Welches SSL-Zertifikat wäre das richtige?

  • Hey,


    mein neues Projekt, soll Anfang Oktober starten, dafür benötige ich allerdings noch ein richtiges SSL-Zertifikat, da ich aber keine Ahnung von SSL-Zertifikaten habe, wollte ich einfach mal hier nachfragen, welches ihr mir empfehlen würdet bzw. welches richtig wäre für mein Projekt, da die Auswahl von Zertifikaten sehr groß ist. Das SSL-Zertifikat wird für eine Webseite mit Forum & Shop verwendet, ich will auf jeden Fall eins haben, was für mein Vorhaben gut geeignet ist und meine Webseite als sehr Sicher darstellt, daher ist mir die Preis vom Zertifikat generell egal....


    Folgende Zertifikate stehen zur Verfügung:


    Thawte:

    • SSL 123 - 53,00€
    • SSL Webserver - 109,00€
    • SSL Webserver mit EV - 199,00€
    • SSL Webserver Wildcard - 327,00€


    RapidSSL:

    • RapidSSL - 19,00€
    • RapidSSL Wildcard - 149,00€


    Geo Trust:

    • QuickSSL Premium - 79,00€
    • TrueBusinessID - 89,00€
    • TrueBusinessID EV - 172,00€
    • TrueBusinessID Wildcard - 394,00€


    GlobeSSL:

    • Globe Standard SSL - 18,00€


    Würde mich über eine Rückmeldung freuen :)


    Mit freundlichen Grüßen

    Maximilian Rupp

  • Ich stelle mal in den Raum: Let‘s Encrypt reicht aus. Es guckt eh niemand nach wer das Zertifikat ausgestellt hat. Im Browser sieht es niemand (mehr) und wer guckt das schon nach?


    Sicherheit: Das hängt von den Einstellungen am Webserver ab. Das Zertifikat spielt hier (fast) keine Rolle. Nicht mal der Anbieter vom Zertifikat ist relevant. Fast weil wegen SHA-1 was mal ein Problem war.

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"

  • Ich hab echt gar keine Ahnung was SSL-Zertifikaten betrifft, wenn ihr alle sagt das es Kostenlose Let´s Encrypt vollkommen ausreicht, warum gibt es dann so viele Zertifikate im Rahmen von 18,00€ - 394,00€ wenn sowieso fast jeder nur zu dem Kostenlosen greift? Was bringen mir die obigen Zertifikate gegenüber dem Kostenlosen Zertifikat denn genau für Vorteile außer das angezeigt wird, wer diese ausgestellt hat....


    Mit freundlichen Grüßen

    Maximilian Rupp

  • Glaubens Fragen von Firmen, weil kostet ja Geld muss gut sein.

    das andere ist bei Letsencrypt laden die Domain alle 2 bis 3 Monate in Öffentlichen Liste und werden durch Dritte gescannt.

    Bei Paid ist dieses ja nur in 1x im Jahr in der Liste, da die ja länger gültig sind.


    Wenn man aber seine Software Pflegt, ist LE die bessere Wahl und einfacher zu integrieren.

  • Nimmst Du Zahlungen im Shop entgegen?

    Wenn ja beachte mögliche Vorschriften, die Dir Dein Zahlungsdiensteanbieter eventuell auferlegt (hat).


    Ein Domainvalidiertes Zertifikat sagt nichts über den Inhaber des Webauftritts aus, sondern bestätigt eben nur - wie der Name schon sagt - dass man tatsächlich mit dieser Webpräsenz dieses Domain-Namens eine Verbindung aufgebaut hat.

    Am anderen Ende der Skala, ein EV-Zertifikat - hier soll das Zertifikat tatsächlich den Inhaber (Firmenname) bestätigen.


    Wildcard / MultiDomain: hat technische Gründe, wenn man es denn braucht. Das musst Du Deine Techniker fragen.


    Wie schon mehrfach gesagt geht es mit Let's Encrypt auch kostenfrei, und hat (wenn ein domainvalidiertes Zertifikat ausreicht) auch keine technischen Nachteile. Ich behaupte es hat heutzutage auch keinen Repuatations-Nachteil mehr. Es wird keinen Kunden geben der bei dir im Shop bestellen möchte, und dann vor Eingabe der Lieferadresse plötzlich kalte Füße bekommt weil Du "nur" ein kostenfreies Let's Encrypt Zertifikat benutzt.


    Kritikpunkt bei Let's Encrypt warum oftmals tatsächlich auch für "nur" domainvalidierte Zertifikate noch Geld in die Hand genommen wird: Die kurze Zertifikats-Laufzeit bei Let's Encrypt zwingt dazu, dass man den Zertifikats-Wechsel automatisieren muss (oder alle 2,5 Monate manuell eingreifen müsste). Nicht alle Unternehmen können oder wollen dies tun, aus ganz unterschiedlichen Gründen. Für ein agiles, frisches Projekt wird das nicht so die Hürde darstellen, für Großunternehmen wo Zertifikats-Management eine eigene Abteilung in der IT-Security beschäftigt und seit Jahren etablierte Betriebsprozesse zu so etwas eben nicht "dazupassen" sieht es eventuell anders aus.

  • Hier bei Netcup geht das im Webhosting eh schon automatisch mit der Verlängerung. Bei all meinen anderen Hostern mittlerweile auch. Bei einem Managed Server würde ich eigentlich auch davon ausgehen. Und wer einen Rootserver mietet, der sollte mit der Automatisierung kein unlösbares Problem haben, sonst bringt ihm ein SSL-Zertifikat auch nichts. Außer einer gefühlten Sicherheit, die dann im Endeffekt wahrscheinlich nicht vorhanden ist, weil der ganze Server nicht sicher ist.

  • Glaubens Fragen von Firmen, weil kostet ja Geld muss gut sein.

    das andere ist bei Letsencrypt laden die Domain alle 2 bis 3 Monate in Öffentlichen Liste und werden durch Dritte gescannt.

    Bei Paid ist dieses ja nur in 1x im Jahr in der Liste, da die ja länger gültig sind.

    OT: Wer scannt was bei Let‘s Encrypt? Und von welcher öffentlichen Liste redest du?


    Du meinst jetzt aber nicht die Certificate Transparency, oder? Die ist ja live.

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"

  • Du hast meine Fragen nicht beantwortet ;)


    Den Artikel inklusive Workaround hatte ich in einem anderen Thema verlinkt.

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"