Erfahrungen mit Multidomain SSL Zertifikaten

[jkv2002]

Hallo zusammen,
dieses Forum ist für mich schon seit längerer Zeit ein guter Anlaufspunkt für Probleme und Erfahrungen rund um Root-Server. Super!

Zu einem Thema konnte ich aber nichts Aufschlussreiches finden und hoffe auf Eure Hilfe! Ich hoste auf meinem Server mehrere Domains und möchte mir, von einer vertrauenswürdigen CA, ein signiertes Zertifikat besorgen. Ich habe nun aber das Problem, was sicherlich viele trifft: Eine IP und mehrere Domains.

Ich habe zuletzt über Multi-Domain-Zertifikate gelesen, diese sollen mehrere Domains abdecken und von allen gängigen Browsern ohne Murks akzeptiert werden (Sogar IE ab 5.5).

Hat jemand mit solchen Zertifikaten schon Erfahrungen sammeln können? Ist es denkbar für verschiedene Domains in so einem Zertifikat verschiedene Inhaber anzugeben? Wenn nicht, spricht etwas dagegen über diesen Weg Kunden SSL anzubieten (es erscheint dann ja nicht ihr Name als Inhaber, sondern meiner)?

Bin für jede Antwort dankbar!

Gruß,
Juri

[Outlaw]

Bisher hat mich immer der Preis abgeschreckt, daher kann ich damit leider nicht dienen ....

Gruß Outi

[duergner]

Ist mit den Multidomain Zertifikaten aber nicht gemeint, dass sie für beliebige Subdomains gehen?

[daemotron]

Nein, das sind dann Wildcard-Zertifikate, die dann im Common Name irgendwie sowas stehen haben:

Code: Select all

CN = *.domain.tld

Multidomain-Zertifikate, wie sie neuerdings angeboten werden, werden über

Code: Select all

CN = *.domain1.tld
subjectAltName=DNS:*.domain2.tld

im CSR erzeugt - kann man sich übrigens auch kostenfrei bei CACert signieren lassen (siehe .https://wiki.serverkommune.de/index.php/Certs).

Das ganze wird in der OpenSSL-Dokumentation beschrieben: http://www.openssl.org/docs/apps/x509v3 ... tive_Name_

[EDIT] P. S. angeblich funktionieren diese Zertifikate nicht oder nur eingeschränkt mit dem IE - der beherrscht offenbar v3 des X.509-Standards nicht oder nur teilweise - allerdings habe ich das selbst mangels Bedarf bisher nicht getestet...

[duergner]

Aber hebelt das nicht den Schutz aus den ich durch Zertifikate eigentlich haben will? Also vor allem wenn ich sie mir offiziell bestätigen lasse?

Oder wie wird denn nachgeprüft, dass ich alle diese Domains auf ein Zertifikat schreiben darf? Ansonsten schreib ich mir da einfach postbank.de und boeserserver.ru oder was auch immer rein und hab somit die perfekte Phishing Seite? Oder ist das wieder Aufgabe des der CA das zu verifizieren?

Wenn ja dann scheiden damit ja die Zertitikate aus um damit für alle Kundendomains ein Cert zu verwenden, oder?

[daemotron]

Oder ist das wieder Aufgabe des der CA das zu verifizieren?

So ist es. CACert z. B. prüft über eine Bestätigungsmail an den Owner-C oder Admin-C der Domain, ob der Antragsteller berechtigt ist, das Zertifikat zu beantragen (sprich: auf die Mails an die Admin-C Adresse reagieren kann). Jede einzelne Domain muss damit verifiziert werden, und ob dann hinterher für jede Domain ein eigenes Zertifikat oder eben ein Multi-Domain-Zertifikat ausgestellt wird, hat auf die Sicherheit IMHO keinen Einfluss.

Wenn Du Deine Zertifikate selbst signierst, kannst Du natürlich für jede beliebige Domain ein Zertifikat erstellen, z. B. für postbank.de - das geht aber auch ohne Multidomain, kannst ja einfach ein

Code: Select all

CN = *.postbank.de

in den CSR packen.

[duergner]

Ja wenn ich aber selbst signiere dann bekommt der Kunde ja die Warnung, dass das Zertifikat selbstsigniert ist.

[jkv2002]

Hi,
Ich habe einen Anbieter gefunden (seriös, wurde auch getestet und hat viele gute Kundenkritiken), der bietet solche Multidomainzertifikate an. Für drei Domains 149€ pro Jahr. Und dann kann man einzelne Domains für je 49€ dazunehmen. Fand ich jetzt ziemlich günstig! Die einzelnen Domains werden dann, wie jfreund beschrieben hat, über eine Mail an Owner-C oder Admin-C überprüft. Sind also reine Domainzertifikate. IE soll, laut deren Aussage, in den neueren Versionen keine Probleme damit haben und keine Warnung anzeigen.

Hätte auch selber auf die Idee kommen können so ein Multidomainzertifikat selber zu signieren und mal durchzutesten. Dann lässt sich die Entscheidung wohl auch leichter fallen.
Werde berichten!

Ich danke euch!

[daemotron]

Ja wenn ich aber selbst signiere dann bekommt der Kunde ja die Warnung, dass das Zertifikat selbstsigniert ist.

Das ist ja gerade der Gag an der ganzen Geschichte - die CA bestätigt mit ihrer (digitalen) Unterschrift, dass derjenige, der sich mit einem Zertifikat ausweist, auch wirklich derjenige ist, als den er sich ausgibt. Wenn Du Dir Deinen eigenen Perso ausstellen könntest, wäre der als Authentifizierungsmittel ebenfalls unbrauchbar.

Somit liegt es an Dir, die CA davon zu überzeugen, dass sie ein Zertifikat signieren kann, dass auf eine oder eben mehrere Deiner Domains ausgestellt ist. Ich glaube kaum, dass Du eine CA finden wirst, die Dir ein Zertifikat für postbank.de signiert - egal, ob mit

Code: Select all

CN = *.postbank.de 
oder mit
subjectAltName=DNS:*.postbank.de

[duergner]

Mir ist durchaus klar was der Sinn hinter von CA signierten Zertifikaten ist. Meine Antwort oben war auch auch nur drauf bezogen, dass du geschrieben hast, ich könne mit selbst signieren was ich wolle. Mir war nur das Vorgehen bei den Multidomainzertifikaten nicht bekannt bisher.

Und ich bin immer noch nicht von der Idee überzeugt und es macht auch nicht wirklich Sinn, das z.B. für die Online-Shops verschiedenen Kunden zu verwenden, da ja als Inhaber des Zertifikats immer nur eine Person/Organisation drinnen stehn kann.

Multidomainzertifikate sind glaube ich für kleine Wohnzimmerprovider nette Spielereien und für die Großen vielleicht sinnvoll, um das gleiche Angebot, welches sie unter verschiedenen Domains anbieten, zu bündeln, aber sicherlich sind sie IMHO keine Lösung um Präsenzen verschiedener Entitäten zu bündeln.

[daemotron]

aber sicherlich sind sie IMHO keine Lösung um Präsenzen verschiedener Entitäten zu bündeln.

FULLY ACK. Ich setze sie momentan nur als verfeinerte Variante der Wildcard-Zertifikate ein:

Code: Select all

*.domain.tld  beinhaltet nicht  domain.tld

Daher mache ich dann bei meinen CSRs etwas in der Art:

Code: Select all

CN = domain.tld
subjectAltName = DNS:*.domain.tld

Allerdings gibt es Anwendungen, die ich mir noch vorstellen könnte, die ich aber selber noch nicht umgesetzt habe: Für Konfigurations- oder Webmail-Oberflächen (Plesk, Confixx, Horde, ...), auf die der Kunde mit config.seinedomain.tld zugreifen soll, oder auch für einen SSL-Proxy... to be tested.

[duergner]

Wobei man da ja dann auch wieder das Problem hat, dass die Entität die auf dem Zertifikat angegeben ist (nämlich du) nicht mit der Entität übereinstimmt der der entsprechende FQDN gehört. Die Anfrage seitens der CA ob eine Domain in das Zertifikat aufgenommen werden darf ist ja schön und gut aber eigentlich waren die Zertifikate ja dafür gedacht, dass der Nutzer mittels der Angaben im Zertifikat feststellen kann, wem die Seite 'gehört'.

Und für SSL-Proxy hast du das gleiche 'Problem' das ich oben auch schon mal angesprochen habe. Ein Zertifikat kann immer nur einer Entität gehören während der SSL-Proxy ja gerne dazu verwendet wird, mehrere Entitäten dadurch zu tunneln.

Meiner Meinung nach ist die einzige wirklich sinnvolle Lösung hier nur mittels IPv6 zu erreichen, da es dann genügend Adressen gibt um wieder alles sauber zu trennen.

[nyxus]

Meiner Meinung nach ist die einzige wirklich sinnvolle Lösung hier nur mittels IPv6 zu erreichen, da es dann genügend Adressen gibt um wieder alles sauber zu trennen.

Das könntest Du aber auch jetzt schon. Wenn Du Deinen Bedarf RIPE-konform begründen kannst bekommst Du Deine Adressen. Aber bezahlen muss man die vielen Zertifikate natürlich immer, egal ob bei v4 oder v6.

[jkv2002]

Das könntest Du aber auch jetzt schon. Wenn Du Deinen Bedarf RIPE-konform begründen kannst bekommst Du Deine Adressen.

Meinst du IPv6? Die gängigen Browser arbeiten momentan noch komplett mit IPv4 oder?

Ist denn die Sicherung einer Domain per SSL schon Grund genug? Bei den Strato Servern steht dabei, dass man eine eine zusätzliche IP mit beantragen kann. Aber nur eine? :(

[daemotron]

Grundsätzlich ist es kein Problem, die (z. B. für SSL) benötigte Anzahl an IPv4-Adressen zu bekommen. Allerdings gibt es da bei den Providern heftigste Unterschiede; manche statten ihre Rooties gleich von vornherein mit einem ganzen Haufen IPs aus, andere können auch gegen Aufpreis keine zusätzlichen IPs bereitstellen und wieder andere lassen Dich für zusätzliche IPs eben Aufpreise zahlen.

EDIT:
Ja, SSL ist i.d.R Grund genug (zumindest in den AGB meines Providers werden SSL und anonymous FTP als Grund explizit angeführt)
Weiteren Aufschluss geben die Vergaberichtlinien von RIPE: http://www.ripe.net/ripe/docs/ipv4-policies.html

[jkv2002]

Danke für die Information!
Habe eben bei Strato angefragt, mehr als 2 IP-Adressen pro Server vergeben die nicht :(
Werde es mit Multidomainzertifikaten ausprobieren.

[Anonymous]

Hi,
Ich habe einen Anbieter gefunden (seriös, wurde auch getestet und hat viele gute Kundenkritiken), der bietet solche Multidomainzertifikate an. Für drei Domains 149€ pro Jahr.

Hallo jkv2002,

könntest du bitte den Namen des Anbieters hier publizieren (oder falls dies nicht erlaubt ist, mir eine Nachricht senden). Ich bin schon länger auf der Suche nach einem Anbieter für Multi-Domain-SSL-Zertifikate und ich denke, dass weitere Personen ebenfalls auf der Suche nach einem in den Browsern "eingebauten" CA sind.

[Outlaw]

1&1 vergibt bis zu 8 IPs pro Server, weist aber auch bei der Bestellung darauf hin, daß die IPs auch genutzt werden müssen.

Preis bei nem knappen Euro pro IP pro Monat.

Gruß Outi