Übersicht in SSL-Dschungel bringen
Posted: 2006-10-25 11:28
Moinsen Leutz,
ich habe die Aufgabe mir neue Vertragsmodalitäten für unsere Webhosting-Kunden auszudenken. (Sind nur ne Hand voll, damit wir unseren Root-Server nicht allein finanzieren müssen).
Jetzt wollen wir mit der Server-Umstellung auch SSL-Verschlüsselung anbieten. Ich habe mich jetzt schon ein wenig eingelesen, jedoch noch die eine oder andere Frage.
Ich werd mal mein gefährliches Halbwissen zusammentragen.
Zertifizierungsklassen:
Bei der Überprüfung der Daten des Antragsstellers gibt es verschiedene Stufen.
Class 0 --> keinerlei Überprüfung (selbst erstellte Zertifikate? )
Class 1 --> geprüfte Mailadresse ( Mail an den Domainadmin laut DNS-Eintrag? )
Class 2 --> schriftliche Bestätigung, das die Angaben korrekt sind ( unterschriebenes Fax? )
Class 3 --> amtliches Dokument (z.B. Perso für Personen oder Handelsregisterauszug bei Frimen)
Zertifikatsarten:
"normale" Zertifikate --> nur für eine Subdomain+Domain gültig subdomain.domain.tld
Wildcard-Zertifikate --> für alle Subdomains einer Domain gültig *.domain.tld
Multidomain Zertifikate --> alle Subdomains mehrerer Domainnamen. Anzahl je nach Vertrag..
Soweit erstmal meine Recherche.
Jetzt habe ich gelesen, dass man pro IP nur ein Zertifikat vergeben kann. Das heißt für mich also, wenn nur unsere Firmendomain gesichert werden soll reicht ein normales Zertifikat. Wollen wir jedoch ein paar Subdomains mit reinnehmen sollte es schon ein Wildcard-Zert. sein.
Kommt nun jedoch ein Kunde (es wurde schon mit Auftrag gedroht) und möchte seine Domain sichern, muss entweder eine weitere IP + ein weiteres Normalzertifikat her oder man erweitert auf ein Multidomain-Zert., so dass man seine Domain mit unten den gemeinsamen Hut nimmt, wobei dann der Eigentümer unsere Firma und nicht der Domaininhaber ist.
Seh ich das richtig?
Greetz
ich habe die Aufgabe mir neue Vertragsmodalitäten für unsere Webhosting-Kunden auszudenken. (Sind nur ne Hand voll, damit wir unseren Root-Server nicht allein finanzieren müssen).
Jetzt wollen wir mit der Server-Umstellung auch SSL-Verschlüsselung anbieten. Ich habe mich jetzt schon ein wenig eingelesen, jedoch noch die eine oder andere Frage.
Ich werd mal mein gefährliches Halbwissen zusammentragen.
Zertifizierungsklassen:
Bei der Überprüfung der Daten des Antragsstellers gibt es verschiedene Stufen.
Class 0 --> keinerlei Überprüfung (selbst erstellte Zertifikate? )
Class 1 --> geprüfte Mailadresse ( Mail an den Domainadmin laut DNS-Eintrag? )
Class 2 --> schriftliche Bestätigung, das die Angaben korrekt sind ( unterschriebenes Fax? )
Class 3 --> amtliches Dokument (z.B. Perso für Personen oder Handelsregisterauszug bei Frimen)
Zertifikatsarten:
"normale" Zertifikate --> nur für eine Subdomain+Domain gültig subdomain.domain.tld
Wildcard-Zertifikate --> für alle Subdomains einer Domain gültig *.domain.tld
Multidomain Zertifikate --> alle Subdomains mehrerer Domainnamen. Anzahl je nach Vertrag..
Soweit erstmal meine Recherche.
Jetzt habe ich gelesen, dass man pro IP nur ein Zertifikat vergeben kann. Das heißt für mich also, wenn nur unsere Firmendomain gesichert werden soll reicht ein normales Zertifikat. Wollen wir jedoch ein paar Subdomains mit reinnehmen sollte es schon ein Wildcard-Zert. sein.
Kommt nun jedoch ein Kunde (es wurde schon mit Auftrag gedroht) und möchte seine Domain sichern, muss entweder eine weitere IP + ein weiteres Normalzertifikat her oder man erweitert auf ein Multidomain-Zert., so dass man seine Domain mit unten den gemeinsamen Hut nimmt, wobei dann der Eigentümer unsere Firma und nicht der Domaininhaber ist.
Seh ich das richtig?
Greetz
). Ein MDC hilft Dir eher darüber hinweg, wenn Du nicht für jeden CN eine IP-Adresse zur Verfügung stellen kannst - identifiziert wird im Zweifel nur die (IP-bezogene) Entität, die im CN angegeben ist. Die restlichen Einträge sind eher als "Künstlernamen" zu bewerten. Ein paranoider Client, der Reverse DNS abfragt, würde die Verbindung wieder kappen, wenn der Zielhost sich per MDC ausweisen möchte (ist mir mal bei SMTPS passiert...)