Sind kostenfreie SSL Zertifikate sinnvoll?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anbieter
anfang
angreifer
anwendung
apache
ausgeben
browser
datum
email
frage
internet
leute
paket
passieren
problem
server
sicherheit
url
vertrauen
zertifikat
-
Guten Tag,
sind kostenfreie SSL Zertifikate für den Anfang oder Übergang sinnvoll?
Ein Anbieter wäre ja StartSSL.
Mit freundlichen Grüßen
Justin -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
jubadeu schrieb:
sind kostenfreie SSL Zertifikate für den Anfang oder Übergang sinnvoll?
Ein Anbieter wäre ja StartSSL.
Den Zahn kann ich Dir gleich ziehen - Fremd SSL, wie StartSSL werden/wird hier nicht unterstützt
-
cuf-world schrieb:
jubadeu schrieb:
sind kostenfreie SSL Zertifikate für den Anfang oder Übergang sinnvoll?
Ein Anbieter wäre ja StartSSL.
Den Zahn kann ich Dir gleich ziehen - Fremd SSL, wie StartSSL werden/wird hier nicht unterstützt
Ausser man nimmt sich das zukünftige Premium-Paket. Da wird man dann selbst SSL-Zertifikate hochladen können. -
Guten Abend,
das ist erstmal in Ordnung.
Sind solch Zertifikate sinnvoll oder sollte man lieber ein paar Euro für ein richtiges ausgeben?
Mit freundlichen Grüßen
Justin -
jubadeu schrieb:
Auch ein Zertifikat von StartSSL ist ein »richtiges« SSL-Zertifikat … nur eben von einer CA unterschrieben, die dafür kein Geld verlangt. Ist das nun irgend ein Nachteil? Nein. Daten werden genauso verschlüsselt übertragen wie wenn du dir ein teures Zertifikat kaufst. Was ist dann an StartSSL der Nachteil? Zum Beispiel dass du keine Zertifikate »zurückziehen« kannst. Aber: wie uns die Auswirkungen des ehemaligen OpenSSL-Bugs gezeigt haben funktioniert(e) das Zurückziehen von Zertifikaten sowieso nicht sonderlich gut …
Sind solch Zertifikate sinnvoll oder sollte man lieber ein paar Euro für ein richtiges ausgeben?
Und ein selbstsigniertes Zertifikat (oder eine eigene lokale CA)? Das ist auch sicher, aber NUR wenn alle Leute auch genau diesem Zertifikat (oder CA) und sonst keinem vertrauen. Das ist bei einigen Anwendungen möglich (z.B. bei der Kommunikation innerhalb eines Unternehmens, wo der Administrator dieses »Vertrauen« festlegen kann), ansonsten birgt das das Problem, dass sich jeder als das Gegenüber ausgeben kann und du nicht weißt ob du mit »dem richtigen« redest. -
Guten Abend,
vielen Dank für diese ausführliche Antwort.
Damit ist meine Frage beantwortet. :)
Mit freundlichen Grüßen
Justin -
Guten Abend,
interessant wie du das siehst.
Danke. :)
Mit freundlichen Grüßen
Justin -
Hallo
hackyourlife schrieb:
Und ein selbstsigniertes Zertifikat (oder eine eigene lokale CA)? Das ist auch sicher, aber NUR wenn alle Leute auch genau diesem Zertifikat (oder CA) und sonst keinem vertrauen. Das ist bei einigen Anwendungen möglich (z.B. bei der Kommunikation innerhalb eines Unternehmens, wo der Administrator dieses »Vertrauen« festlegen kann), ansonsten birgt das das Problem, dass sich jeder als das Gegenüber ausgeben kann und du nicht weißt ob du mit »dem richtigen« redest.
Viel effektiver als CAs fände ich einen Browser, der bei jeder Änderung des Zertifikats Alarm schlägt. Ich habe dafür gerade sogar ein Firefox Browser Plugin entdeckt und werde das gleich mal ausprobieren.
https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/
Mit solch einem Add-on und/oder mit DANE/DNSSEC hat man dann quasi perfekte Sicherheit.
mfg
-
voloya schrieb:
Guten Abend,
Hallo
Viel effektiver als CAs fände ich einen Browser, der bei jeder Änderung des Zertifikats Alarm schlägt. Ich habe dafür gerade sogar ein Firefox Browser Plugin entdeckt und werde das gleich mal ausprobieren.
https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/
Mit solch einem Add-on und/oder mit DANE/DNSSEC hat man dann quasi perfekte Sicherheit.
mfg
interessant wie du das siehst.
Danke für die Information.
Mit freundlichen Grüßen
f.l.a.m.m. -
php-page schrieb:
Meiner Auffassung nach ein eindeutiges "NEIN". Es mag nun einige Leute geben, die sagen: "Klar, alles was Kostenfrei ist, ist gut". Diesen Leuten kann ich mich aber leider nicht anschließen. Normalerweise holt man sich ein "SSL-Zertifikat" um seinen Nutzern Sicherheit zu bieten, dies tuen Gratis Zertifikate oftmals nicht. Es gibt vielleicht 1 oder 2 Anbieter, die das Kostenfrei und gut machen. Doch das ist sind die wenigsten, deswegen sag ich dazu: "Wenn man ein SSL-Zertifikat nötig hat. Und sich keins kaufen möchte / kann, ist es eine Alternative in Not. Ansonsten ein Totales NoGo!".
Tja, mal eine Frage: Was macht deiner Auffassung nach ein SSL-Zertifikat?
WEnn ich meiner Aufffassung nach folge, dann macht ein kostenfreies, oder gar selbstgeneriertes SSL-Zertifikat Sinn... zumindest solange ich keinen Webshop/was anders mit Zahlungssystem dahinter betreibe... -
sebulon schrieb:
Um das mal hier für alle zu erklären, damit nicht (wieder) Posts aus Unwissenheit entstehen, die andere nur verwirren:
Tja, mal eine Frage: Was macht deiner Auffassung nach ein SSL-Zertifikat?
Ein SSL-Zertifikat hat 2 Aufgaben.
1) Es soll sicherstellen, dass der, der sich als XYZ ausgibt auch tatsächlich XYZ ist. Dadurch wird verhindert, dass ein Angreifer sich als XYZ ausgibt und es dir (als Benutzer) nicht auffällt. Das Internet hat aber (wie man weiß) recht viele Webseiten usw. und deshalb wäre es nicht möglich, dass du (als Benutzer) dir von allen Webseiten das »echte« Zertifikat merkst. Deshalb wurde das Prinzip mit den CAs (Certificate Authority) eingeführt: du (als Benutzer) vertraust der CA und die CA unterschreibt weitere Zertifikate. Allen von dieser CA unterschriebenen Zertifikaten vertraust du dadurch auch. Im Browser (oder auch Betriebssystem) gibt es daher eine Liste »vertrauenswürdiger Stammzertifizierungsstellen«, das sind jeweils die Zertifikate der CAs denen du vertraust.
2) Wenn sichergestellt wurde, dass das Gegenüber auch »der richtige« ist, dann sollen die übertragenen Daten verschlüsselt werden. Zu diesem Zweck wird im Zertifikat ein öffentlicher Schlüssel hinterlegt, mit dem Daten verschlüsselt werden und nur noch vom Gegenüber mit seinem privaten Schlüssel entschlüsselt werden können (grob gesagt). Deshalb muss auch der private Schlüssel geschützt sein und darf NIE in den Besitz von jemandem anders kommen.
Ein selbstsigniertes Zertifikat ist dann was? Das ist ein Zertifikat, das von keiner CA, sondern von sich selbst unterschrieben wurde. Problem? Kennen beide Gesprächspartner das Zertifikat und vertrauen ihm, so ist das kein Problem. Wie bei Punkt 1) beschrieben gibt es aber sehr viele Webseiten, und deshalb vertraut man normalerweise nicht einzelnen Zertifikaten. Vertraut man nicht exakt dem einen selbstsignierten Zertifikat der Webseite sondern nimmt einfach jedes das da daherkommt an und vertraut ihm, könnte es passieren, dass ein Angreifer ein selbstsigniertes Zertifikat für die Seite ausstellt und es dir nicht auffällt. Dann wäre zwar der Datenverkehr verschlüsselt, ginge aber von dir zum Angreifer und nicht zum richtigen Gesprächspartner → Sicherheit ist weg.
Und ein Gratis-Zertifikat? Solange du deinen privaten Schlüssel selbst lokal erstellst und auch nicht für die Erstellung des Zertifikates hergeben musst, sondern nur ein CSR (Certificate Signing Request) erfordert wird ist das genauso sicher wie ein gekauftes Zertifikat, ansonsten Finger weg!
Und die eigene CA? Das ist natürlich möglich, es muss aber jeder auch dieser CA vertrauen. In einem kleinen Kreis (z.B. unter Freunden oder in einer Firma) ist das problemlos möglich, andere Nutzer über das Internet würden aber nicht vertrauen und hätten deshalb keine Sicherheit (für sie gibt es dann keinen Sicherheitsunterschied zu einem selbstsignierten Zertifikat). Außerdem muss die eigene CA sicher sein (privater Schlüssel sehr gut geschützt), denn jede CA kann für jede beliebige Domain ein Zertifikat ausstellen; ist eine einzige CA gehackt, so ist die vollständige Sicherheit des Systems weg.
Unterschied von einer eigenen CA zu einem Gratis-Zertifikat (z.B. von StartSSL)? Jeder Browser vertraut StartSSL, deiner eigenen CA allerdings nicht.
Was war das von voloya? Der Vorschlag war, dass man anfangs ganz normal den CAs vertraut, aber sich dann alle Zertifikate merkt. Ändert sich eines, wird Alarm geschlagen. Dadurch kann u.a. so etwas wie unter »Und die eigene CA?« verhindert werden, dass eine gehackte CA die Sicherheit aller Kommunikation gefährdet.
Und sonst? Es gibt noch z.B. ein Wildcard-Zertifikat. Normalerweise bräuchte z.B. filemanager.lima-city.de und www.lima-city.de jeweils ein eigenes Zertifikat, ein Wildcard-Zertifikat könnte aber für *.lima-city.de, also für beide Seiten gültig sein. Sowas bekommt man normalerweise nicht gratis, sondern nur zu sehr hohen Preisen (deutlich höher als ein normales Zertifikat).
Für die Zukunft: bevor zu einem sicherheitsrelevanten Thema wie dem hier Mist erzählt wird bitte nachdenken (oder informieren)! -
Guten Tag,
ich denke hackyourlife hat damit alle unseren Fragen beantwortet.
Danke dir. :)
Das Thema kann gerne von meiner Seite aus geschlossen werden.
Mit freundlichen Grüßen
Justin -
@hackyourlife:
war meinerseits auch als rhetorische Frage...
Ich mein, aufgrund der infrastruktur in DE wird es seltener, dass sich jemand als wer anderes ausgeben kann, weshalb Punkt 1 von dir erwähnter Punkt in den meisten Anwendungsfällen, in denen man keine kritische Login-Daten angibt, wie online-shopping, Paypal-Login-Daten oder online-Banking(außer man klickt irgendwelche Links in kuriosen emails an...) ist es doch mittlerweile relativ selten geworden, dass die direkte Authentifizierung erforderlich ist.
Wenn ich meine Seite einem bekannten und begrenzten Kreis zugänglich mache, reicht ein selbsterstelltes Zertifikat völlig aus, welches die Leute per Hand in ihre Browser-Ausnahmen aufnehmen können. Der für mich wichtige und relevante Teil ist, dass ich eine verschlüsselte Verbindung stehen habe. Und das ist auch der für die meisten Anwendungen wichtige und relevante Teil. Aber selbst bei Intranet-Anwendungen, die man in Firmen erstellt, reicht eine selbsterstellte aus, da braucht es keine externe CA... Bei solchen Dingen soll es in der Regel gar nciht erst nach außen kommunizieren und bleibt im Intranet... aber wenn ich jetzt sowas wie Allianz-Portal, Sparkasse etc mache, komme ich natürlich nciht drumherum ein offizielles Zertifikat zu kaufen, direkt von einer gut angesiedelten CA...
Vertraut man nicht exakt dem einen selbstsignierten Zertifikat der Webseite sondern nimmt einfach jedes das da daherkommt an und vertraut ihm, könnte es passieren, dass ein Angreifer ein selbstsigniertes Zertifikat für die Seite ausstellt und es dir nicht auffällt. Dann wäre zwar der Datenverkehr verschlüsselt, ginge aber von dir zum Angreifer und nicht zum richtigen Gesprächspartner → Sicherheit ist weg.
ja, aber irgendwie muss man ja da ankommen... Ich mein, wenn man wenigstens ein bisschen die Glotzen offen hält und 3-4 Gehirnwindungen aktiv hält, kann es einem eigentlich nciht passieren, dass man auf einer fake-Paypal-Seite landet, weil die email von noresponse@yklupt.bk eben nicht wirklich wie eine offizielle Paypal-Support-Email-Adresse aussieht und das Deutsch da drauf eine wahre Katastrophe ist und der verlinkte Server irgendwo in Bulgaria steht und eben nciht Frankfurt Main oder wo auch immer die grad ihr Rechenzentrum für den deutschsprachigen Raum haben...
Ich mein, Vertrauen ist gut und schön, aber damit wird man automatisch selbst zur Sicherheitslücke... einer nicht unerheblichen Sicherheitslücke... -
sebulon schrieb:
ja, aber irgendwie muss man ja da ankommen... Ich mein, wenn man wenigstens ein bisschen die Glotzen offen hält und 3-4 Gehirnwindungen aktiv hält, kann es einem eigentlich nciht passieren, dass man auf einer fake-Paypal-Seite landet, weil die email von noresponse@yklupt.bk eben nicht wirklich wie eine offizielle Paypal-Support-Email-Adresse aussieht und das Deutsch da drauf eine wahre Katastrophe ist und der verlinkte Server irgendwo in Bulgaria steht und eben nciht Frankfurt Main oder wo auch immer die grad ihr Rechenzentrum für den deutschsprachigen Raum haben...
Da sagst Du was Dummheit gehört dann betraft und Unwissenheit schützt vor Strafe nicht. Aber manche Mails und zugehörigenWebseiten sind schon enorm gut gefaked... Also im Zweifel schaue ich mir auch immer den kompletten Mailheader an, dann weiss man eigentlich schon zu 99% was los ist. Aber erklär das mal meiner Mutter Ne hab sie auch schon erzogen nicht auf jeden Unsinn zu klickern.
-
nö, das ist ganz einfach erklärt:
keine Links in Emails anklicken, sondern manuell tippen, bei bekannten seiten aus den eigenen Favoriten rausholen und selbst nachschauen, was die da wollten... links in Emails sind wie Exe-Anhänge in eben jenen mit Namen: Rechnung.doc.exe oder Mahnung.pdf.exe...
und ja, unwissenheit schützt vor Strafe nicht, wenn man keinen Führerschein hat, fährt man kein Auto, aber im Internet darf jeder ohne elementarste Kenntnisse rumgurken... das problem ist, das kleine Kistchen mit dem unscheinbaren Monitor und den süßen kleinen Tasten auf dem Tastenbrett vor eben jenem Gerät und den filigranen kabeln dran hat mehr Zerstörungspotential als der brummende, klappernde V8 vor der Tür, der auf der Autobahn 250 reißen kann... nur sehen unbedachte User die schäden nciht mal... Deswegen ist die Authorisierung sinnvoll in einigen Anwendungen, aber wenn man sich NUR darauf verlässt, dann ist man der Truck-Fahrer, der nach Navi mit 100 durch die Fußgängerzone brettert, weil das Navi das so sagt... -
Ich wollte für meine Frage jetzt kein neues Thema aufmachen, sondern nur kurz nachfragen: ist die Nutzung von startssl.com denn überhaupt hier möglich?
Sofern ich das richtig überblicke kann ich das csr auch lokal generieren, ich kann doch nicht die Apache config beeinflussen... (?) oder muss ich das gar nicht (??)
gefundene Anleitung hier -
bastobuntu schrieb:
Ich wollte für meine Frage jetzt kein neues Thema aufmachen, sondern nur kurz nachfragen: ist die Nutzung von startssl.com denn überhaupt hier möglich?
Sofern ich das richtig überblicke kann ich das csr auch lokal generieren, ich kann doch nicht die Apache config beeinflussen... (?) oder muss ich das gar nicht (??)
gefundene Anleitung hier
Nein. Auf Lima können keine eigenen Zertifikate benutzt werden. Nur die eigenen (https://www.lima-city.de/ssl-zertifikate) Allerdings schon, wenn du das Premium Paket abbonniert hast (kommt in den nächsten Wochen...)
Beitrag zuletzt geändert: 23.8.2014 11:06:02 von mczernin -
mczernin schrieb:Nein. Auf Lima können keine eigenen Zertifikate benutzt werden. Nur die eigenen (https://www.lima-city.de/ssl-zertifikate) Allerdings schon, wenn du das Premium Paket abbonniert hast (kommt in den nächsten Wochen...)
Sry das hatte ich natürlich vergessen zu erwähnen. Ich meinte auch das Premium Paket. Dass es ohne nicht geht weiß ich. Bei der verlinkten Anleitung oben steht jedoch im "Virtual Server"- Teil, dass ich dort in der (Apache?) Config den Ort meines Zertifikats, der Key-File etc angeben muss. Da hakt es bei mir im Kopf - geht das? -
bastobuntu schrieb:
mczernin schrieb:Nein. Auf Lima können keine eigenen Zertifikate benutzt werden. Nur die eigenen (https://www.lima-city.de/ssl-zertifikate) Allerdings schon, wenn du das Premium Paket abbonniert hast (kommt in den nächsten Wochen...)
Sry das hatte ich natürlich vergessen zu erwähnen. Ich meinte auch das Premium Paket. Dass es ohne nicht geht weiß ich. Bei der verlinkten Anleitung oben steht jedoch im "Virtual Server"- Teil, dass ich dort in der (Apache?) Config den Ort meines Zertifikats, der Key-File etc angeben muss. Da hakt es bei mir im Kopf - geht das?
So kompliziert wird das nicht werden... es wird wahrscheinlich eine recht einfache uploadfunktion geben. Sehr komplizierte Script oder so werden wahrscheinlich die Anweisungen deines Tutorials an den Server schicken. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
