eigene Zertifikate im WCP einbinden

  • Hallo,


    ich hatte vor ca. 1 Jahr schon mal den (damals noch neuen) Webhosting-Tarif "expert xl" getestet.


    Damals war es möglich eigene SSL-Zertifikate einzubinden über das WCP,
    also Zertifikate welche nicht von Netcup gekauft wurden,
    sondern von einem anderen Anbieter.


    Ist das immer noch möglich ?


    falls ja:
    Sind auch wildcard Domain-Zertifikate von StartCom möglich ?
    (vor einem Jahr gab es noch Probleme damit)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

  • Guten Morgen,



    bei den Expert-Tarifen können eigene SSL-Zertifikate eingebunden werden. Alle Zertifikate die wir verkaufen, werden unterstützt. Ob StartSSL unterstützt wird können wir nicht sagen. Hier am besten bei StartSSL direkt nachfragen. An uns sollte dieses aber nicht scheitern (StartSSL wird gerne als unsicher eingestuft. Warum dieses so ist, am besten ergoogln. Wir selber haben z.B. bei uns StartSSL auf einen Blacklist, diese betrifft aber nicht das WCP).



    Mit freundlichen Grüßen


    Felix Preuß

  • Hallo Felix,


    ich kann leider nicht nachvollziehen warum StartSSL/Startcom schlecht sein soll. Immerhin stellt Eddy Nigg und sein Team keine gefälschten Zertifikate wie andere Unternehmen aus. Wäre zudem Startcom nicht vertrauenswürdig, wären diese Root-CA bestimmt nicht im "Truststore" von Windows, Mozilla, MacOS, Android, iOS oder auch Linux sowie vielen anderen Systemen vertreten.


    Ich selber nutze neben CA-Cert für interne Anwendungen, die StartSSL CA über WoSign welche überall anerkannt wird.

  • also ich spreche nicht von den StartSSL "Free" (Class 1) Zertifikaten,
    welche (vor Jahren) in Verruf geraten sind,
    sondern von "Class 2"- und "EV"-Zertifikaten


    auf meinen (netcup-) V-Servern laufen die ja auch Problemlos...
    und jeder Browser akzeptiert die ...
    und in den SSL-Tests ist auch alles "grün" (A oder A+) (--> SSL Server Test (Powered by Qualys SSL Labs) )


    Zitat

    An uns sollte dieses aber nicht scheitern

    vor einem Jahr schrieb der netcup-Support noch:

    Zitat

    "...Dennoch raten wir im WCP nicht zu der Nutzung von StartCom Zertifikaten..."

    daher fragte ich jetzt hier noch mal nach ...


    Warum StartCom heutzutage noch auf einer "Blacklist" stehen sollte erschließt sich mir nicht (?),
    denn die entsprechenden CA's usw.. sind in allen mir bekannten Truststores enthalten...

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

  • Guten Tag,

    Zitat


    Warum StartCom heutzutage noch auf einer "Blacklist" stehen sollte erschließt sich mir nicht (?)

    als wir uns mit StartSSL beschäftigt hatten, wurde der Private-Key von StartSSL generiert. StartCom ist ein Unternehmen aus Israel und ich denke jeder weiß das Israel einen Geheimdienst mit weitreichenden Armen hat. Dieser Umstand hat uns dazu bewegt StartCom nicht zu vertrauen.


    Das sehen übrigens nicht nur wir so. Besonders große DAX-Unternehmen die auch Wirtschaftsspionage zu befürchten haben, haben StartCom in ihrem Keystore nicht eingetragen. Erwartet man Besucher aus solchen Unternehmen, dann tut man gut daran ein Zertifikat zu verwenden, dem auch von diesen Unternehmen vertraut wird.


    Letztendlich kann das aber jeder frei entscheiden. Im WCP haben Sie die Möglichkeit für Ihre Website auch ein Intermediate Zertifikat zu installieren. Damit sollten Zertifikate von StartSSL hier möglich sein (für genaue Details bitte aber StartCom befragen).



    Mit freundlichen Grüßen


    Felix Preuß

  • USA sind da sicherlich die bessere Adresse *gröhl* :D
    (unser BND hilft da auch gerne mit, wie wir seit letzter Woche nun auch wissen)


    man kann, man muss den private-key aber nicht von Start-SSL generieren lassen (mache ich auch nicht)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

  • Zitat

    man kann, man muss den private-key aber nicht von Start-SSL generieren lassen

    Eben das man kann ist für viele Grund genug StartCom nicht zu vertrauen. Denn woher soll man wissen ob StartCom theoretisch auf den Private-Key zugreifen kann oder nicht? Heise hatte darüber mal sehr ausführlich berichtet. Ich probiere den Artikel mal zu finden.


    Mit freundlichen Grüßen


    Felix Preuß

  • Eben das man kann ist für viele Grund genug StartCom nicht zu vertrauen.


    Man kann aber auch den PrivateKey im WCP erstellen wenn ich mich nicht irre oder? Also kann man netcup auch nicht vertrauen?


    Hier muss dann das gewisse Vertrauen in netcup stecken und ja, mir ist schon klar, dass das WCP den PrivateKey benötigt für den Webserver. Aber warum sollte netcup wie am DECIX nicht mal dem BND auch mal eine Schnorchelleitung geben? Sicher kann sich keiner sein.

  • Zitat

    Also kann man netcup auch nicht vertrauen?

    Wir sind in dem Fall nicht die CA die den CSR signiert. Auch lässt es sich nicht vermeiden, dass wir als Serverbetreiber nicht Zugriff auf den Private-Key erhalten.


    Streng genommen ist es technisch möglich das wir anderen Inhalt unter einer Website des Kunden ausliefern oder Inhalte der Verbindung abgreifen können. Dessen müssen Sie sich als Kunde bitte immer bewusst sein. Daran hindern tun uns neben dem nicht gewollten Vertrauensverlust auch die Gesetze die in Deutschland und Europa gelten.


    Anders sieht es aus wenn Sie ein Zertifikat über uns bestellen und es auf einem eigenen Server einsetzen. Hierzu müssen wir den Private-Key nicht kennen und daher erfragen wir diesen auch nicht.

    Zitat

    Aber warum sollte netcup wie am DECIX nicht mal dem BND auch mal eine Schnorchelleitung geben?

    Weil der BND keine deutschen Staatsbürger belauschen darf. Ein Geheimdienst jenseits der EU kann hier jedoch mit eigenen Mitteln alles versuchen um an Informationen zu gelangen. Natürlich werden wir diesen nicht unterstützen.



    Mit freundlichen Grüßen


    Felix Preuß

  • Weil der BND keine deutschen Staatsbürger belauschen darf.

    Und die NSA sollte auch keine Amerikaner überwachen...


    Du kannst ja auch eigene SSL-Zertifikate eintragen. Die Frage ist halt, ob der Browser/die Anwendung, die auf die App zugreift, dem Key vertraut. Meine Erfahrung ist, dass Class-2 von StartSSL oft nicht unterstützt wird.



    Und der Heiseartikel ist vermultich dieser hier: Vorsicht bei kostenlosen SSL-Zertifikaten | heise online