Class 2 Zertifizierung durch startssl

Heu­te habe ich es geschafft, von start­s­sl Class 2 zer­ti­fi­ziert zu werden:

Das bedeu­tet, dass ich mir z.B. jetzt ein Wild­card-Sub­do­main Ser­ver­zer­ti­fi­kat für jede(!) mei­ner Domains durch start­s­sl signie­ren las­sen, also Diens­te via SSL (https) anbie­ten kann. Was ich damit genau für die  Öffent­lich­keit bzw. mei­ne treu­en Leser hier vor­ha­be, wird spä­ter verraten.

Beim bald anste­hen­den Ser­ver­wech­sel unse­rer Schu­le wer­de ich auf jeden Fall alle Diens­te auf SSL migrie­ren und so zumin­dest auf dem Kom­mu­ni­ka­ti­ons­weg zwi­schen Brow­ser und unse­rem Ser­ver ein wenig mehr Sicher­heit schaf­fen. Da wir vie­le Sub­do­mains nut­zen, hät­ten wir die immensen Kos­ten für Wild­card­zer­ti­fi­ka­te von ande­ren CAs nicht bewäl­ti­gen kön­nen. Somit flie­gen bald kei­ne Klar­text­pass­wör­ter mehr zwi­schen unse­rem Mood­le und dem Anwen­der­cli­ent hin- und her. Was nützt ansons­ten die SSHA-Ver­schlüs­se­lung der Pass­wör­ter auf unse­rem Server?

Das Tol­le an start­s­sl: Deren Root­zer­ti­fi­kat ist in den meis­ten Brow­sern bereits inte­griert (beim IE ab Ver­si­on 8), sodass beim Auf­ruf der jewei­li­gen Sei­te kei­ne Warn­mel­dung, son­dern ledig­lich das Schloss­sym­bol erscheint, wel­ches dem Anwen­der die siche­re Ver­bin­dung signa­li­siert.  Das hal­te ich für einen wesent­li­chen Vor­teil gegen­über Cacert, obwohl mir deren Ansatz wesent­lich sym­pa­thi­scher erscheint. Die Tat­sa­che, dass alle wich­ti­gen Brow­ser das Root­zer­ti­kat inte­grie­ren, spricht m.E. für die Ver­trau­ens­wür­dig­keit der CA (immer­hin ver­traue ich denen mei­ne per­sön­li­chen Daten an), da gera­de das The­ma Sicher­heit für die Brow­ser­her­stel­ler inte­gral ist.

Der Zer­ti­fi­zie­rungs­pro­zess hat mich auch wesent­lich mehr über­zeugt als der von Posi­ti­ve­SSL, von denen ich ein Ein­zel­zer­ti­fi­kat mit einer Lauf­zeit von drei Jah­ren besit­ze. So ging es:

1. Regis­trie­rung bei startSSL
2. Vali­die­rung mei­ner hin­ter­leg­ten E‑Mailadresse
3. Ich muss­te Kopien von zwei Licht­bild­do­ku­men­ten an start­S­SL senden
4. Ein Mit­ar­bei­ter von start­s­sl frag­te dann kei­ne Stun­de spä­ter per Mail nach einer aktu­el­len Mobilfunkrechnung
5. Wie­der kei­ne Stun­de spä­ter bekam ich einen Anruf aus Isra­el auf mein Han­dy. Der Mit­ar­bei­ter frag­te mich auf Eng­lisch nach Geburtstda­tum und Geburtsort
6. kei­ne 30 Minu­ten spä­ter war ich Class 2 zertifiziert

Der Spaß kos­tet 50,- Euro für ein Jahr. Das ist nichts, da ich nun für ein Jahr belie­big vie­le Wild­card- und Domain­ein­zel­zer­ti­fi­ka­te erstel­len las­sen kann, sogar Code­sign­ing­zer­ti­fi­ka­te sind mög­lich (Beta).

Zum Ver­gleich: Posi­ti­ve­SSL ver­lang­te eine Per­so­nal­aus­weis­ko­pie und 39,- Euro für ein Ein­zel­do­main­zer­ti­fi­kat für drei Jah­re (Resel­ling über PSW) – und das ist schon ver­gleichs­wei­se mega­güns­tig – und der Zer­ti­fi­zie­rungs­vor­gang weit­aus mani­pu­lier­ba­rer – schließ­lich wird nur geschaut, ob die Daten des Persos zum Whois der Domain passen.

Ach­ja – zur Zeit bie­tet start­s­sl auch Class 3 Zer­ti­fi­zie­run­gen für Orga­ni­sa­tio­nen an – dann wird’s wie bei Online­ban­king grün in der Adress­zei­le des Brow­sers – zu den glei­chen Bedin­gun­gen und mit den glei­chen Möglickei­ten wie bei der Class 2 Zer­ti­fi­zie­rung: Für schlap­pe 149,- Euro pro Jahr. Das geht bei den klas­si­schen CAs  schnell in mitt­le­re vier­stel­li­ge Bereiche.

Für die pri­va­te Web­sei­te tut es auch das kos­ten­lo­se Class 1 Zer­ti­fi­kat von start­s­sl… Aber da gibt es eben nur eine TLD mit Stan­dard­sub­do­main (www) im Zer­ti­fi­kat. Für die­se Sei­te hier wür­de es rei­chen, ich weiß nur noch nicht, wie ich am bes­ten von http auf https migrie­re, ohne das alle vor­han­de­nen Back­links zum Teu­fel sind.

This work by Maik Riecken is licen­sed under a Crea­ti­ve Com­mons Attri­bu­ti­on-Non­Com­mer­cial-ShareA­li­ke 4.0 International