Billiges Wildcard- oder Multidomain SSL-Zertifikat
TOM 11.03.2015 - 10:34 9915 48
Smut
takeover & ether
|
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate
|
XeroXs
doh
|
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Aber doch nicht der Private Key
|
HP
Legend Moneymaker
|
|
Smut
takeover & ether
|
Aber doch nicht der Private Key Nein der öffentliche. Ab hier kannst du die Chain bauen und verifizieren. Dem ROOT cert ist dadurch nicht anfällig da es nicht im Zuge des SSL handshakes an den Client gesendet wird. Es kann dir also niemand ein falsches Root Zertifikat unterjubeln. Deshalb ist egal auf welchem hash die Signatur des Root Zertifikates beruht!
|
TOM
Super ModeratorOldschool OC.at'ler
|
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate interesting... steht das auch irgendwo, kann man das wo checken/nachlesen? (ich glaube mich nämlich zu erinnern, dass ich bereits SSL-checker tools gesehen habe, die bzgl. SHA-1 Root-Zertifikaten präventiv geschrieen haben)
|
Smut
takeover & ether
|
sieh dir das root zertifkat von google an z.b. ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist. https://googleonlinesecurity.blogsp...ting-sha-1.htmlNote: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.
|
TOM
Super ModeratorOldschool OC.at'ler
|
|
Ecraft
Here to stay
|
|
XeroXs
doh
|
Hat jemand eine Idee wie sich die eigentlich finanzieren? (In ihren Emails steht immer nur was von Spenden.. ist das echt ihr Modell ) Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.
|
berndy2001
Komasäufer
|
EV, Wildcard bzw. Multidomain, längere Laufzeit wirds auch weiterhin nur bei Bezahlanbietern geben. Derzeit bieten ja auch schon wosign und startssl kostenlose Zertifikate an, lets encrypt hat halt viel Marketing.
|
COLOSSUS
AdministratorFrickler
|
Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut. Der hat sich doch laengst in Richtung EV-"jetzt tun wir wirklich mal, was wir als CA eigentlich schon immer haetten tun sollen, und verlangen das Hundertfache!"-Schlangenoel verlagert. Dass Verisign ihr X.509-Geschaeft schon vor ein paar Jahren an Symantec verkauft hat, war ja auch ein Zeichen, dass da in Zukunft nicht mehr so viel Geld gedruckt werden wird koennen - sonst gibt man so einen Goldesel ja nicht her. Die werden schon auf das DNSSEC-Geschaeft gespitzt haben (was aber wohl implodiert ist, bevor sich diese ziemlich miese Technologie noch auf breiter Front durchgesetzt haette)...
|
XeroXs
doh
|
Sodala.. erste Domain mit letsencrypt verschlüsselt Hat a bissl gedauert bis ich das durchschaut habe, aber prinzipiell easy cheasy. Vorerst halt manuelles Renewal alle 90 Tage - aber das soll sich ja bald automatisieren lassen.
Bearbeitet von XeroXs am 01.12.2015, 11:19
|
davebastard
Vinyl-Sammler
|
hat jemand schon startencrypt von startssl in verwendung ? was ist der vor/nachteil zu letsencrypt ?
edit: ich bezieh mich auf die pro version
Bearbeitet von davebastard am 01.07.2016, 11:41
|
berndy2001
Komasäufer
|
Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.
|
davebastard
Vinyl-Sammler
|
Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat. neee nicht für 1 zertifikat, bis zu 120 !!! und wir bräuchten auch mehrere + wildcard-cert usw. dann wären die kosten in ordnung. zumindest hätt ichs so verstanden und hier stehts auch so: http://www.heise.de/security/meldun...om-3241775.html
|