SSL-Zertifikate

  • Moin zusammen,


    da Google ja nun offiziell kein Vertrauen mehr in Symantec hat und sich das ab nächstem Jahr April ja auch auf uns auswirken wird, wollte ich mal fragen wie ihr damit umgeht.


    Hier erstmal noch ein Artikel, für diejenigen, die es noch nicht wussten: https://www.heise.de/security/…as-Vertrauen-3828578.html


    1. Haltet ihr LE für eine echte Alternative für die DV?
    2. Habt ihr Erfahrung mit OV? Habe schon mal bisschen geguckt, bisher war mir alles zu teuer. Gut & günstig wäre wie immer schön.
    3. Gibt es eine Übersicht welcher CA in welchen Browser "anerkannt" wird? Ich habe sowas nicht gefunden.
    4. Könnt ihr gute Alternativen empfehlen zu RapidSSL?


    Schönes Wochenende!

  • Moin,


    die Antworten kommen natürlich sehr auf die Details an. Was ist der eigene Anwendungsfall, wie sind die technischen Rahmenbedinungen, usw.

    1. Haltet ihr LE für eine echte Alternative für die DV?
    2. Habt ihr Erfahrung mit OV? Habe schon mal bisschen geguckt, bisher war mir alles zu teuer. Gut & günstig wäre wie immer schön.
    3. Gibt es eine Übersicht welcher CA in welchen Browser "anerkannt" wird? Ich habe sowas nicht gefunden.
    4. Könnt ihr gute Alternativen empfehlen zu RapidSSL?

    Zu 1: Ich halte LE zur Zeit für das beste System für DV Zertifikate. Es gibt einige Ausnahmen, wie z.B. (noch) Wildcards, aber für die meisten Settings ist LE großartig. Man muss sich zwar erstmal an die kurzen Laufzeiten gewöhnen, aber dadurch ist man gezwungen einen anständigen Prozess zu automatisieren, der auch funktioniert und nicht alle 3 Jahre aus dem Aktenordner gekramt werden muss. Und Updates für Signaturen und Widerrufslisten sind so deutlich einfacher.


    Zu 2: Keine eigene Erfahrung mit OV, aber gut & günstig ist halt schwer. Im Gegensatz zur DV wird halt manuelle Arbeit notwendig. Und wenn die gut gemacht werden soll, dann muss das auch einfach was kosten.


    Zu 3: Kenne auch keine schöne Liste. Ändert sich auch gerne mal durch Updates etc. Am "einfachsten" in die Browser reinschauen und die interne CA Liste durchgehen. Ist sowieso mal ganz interessant zu sehen was da alles zugelassen wird.


    Zu 4: Kommt auf den Anwendungsfall an. IMHO, falls möglich, LE.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Also mit Certbot ist LetsEncrypt ja schon fast ein Kinderspiel. Ich habe nur beim Erweitern eines Zertifikates einen Moment benötigt um zu begreifen das die alten Adressen mit angegeben werden müssen, also nicht nur die welche hinzugefügt werden sollen. Es wird gleich ein Cron angelegt, welcher sich um die Verlängerung der Zertifikate kümmert. Den Cron schnell noch um ein Skript erweitert, welches nach einem erfolgreichen Zertifikat-Update ausgeführt wird und damit die Dienste neu startet, fertig.


    Ich hatte auch lange gzögert, aber inzwischen ist das System um LE echt rund. Und Wildcards sollen auch bald kommen. Dann ist es perfekt. Meine Seiten laufen inzwischen alle mit Zertifikat, und ich würde mir zur Zeit keines mehr kaufen.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Also ich nutze LE auch schon für andere Domains und bin damit echt zufrieden.

    Wenn Ihr das für genauso gut haltet wie ich, dann werde ich das wohl als Alternative für DV nehmen.


    Die Fragen nach OV würde ich aber gerne nochmal pushen. Gibt hier doch bestimmt jemanden, der schon Erfahrung damit hat 8o

  • Ich möchte noch anmerken dass nur alte Zertifikate von dem Vertrauensentzug betroffen sind. Reissue und gut ist. Es entsteht also eigentlich gar kein Problem da bis dahin die Zertifikate entweder abgelaufen sind oder neu ausgestellt wurden.


    LE läuft erst mit den neueren certbot Versionen problemlos. Bei den älteren fehlte öfter mal der Cron. Monitoring ist bei LE noch wichtiger, da zu vorher nicht unbedingt ersichtlichen Zeitpunkten der Webserver neu startet. Das führt zu einem kurzen Ausfall.


    Bei manuellem Austausch hat man darüber mehr Kontrolle.

  • Monitoring ist bei LE noch wichtiger, da zu vorher nicht unbedingt ersichtlichen Zeitpunkten der Webserver neu startet. Das führt zu einem kurzen Ausfall.

    Der Webserver muss nicht neustarten, sondern nur ein reload durchführen. Dadurch werden keine Verbindungen getrennt und die alten Verbindungen nutzen weiter die ausgehandelten Keys.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Der Webserver muss nicht neustarten, sondern nur ein reload durchführen. Dadurch werden keine Verbindungen getrennt und die alten Verbindungen nutzen weiter die ausgehandelten Keys.

    Ich dachte da was im Bezug auf die neuen Plesk basierten Webhosting Pakete gelesen zu haben. Die certbot Beispiele für die nginx pre/post hooks zeigen auch stop/start, aber er macht bei nginx in der Tat nur einen reload, wenn man im Code nachschaut. Nur im Output steht überall restart, das macht er aber in der Tat nicht, deswegen aber leicht misszuverstehen.

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip