Class 2 Zertifizierung durch startssl

Heute habe ich es geschafft, von startssl Class 2 zertifiziert zu werden:

Das bedeutet, dass ich mir z.B. jetzt ein Wildcard-Subdomain Serverzertifikat für jede(!) meiner Domains durch startssl signieren lassen, also Dienste via SSL (https) anbieten kann. Was ich damit genau für die  Öffentlichkeit bzw. meine treuen Leser hier vorhabe, wird später verraten.

Beim bald anstehenden Serverwechsel unserer Schule werde ich auf jeden Fall alle Dienste auf SSL migrieren und so zumindest auf dem Kommunikationsweg zwischen Browser und unserem Server ein wenig mehr Sicherheit schaffen. Da wir viele Subdomains nutzen, hätten wir die immensen Kosten für Wildcardzertifikate von anderen CAs nicht bewältigen können. Somit fliegen bald keine Klartextpasswörter mehr zwischen unserem Moodle und dem Anwenderclient hin- und her. Was nützt ansonsten die SSHA-Verschlüsselung der Passwörter auf unserem Server?

Das Tolle an startssl: Deren Rootzertifikat ist in den meisten Browsern bereits integriert (beim IE ab Version 8), sodass beim Aufruf der jeweiligen Seite keine Warnmeldung, sondern lediglich das Schlosssymbol erscheint, welches dem Anwender die sichere Verbindung signalisiert.  Das halte ich für einen wesentlichen Vorteil gegenüber Cacert, obwohl mir deren Ansatz wesentlich sympathischer erscheint. Die Tatsache, dass alle wichtigen Browser das Rootzertikat integrieren, spricht m.E. für die Vertrauenswürdigkeit der CA (immerhin vertraue ich denen meine persönlichen Daten an), da gerade das Thema Sicherheit für die Browserhersteller integral ist.

Der Zertifizierungsprozess hat mich auch wesentlich mehr überzeugt als der von PositiveSSL, von denen ich ein Einzelzertifikat mit einer Laufzeit von drei Jahren besitze. So ging es:

  1. Registrierung bei startSSL
  2. Validierung meiner hinterlegten E-Mailadresse
  3. Ich musste Kopien von zwei Lichtbilddokumenten an startSSL senden
  4. Ein Mitarbeiter von startssl fragte dann keine Stunde später per Mail nach einer aktuellen Mobilfunkrechnung
  5. Wieder keine Stunde später bekam ich einen Anruf aus Israel auf mein Handy. Der Mitarbeiter fragte mich auf Englisch nach Geburtstdatum und Geburtsort
  6. keine 30 Minuten später war ich Class 2 zertifiziert

Der Spaß kostet 50,- Euro für ein Jahr. Das ist nichts, da ich nun für ein Jahr beliebig viele Wildcard- und Domaineinzelzertifikate erstellen lassen kann, sogar Codesigningzertifikate sind möglich (Beta).

Zum Vergleich: PositiveSSL verlangte eine Personalausweiskopie und 39,- Euro für ein Einzeldomainzertifikat für drei Jahre (Reselling über PSW) – und das ist schon vergleichsweise megagünstig – und der Zertifizierungsvorgang weitaus manipulierbarer – schließlich wird nur geschaut, ob die Daten des Persos zum Whois der Domain passen.

Achja – zur Zeit bietet startssl auch Class 3 Zertifizierungen für Organisationen an – dann wird’s wie bei Onlinebanking grün in der Adresszeile des Browsers – zu den gleichen Bedingungen und mit den gleichen Möglickeiten wie bei der Class 2 Zertifizierung: Für schlappe 149,- Euro pro Jahr. Das geht bei den klassischen CAs  schnell in mittlere vierstellige Bereiche.

Für die private Webseite tut es auch das kostenlose Class 1 Zertifikat von startssl… Aber da gibt es eben nur eine TLD mit Standardsubdomain (www) im Zertifikat. Für diese Seite hier würde es reichen, ich weiß nur noch nicht, wie ich am besten von http auf https migriere, ohne das alle vorhandenen Backlinks zum Teufel sind.

Facebook Like

8 Kommentare

  • StartSSL Class1 gibt es auch für Subdomains, ich habe sowas zum Beispiel für meinen Mail-Server (der damit neben HTTP auch SMTP und IMAP verschlüsselt). Ich habe StartSSL Class1 für mehrere Domains. Nur wenige sind noch rein CACert oder RapidSSL.

    Zur Migration: tepin lauscht auch auf Port 80, macht dort jedoch nur ein Rewrite der Requests auf 443. Im Apache das wie folgt aus:

    ServerName tepin.aiki.de:80
    RewriteEngine on
    RewriteRule ^/(.*) https://tepin.aiki.de/$1 [R=301,L]

    Vorhandene Links bleiben also komplett funktionsfähig. Mit R=301 wissen Crawler, dass der Link sich dauerhaft geändert hat.

    Schade ist nur, dass Du für SSL jeweils eigene IP-Adressen je Instanz benötigst, das kann Aufwand bedeuten.

    • „Vorhandene Links bleiben also komplett funktionsfähig. Mit R=301 wissen Crawler, dass der Link sich dauerhaft geändert hat.

      Schade ist nur, dass Du für SSL jeweils eigene IP-Adressen je Instanz benötigst, das kann Aufwand bedeuten.“

      Das ist so in der Form nicht mehr korrekt. SNI (ServerNameIndication) funktioniert beim Apachen für SSL ganz prima!

      Gruß A.Birndt

  • Oh, und: Wenn man das StartSSL Class1 Cert direkt für die Domain (hier: riecken.de) wählt, wird es automatisch auf riecken.de und http://www.riecken.de ausgestellt.

  • „Schade ist nur, dass Du für SSL jeweils eigene IP-Adressen je Instanz benötigst, das kann Aufwand bedeuten.“

    Jaja, hätten wir doch schon ipv6… Da könnten uns höchstens die Sockets Probleme bereiten. Deswegen habe ich mich ja auch Class2 verfizieren lassen – damit ich u.a. eben auch *.riecken.de validieren lassen kann. Das geht mit dem kostenlosen Class1-Zertifikat nämlich nicht…

    Mein lighty ist irgendwie komisch konfiguriert. Du kannst jetzt schon dieses Blog via https erreichen (ohne rewrite) – nur werde ich wohl auf einige Plugins verzichten müssen…

  • Arne Pluhar

    Class 3 ist ungleich EV!
    -> m.E. ist Class 3 nicht genug, um eine grüne Adresszeile zu bekommen?!

  • Pingback: Easybell-Datenschutz: Telefonrechnung ohne Rufnummer - Bens IT-Kommentare

  • Christian R.

    Arne hat Recht. Class 3 und Extended Validation sind 2 paar Schuhe.
    Wobei das eine das andere voraussetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.