Class 2 Zertifizierung durch startssl

Heu­te habe ich es geschafft, von starts­sl Class 2 zer­ti­fi­ziert zu wer­den:

Das bedeu­tet, dass ich mir z.B. jetzt ein Wild­card-Sub­do­main Ser­ver­zer­ti­fi­kat für jede(!) mei­ner Domains durch starts­sl signie­ren las­sen, also Diens­te via SSL (https) anbie­ten kann. Was ich damit genau für die  Öffent­lich­keit bzw. mei­ne treu­en Leser hier vor­ha­be, wird spä­ter ver­ra­ten.

Beim bald anste­hen­den Ser­ver­wech­sel unse­rer Schu­le wer­de ich auf jeden Fall alle Diens­te auf SSL migrie­ren und so zumin­dest auf dem Kom­mu­ni­ka­ti­ons­weg zwi­schen Brow­ser und unse­rem Ser­ver ein wenig mehr Sicher­heit schaf­fen. Da wir vie­le Sub­do­mains nut­zen, hät­ten wir die immensen Kos­ten für Wild­card­zer­ti­fi­ka­te von ande­ren CAs nicht bewäl­ti­gen kön­nen. Somit flie­gen bald kei­ne Klar­text­pass­wör­ter mehr zwi­schen unse­rem Mood­le und dem Anwen­der­cli­ent hin- und her. Was nützt ansons­ten die SSHA-Ver­schlüs­se­lung der Pass­wör­ter auf unse­rem Ser­ver?

Das Tol­le an starts­sl: Deren Root­zer­ti­fi­kat ist in den meis­ten Brow­sern bereits inte­griert (beim IE ab Ver­si­on 8), sodass beim Auf­ruf der jewei­li­gen Sei­te kei­ne Warn­mel­dung, son­dern ledig­lich das Schloss­sym­bol erscheint, wel­ches dem Anwen­der die siche­re Ver­bin­dung signa­li­siert.  Das hal­te ich für einen wesent­li­chen Vor­teil gegen­über Cacert, obwohl mir deren Ansatz wesent­lich sym­pa­thi­scher erscheint. Die Tat­sa­che, dass alle wich­ti­gen Brow­ser das Root­zer­ti­kat inte­grie­ren, spricht m.E. für die Ver­trau­ens­wür­dig­keit der CA (immer­hin ver­traue ich denen mei­ne per­sön­li­chen Daten an), da gera­de das The­ma Sicher­heit für die Brow­ser­her­stel­ler inte­gral ist.

Der Zer­ti­fi­zie­rungs­pro­zess hat mich auch wesent­lich mehr über­zeugt als der von Posi­ti­veSSL, von denen ich ein Ein­zel­zer­ti­fi­kat mit einer Lauf­zeit von drei Jah­ren besit­ze. So ging es:

  1. Regis­trie­rung bei startS­SL
  2. Vali­die­rung mei­ner hin­ter­leg­ten E-Mail­adres­se
  3. Ich muss­te Kopi­en von zwei Licht­bild­do­ku­men­ten an startS­SL sen­den
  4. Ein Mit­ar­bei­ter von starts­sl frag­te dann kei­ne Stun­de spä­ter per Mail nach einer aktu­el­len Mobil­funk­rech­nung
  5. Wie­der kei­ne Stun­de spä­ter bekam ich einen Anruf aus Isra­el auf mein Han­dy. Der Mit­ar­bei­ter frag­te mich auf Eng­lisch nach Geburtst­da­tum und Geburts­ort
  6. kei­ne 30 Minu­ten spä­ter war ich Class 2 zer­ti­fi­ziert

Der Spaß kos­tet 50,- Euro für ein Jahr. Das ist nichts, da ich nun für ein Jahr belie­big vie­le Wild­card- und Domai­nein­zel­zer­ti­fi­ka­te erstel­len las­sen kann, sogar Code­si­gning­zer­ti­fi­ka­te sind mög­lich (Beta).

Zum Ver­gleich: Posi­ti­veSSL ver­lang­te eine Per­so­nal­aus­weis­ko­pie und 39,- Euro für ein Ein­zel­do­main­zer­ti­fi­kat für drei Jah­re (Resel­ling über PSW) — und das ist schon ver­gleichs­wei­se mega­güns­tig — und der Zer­ti­fi­zie­rungs­vor­gang weit­aus mani­pu­lier­ba­rer — schließ­lich wird nur geschaut, ob die Daten des Per­sos zum Whois der Domain pas­sen.

Ach­ja — zur Zeit bie­tet starts­sl auch Class 3 Zer­ti­fi­zie­run­gen für Orga­ni­sa­tio­nen an — dann wird’s wie bei Online­ban­king grün in der Adress­zei­le des Brow­sers — zu den glei­chen Bedin­gun­gen und mit den glei­chen Möglick­ei­ten wie bei der Class 2 Zer­ti­fi­zie­rung: Für schlap­pe 149,- Euro pro Jahr. Das geht bei den klas­si­schen CAs  schnell in mitt­le­re vier­stel­li­ge Berei­che.

Für die pri­va­te Web­sei­te tut es auch das kos­ten­lo­se Class 1 Zer­ti­fi­kat von starts­sl… Aber da gibt es eben nur eine TLD mit Stan­dard­sub­do­main (www) im Zer­ti­fi­kat. Für die­se Sei­te hier wür­de es rei­chen, ich weiß nur noch nicht, wie ich am bes­ten von http auf https migrie­re, ohne das alle vor­han­de­nen Backlinks zum Teu­fel sind.

Facebook Like

8 Kommentare

  • StartS­SL Class1 gibt es auch für Sub­do­mains, ich habe sowas zum Bei­spiel für mei­nen Mail-Ser­ver (der damit neben HTTP auch SMTP und IMAP ver­schlüs­selt). Ich habe StartS­SL Class1 für meh­re­re Domains. Nur weni­ge sind noch rein CACert oder RapidSSL.

    Zur Migra­ti­on: tepin lauscht auch auf Port 80, macht dort jedoch nur ein Rewri­te der Requests auf 443. Im Apa­che das wie folgt aus:

    Ser­ver­Na­me tepin.aiki.de:80
    Rewri­te­En­gi­ne on
    Rewri­te­Rule ^/(.*) https://tepin.aiki.de/$1 [R=301,L]

    Vor­han­de­ne Links blei­ben also kom­plett funk­ti­ons­fä­hig. Mit R=301 wis­sen Craw­ler, dass der Link sich dau­er­haft geän­dert hat.

    Scha­de ist nur, dass Du für SSL jeweils eige­ne IP-Adres­sen je Instanz benö­tigst, das kann Auf­wand bedeu­ten.

    • Vor­han­de­ne Links blei­ben also kom­plett funk­ti­ons­fä­hig. Mit R=301 wis­sen Craw­ler, dass der Link sich dau­er­haft geän­dert hat.

      Scha­de ist nur, dass Du für SSL jeweils eige­ne IP-Adres­sen je Instanz benö­tigst, das kann Auf­wand bedeu­ten.”

      Das ist so in der Form nicht mehr kor­rekt. SNI (Ser­verNameIn­di­ca­ti­on) funk­tio­niert beim Apa­chen für SSL ganz pri­ma!

      Gruß A.Birndt

  • Oh, und: Wenn man das StartS­SL Class1 Cert direkt für die Domain (hier: riecken.de) wählt, wird es auto­ma­tisch auf riecken.de und http://www.riecken.de aus­ge­stellt.

  • Scha­de ist nur, dass Du für SSL jeweils eige­ne IP-Adres­sen je Instanz benö­tigst, das kann Auf­wand bedeu­ten.”

    Jaja, hät­ten wir doch schon ipv6… Da könn­ten uns höchs­tens die Sockets Pro­ble­me berei­ten. Des­we­gen habe ich mich ja auch Class2 ver­fi­zie­ren las­sen — damit ich u.a. eben auch *.riecken.de vali­die­ren las­sen kann. Das geht mit dem kos­ten­lo­sen Clas­s1-Zer­ti­fi­kat näm­lich nicht…

    Mein ligh­ty ist irgend­wie komisch kon­fi­gu­riert. Du kannst jetzt schon die­ses Blog via https errei­chen (ohne rewri­te) — nur wer­de ich wohl auf eini­ge Plug­ins ver­zich­ten müs­sen…

  • Arne Pluhar

    Class 3 ist ungleich EV!
    -> m.E. ist Class 3 nicht genug, um eine grü­ne Adress­zei­le zu bekom­men?!

  • Pingback: Easybell-Datenschutz: Telefonrechnung ohne Rufnummer - Bens IT-Kommentare

  • Christian R.

    Arne hat Recht. Class 3 und Exten­ded Vali­da­ti­on sind 2 paar Schu­he.
    Wobei das eine das ande­re vor­aus­setzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.