Welches SSL-Zertifikat würdet ihr empfehlen

  • Hallo liebes netcup-Forum.


    Ich bin ganz frisch in dem Forum und habe auf die Schnelle kein passendes Thema gefunden.


    Ich bräuchte eure Hilfe in Sachen SSL-Zertifikate, ich hatte schon den Support angeschrieben, die haben mich jedoch auf das Forum verwiesen.


    Nun aber zu meine Frage (Zur Info: Ich habe bis jetzt noch keine Erfahrungen mit SSL sammeln können):


    Zwei Kollegen und ich möchten in ganz naher Zukunft zwei Online-Shops und eine Homepage online stellen und wir haben somit 3 Domains.

    Wir möchten natürlich seriös im Internet aufgestellt sein, so dass der Kunde uns auch vertrauen kann. Jedoch habe ich gelesen, dass die Zertifikat oft pro Domain ausgestellt werden, gibt es eventuell eine Art Bundle für mindestens zwei Domains (die beiden Shops) oder sogar für drei Domains?


    Wir möchten auch nicht die günstigsten Zertifikate, die sollen schon viele Browser unterstützen und auch Mobile Geräte.


    Vielleicht hat jemand eine Empfehlung für uns oder kann mit uns Erfahrungen teilen.


    Vielen Dank schon einmal im voraus.


    Mit bestem Gruß :)

    Bastian


    PS.: Ich habe bei netcup einen Root-Server M v2, Falls die Info wichtig sein sollte =)

  • So lange du den Server selbst managest oder ein Webhosting nutzt, dass es unterstützt, rate ich zu ECDSA Zertifikaten (gibt es z.B. von LetsEncrypt kostenfrei mit bis zu 384 Bit). Die verwenden asymmetrische Verschlüsselungstechniken und sind damit sehr sicher.

    Zudem sollte der Webserver nur TLS1.2 und TLS1.3 anbieten.


    Die Kompatibilität von ECDSA ist auch durchaus in Ordnung --> https://support.globalsign.com…e-cycle/ecc-compatibility


    Von RSA sollte wo möglich Abstand gehalten werden, wenn ECDSA möglich ist. Sollte nur RSA möglich sein, sollte man ein 4096 Bit Zertifikat wählen.


    Mehr Infos gibt es hier --> https://www.kuketz-blog.de/ngi…nd-moderne-cipher-suiten/
    Zudem empfehle ich zur Geschwindikeitsverbesserung OCSP Must Staple. Mehr dazu hier --> https://www.kuketz-blog.de/ngi…must-staple-ohne-timeout/


    Hier auch nochmal etwas zum Thema ECDSA vs. RSA --> https://bitcoin.stackexchange.…sing-ecdsa-instead-of-rsa

    Zitat

    ECDSA offers same levels of security as RSA, but with a much smaller footprint.

    In fact, the more you increase the security, the larger the RSA keys become compared to ECDSA.


    Der Preis sagt nichts über die Sicherheit eines Zertifikats aus. Die Seriosität... naja, also ich habe noch niemanden gesehen, der schaut, wer das Zertifikat nun ausgestellt hat.

    Da schaue ich als "Techniker" eher danach und Runzel die Stirn, wenn ich RSA sehe.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Man könnte das ganze auch in einem SAN Zertifikat lösen 3 Domains ins SAN geht auch als wildcard *.

    Kann man machen, aber ich finde, zumindest wenn man LetsEncrypt nutzt, lassen sich die Zertifikate wenn sie einzeln sind einfacher verwalten. Ist aber nur meine subjektive Sicht der Sache.


    Technisch möglich ist es natürlich.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Okay dann kann man auch 3x Wildcard machen ich persönlich nutze immer Wildcards von Alfa weil ich an die fast für umme ran komme. Daher gebe ich mir das mit LE nicht einmal einrichten im Jahr und Wildcard ;) aber ja gut normalerweise sind die halt nicht für fast umme :)

    Umme= umsonst...

  • Okay dann kann man auch 3x Wildcard machen ich persönlich nutze immer Wildcards von Alfa weil ich an die fast für umme ran komme. Daher gebe ich mir das mit LE nicht einmal einrichten im Jahr und Wildcard ;) aber ja gut normalerweise sind die halt nicht für fast umme :)

    Umme= umsonst...

    Mal so als Frage - generell eigentlich.


    Kann man bei "Bezahlanbietern" auch ECDSA bekommen? Ich habe bisher immer nur von RSA Zertifikaten mit teilweise sogar bloß 2048 Bit gehört bzw. gelesen.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • ECDSA ist mir bisher keiner untergekommen aber du kannst ja ein 4096 Bit machen oder noch mehr :)

    Kann man, sollte man aber meiner Meinung nach eher nicht.


    Ich bin jetzt kein Verschlüsselungsspezialist oder so, aber mein Wissensstand ist folgender:

    RSA ist ein symmetrisches Verschlüsselungsverfahren. Für mehr Sicherheit muss man hier ziemlich hohe Bitzahlen einsetzen, was zur Verwendung von mehr CPU Zeit bei Ver- und Entschlüsselung führt. Das geht auf die Performance.


    Mit ECDSA als asymmetrisches Verschlüsselungsverfahren erreicht man meines Wissens mit weitaus weniger Bits (=weniger CPU Zeit bei Ver- und Entschlüsselung nötig) das gleiche Level an Sicherheit.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich bin jetzt kein Verschlüsselungsspezialist oder so, aber mein Wissensstand ist folgender:

    RSA ist ein symmetrisches Verschlüsselungsverfahren. Für mehr Sicherheit muss man hier ziemlich hohe Bitzahlen einsetzen, was zur Verwendung von mehr CPU Zeit bei Ver- und Entschlüsselung führt. Das geht auf die Performance.


    Mit ECDSA als asymmetrisches Verschlüsselungsverfahren erreicht man meines Wissens mit weitaus weniger Bits (=weniger CPU Zeit bei Ver- und Entschlüsselung nötig) das gleiche Level an Sicherheit.

    Damit hat whoami0501 durchaus Recht: RSA braucht bei entsprechend langen Schlüssellängen viel CPU Zeit zum Ver- und Entschlüsseln, da bieten Verfahren, die auf elliptischen Kurven basieren, einen klaren Performancevorteil.

    Man muss dennoch richtigstellen:

    RSA ist auch ein asymmetrisches kryptographisches Verfahren

  • Man muss dennoch richtigstellen:

    RSA ist auch ein asymmetrisches kryptographisches Verfahren

    Wieder was gelernt - ich sag ja, Spezialist bin ich dann doch nicht. Das ist nur Halbwissen, welches von hier und da lesen über die Zeit zusammengekommen ist. ^^


    Ich habe es nie gemessen, aber zumindest die Schwuppdizität in Puncto Ladezeit meiner Websites hat sich durch den Einsatz von ECDSA Zertifikaten durchaus verbessert. ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • RSA 2048 gilt aktuell als sicher und die allermeisten Zertifikate (vor allem root Zertifikate) verwenden einen solchen Schlüssel.

    Technisch ist es mittlerweile fein Letsencrypt zu verwenden. Wenn du einen zusätzlich Marketing-Effekt haben willst kannst du EV Zertifikate kaufen. Dann wird in manchen Browsern in der Adressleiste der Unternehmensname in einer grünen Box vor die URL gestellt oder die ganze Leiste grün dargestellt. Siehe z.B. https://www.netcup.de im IE oder alten Edge.


    Wer im Internet Geld verdienen will achtet ansonsten auf maximale Client-Kompatibilität. Der Browser und Server einigen sich beim Handshake idR. immer auf die bestmögliche Verschlüsselung. Wenn jemand unbelehrbar ist und nach wie vor mit seinem IE8 und XP/Win7 surft, dann wird er das vermutlich auch weiterhin tun nur eben woanders kaufen solltest du kein TLSv1.0 anbieten.


    Und solche Clients gibt es nach wie vor, wenn auch nur sehr wenige (in Deutschland!). Nicht jede Zielgruppe ist technikaffin. Deswegen bietet Google auch nach wie vor TLSv1.0 an vgl. https://www.ssllabs.com/ssltes…ml?d=www.google.de&latest


    Meine kurze Zusammenfassung:

    - SSLv2, SSLv3 abschalten

    - TLSv1.0, TLSv1.1 Ciphers einschränken oder abschalten (je nach Zielgruppe und Kundenherkunft)

    - TLSv1.2 Ciphers einschränken

    - TLSv1.3 anbieten


    Es gibt hierzu zahlreiche Guides und das Ergebnis lässt sich immer schnell mit ssllabs überprüfen.


    Ich hoffe das hilft dir und beleuchtet das Thema auch unter einem anderen Gesichtspunkt.

  • Wenn du einen zusätzlich Marketing-Effekt haben willst kannst du EV Zertifikate kaufen. Dann wird in manchen Browsern in der Adressleiste der Unternehmensname in einer grünen Box vor die URL gestellt oder die ganze Leiste grün dargestellt. Siehe z.B. https://www.netcup.de im IE oder alten Edge.

    Hat nicht irgend ein Browserhersteller sogar angekündigt, dass die grüne Leiste für EV Zertifikate wieder verschwindet?

  • Hat nicht irgend ein Browserhersteller sogar angekündigt, dass die grüne Leiste für EV Zertifikate wieder verschwindet?

    Jup.


    Auf kurz oder lang wird dieses Merkmal eines EV Zertifikats eh irrelevant, da die meisten Browser dies bald nicht mehr anzeigen bzw. schon umgesetzt haben.

  • Ich habe es nie gemessen, aber zumindest die Schwuppdizität in Puncto Ladezeit meiner Websites hat sich durch den Einsatz von ECDSA Zertifikaten durchaus verbessert. ;)

    Das ist ja auch der aktuelle Stand der Techniker. ECDSA ist nicht nur um einiges sicherer, sondern auch schneller. RSA ist nach allen aktuell Best Practice Anleitungen ok, neue Systeme sollen aber nur noch ECDSA benutzen.


    whoami0501: Elliptische Kurven sind bei https und ssh weniger Prozessor und Speicher intensiv. Du meinst hier sicherlich nicht wie hier im Thread die Authentizität der Gegenstelle sondern die Verschlüsselung selbst. Du kannst RSA und ECDSA hierbei beliebig paaren.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hallo Zusammen.


    Sorry dass ich mich jetzt erst melde, habe zur Zeit viel um die Ohren =)


    Der Tipp mit LetsEncrypt war super, danke whoami0501! :)


    Installation war schnell und einfach und die Seiten lassen sich jetzt gesichert öffnen.


    Jedoch habe ich nun Schwierigkeiten mit phpmyadmin. :/

    Es kommt HTTP ERROR 500, ob mit http:// oder https://, auch ist es egal ob ich die IP oder meine Domain nutze. (bei dem Aufruf von http:// kam die Meldung vom Browser, ob ich auf die unsichere Seite möchte, auch da kam nach der Bestätigung die HTTP ERROR 500 Meldung :/ )


    Ich habe auch hierfür schon Google genutzt aber die Lösungen haben keine Lösung gebracht. Auch den Browser Cache habe ich aus Verzweiflung gelöscht, ohne Erfolg.


    Hätte ich eventuell bei der Installation etwas beachten sollen. Zum Beispiel nicht alle Domain's auf https:// verlinken?


    Falls mir auch da Jemand helfen kann, welche Infos werden noch für die Hilfe benötigt?


    Vielen Dank und mit bestem Gruß

    Basti

  • Wenn ein Error 500 auftritt müsste im Error deines Webservers stehen, wieso der Fehler aufgetreten ist.

    Hast du da schon mal nachgesehen?


    (Da du für die Nutzung der Zertifikate etwas an der Config des Webservers ändern musstest, tippe ich auf einen Syntax fehler oder ähnliches)

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Hey, vielen Dank.


    Ich habe nur folgendes stehen:


    Opera:

    Diese Seite funktioniert nicht

    5.45.106.122 kann diese Anfrage momentan nicht verarbeiten.

    HTTP ERROR 500



    Microsoft Edge sagt:

    HTTP 500-Fehler

    Seltsam, die Website kann diese Seite nicht anzeigen.

    Die Website wird u. U. gewartet oder weist einen Programmierfehler auf.

    Probieren Sie Folgendes

    • Kehren Sie zur letzten Seite zurück.

    Versuchen Sie, Kontakt mit dem Eigentümer der Website aufzunehmen. Dieses Problem melden



    Datenschutzbestimmungen


    Das kann sehr gut sein.


    In der config.inc.php habe ich folgendes ergänzt: " $cfg['ForceSSL'] = 'true'; "

    In der apache.conf habe ich " AllowOverride All " unter " DirectoryIndex index.php " hinzugefügt.


    Gruß

    Basti

  • Hi,


    das was du dir ansiehst, ist die Seite im Browser. Ich meinte im Error deines Webservers!


    Dein Webserver erzählt dem Browser natürlich nicht genau, was schief gelaufen ist, weil das keinen Besucher deiner Website interessiert.

    Deswegen schreibt der Server das ins Log. Da kann es sich der Admin (DU) ansehen.

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Hallo.


    Okay, macht natürlich Sinn. Da war ich nicht wirklich mit den Gedanken bei mir, ich hoffe ich habe mit der error.log nun die richtige Datei gefunden:


    Es taucht vermehrt der Eintrag:


    " [Mon May 04 15:14:03.871690 2020] [php7:error] [pid 4188] [client 5.39.83.155:42792] PHP Fatal error: require_once(): Failed opening required '/usr/share/php/php-gettext/gettext.inc' (include_path='.') in /usr/share/phpmyadmin/libraries/select_lang.lib.php on line 463 "


    auf.


    In der der Datei " /usr/share/phpmyadmin/libraries/select_lang.lib.php " steht in Zeile 463 folgendes:


    " require_once GETTEXT_INC; "


    Ich habe verschiedene PHP-Versionen installiert, aber nur 7.2 aktiviert, kann es daran eventuell liegen?


    Wie gesagt, ich hoffe ich blamiere mich nicht noch einmal :D.