefonische Prüfung stattfindet).

Mal schauen wohin die Zukunft von SSL uns bringt, denn eines ist auch klar - zumindest die Besucher von SSL-Seiten schauen in der Regel nicht nach, wie vertrauenswürdig der CA-Aussteller ist.

Gruss,
Jens

[andreask2]

Also bei FreeSSL-Zertifikaten erfolgt 1:1 dieselbe Prüfung wie bei cacert.org.

Man geht halt davon aus wenn jemand eine bestimmte Email-Adresse unter einer Domain einrichten/abrufen kann, dass er entsprechend auch der richtige ist das Zertifikat zu empfangen. Wenn man höhere Anforderungen hat, kann man andere Zertifakte nehmen und mehr bezahlen.

Dumm ist nur das der DAU sowas nicht unterscheiden kann, daher sollte man evtl. mal drüber nachdenken, sowas im Browser darzustellen, irgendwelche Sicherheits-Stufen der Zertifikate oder so.

[Joe User]

Die Frage die sich halt stellt ist, ob cacert.org als Stamm-CA es in die diversen etablierten Browser schafft.
...
denn eines ist auch klar - zumindest die Besucher von SSL-Seiten schauen in der Regel nicht nach, wie vertrauenswürdig der CA-Aussteller ist.

Weshalb ist eine CA, die es in die "etablierten Browser" geschafft hat, vertrauenswürdiger, als die Eigene? Wie sehen Eure diesbezüglichen Sicherheitsrichtlinien aus und wie stellt Ihr deren Einhaltung sicher? Wie transparent sind Geschäftsgebaren und Infrastruktur dieser Dienstleister und wie (oft) überprüft Ihr es, oder vertraut Ihr blind deren Marketingabteilungen?

SCNR