Billiges Wildcard- oder Multidomain SSL-Zertifikat

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

06.11.2015 - 09:10

Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.
Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10300

06.11.2015 - 09:11

Zitat von Smut
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.

Aber doch nicht der Private Key :confused:

HP

Legend
Moneymaker

Registered: Mar 2000
Location: Wien
Posts: 21810

06.11.2015 - 09:11

Geht eh schon los... hier ein erstes Installskript von Kenn White himself :eek:

https://github.com/kennwhite/install-letsencrypt

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

06.11.2015 - 09:14

Zitat von XeroXs
Aber doch nicht der Private Key

Nein der öffentliche. Ab hier kannst du die Chain bauen und verifizieren. Dem ROOT cert ist dadurch nicht anfällig da es nicht im Zuge des SSL handshakes an den Client gesendet wird.
Es kann dir also niemand ein falsches Root Zertifikat unterjubeln. Deshalb ist egal auf welchem hash die Signatur des Root Zertifikates beruht!

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7252

06.11.2015 - 10:42

Zitat von Smut
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.
Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate

interesting... steht das auch irgendwo, kann man das wo checken/nachlesen?

(ich glaube mich nämlich zu erinnern, dass ich bereits SSL-checker tools gesehen habe, die bzgl. SHA-1 Root-Zertifikaten präventiv geschrieen haben)

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

06.11.2015 - 11:57

sieh dir das root zertifkat von google an z.b.
ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist.

https://googleonlinesecurity.blogsp...ting-sha-1.html

Zitat
Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7252

06.11.2015 - 12:16

Zitat von Smut
sieh dir das root zertifkat von google an z.b.
ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist.

https://googleonlinesecurity.blogsp...ting-sha-1.html

thanks, weil hier klang's nicht so ganz danach http://social.technet.microsoft.com...ed_Root_Program

Ecraft

Here to stay

Registered: Mar 2002
Location:
Posts: 1096

13.11.2015 - 09:55

übrigends falls wer noch warten kann, jetzt steht ein datum fest
http://www.heise.de/newsticker/meld...le-2920357.html

//ah sorry keine wildcards und kein multidomain leider :-(

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10300

13.11.2015 - 09:57

Hat jemand eine Idee wie sich die eigentlich finanzieren? (In ihren Emails steht immer nur was von Spenden.. ist das echt ihr Modell :confused:

)

Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.

berndy2001

Komasäufer

Registered: Feb 2003
Location: Vienna
Posts: 1951

13.11.2015 - 10:04

EV, Wildcard bzw. Multidomain, längere Laufzeit wirds auch weiterhin nur bei Bezahlanbietern geben.
Derzeit bieten ja auch schon wosign und startssl kostenlose Zertifikate an, lets encrypt hat halt viel Marketing.

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11902

13.11.2015 - 10:27

Zitat von XeroXs
Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.

Der hat sich doch laengst in Richtung EV-"jetzt tun wir wirklich mal, was wir als CA eigentlich schon immer haetten tun sollen, und verlangen das Hundertfache!"-Schlangenoel verlagert.

Dass Verisign ihr X.509-Geschaeft schon vor ein paar Jahren an Symantec verkauft hat, war ja auch ein Zeichen, dass da in Zukunft nicht mehr so viel Geld gedruckt werden wird koennen - sonst gibt man so einen Goldesel ja nicht her. Die werden schon auf das DNSSEC-Geschaeft gespitzt haben (was aber wohl implodiert ist, bevor sich diese ziemlich miese Technologie noch auf breiter Front durchgesetzt haette)...

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10300

01.12.2015 - 11:14

Sodala.. erste Domain mit letsencrypt verschlüsselt

Hat a bissl gedauert bis ich das durchschaut habe, aber prinzipiell easy cheasy.
Vorerst halt manuelles Renewal alle 90 Tage - aber das soll sich ja bald automatisieren lassen.

Bearbeitet von XeroXs am 01.12.2015, 11:19

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11531

01.07.2016 - 11:37

hat jemand schon startencrypt von startssl in verwendung ? was ist der vor/nachteil zu letsencrypt ?

edit: ich bezieh mich auf die pro version

Bearbeitet von davebastard am 01.07.2016, 11:41

berndy2001

Komasäufer

Registered: Feb 2003
Location: Vienna
Posts: 1951

01.07.2016 - 11:49

Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11531

01.07.2016 - 11:53

Zitat von berndy2001
Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.

neee nicht für 1 zertifikat, bis zu 120 !!!
und wir bräuchten auch mehrere + wildcard-cert usw.

dann wären die kosten in ordnung. zumindest hätt ichs so verstanden und hier stehts auch so:
http://www.heise.de/security/meldun...om-3241775.html

Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	06.11.2015 - 09:10 Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10300	06.11.2015 - 09:11 Zitat von Smut Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Aber doch nicht der Private Key
HP Legend Moneymaker Registered: Mar 2000 Location: Wien Posts: 21810	06.11.2015 - 09:11 Geht eh schon los... hier ein erstes Installskript von Kenn White himself https://github.com/kennwhite/install-letsencrypt
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	06.11.2015 - 09:14 Zitat von XeroXs Aber doch nicht der Private Key Nein der öffentliche. Ab hier kannst du die Chain bauen und verifizieren. Dem ROOT cert ist dadurch nicht anfällig da es nicht im Zuge des SSL handshakes an den Client gesendet wird. Es kann dir also niemand ein falsches Root Zertifikat unterjubeln. Deshalb ist egal auf welchem hash die Signatur des Root Zertifikates beruht!
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7252	06.11.2015 - 10:42 Zitat von Smut Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist. Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate interesting... steht das auch irgendwo, kann man das wo checken/nachlesen? (ich glaube mich nämlich zu erinnern, dass ich bereits SSL-checker tools gesehen habe, die bzgl. SHA-1 Root-Zertifikaten präventiv geschrieen haben)
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	06.11.2015 - 11:57 sieh dir das root zertifkat von google an z.b. ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist. https://googleonlinesecurity.blogsp...ting-sha-1.html Zitat Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7252	06.11.2015 - 12:16 Zitat von Smut sieh dir das root zertifkat von google an z.b. ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist. https://googleonlinesecurity.blogsp...ting-sha-1.html thanks, weil hier klang's nicht so ganz danach http://social.technet.microsoft.com...ed_Root_Program
Ecraft Here to stay Registered: Mar 2002 Location: Posts: 1096	13.11.2015 - 09:55 übrigends falls wer noch warten kann, jetzt steht ein datum fest http://www.heise.de/newsticker/meld...le-2920357.html //ah sorry keine wildcards und kein multidomain leider :-(
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10300	13.11.2015 - 09:57 Hat jemand eine Idee wie sich die eigentlich finanzieren? (In ihren Emails steht immer nur was von Spenden.. ist das echt ihr Modell ) Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.
berndy2001 Komasäufer Registered: Feb 2003 Location: Vienna Posts: 1951	13.11.2015 - 10:04 EV, Wildcard bzw. Multidomain, längere Laufzeit wirds auch weiterhin nur bei Bezahlanbietern geben. Derzeit bieten ja auch schon wosign und startssl kostenlose Zertifikate an, lets encrypt hat halt viel Marketing.
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11902	13.11.2015 - 10:27 Zitat von XeroXs Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut. Der hat sich doch laengst in Richtung EV-"jetzt tun wir wirklich mal, was wir als CA eigentlich schon immer haetten tun sollen, und verlangen das Hundertfache!"-Schlangenoel verlagert. Dass Verisign ihr X.509-Geschaeft schon vor ein paar Jahren an Symantec verkauft hat, war ja auch ein Zeichen, dass da in Zukunft nicht mehr so viel Geld gedruckt werden wird koennen - sonst gibt man so einen Goldesel ja nicht her. Die werden schon auf das DNSSEC-Geschaeft gespitzt haben (was aber wohl implodiert ist, bevor sich diese ziemlich miese Technologie noch auf breiter Front durchgesetzt haette)...
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10300	01.12.2015 - 11:14 Sodala.. erste Domain mit letsencrypt verschlüsselt Hat a bissl gedauert bis ich das durchschaut habe, aber prinzipiell easy cheasy. Vorerst halt manuelles Renewal alle 90 Tage - aber das soll sich ja bald automatisieren lassen. Bearbeitet von XeroXs am 01.12.2015, 11:19
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11531	01.07.2016 - 11:37 hat jemand schon startencrypt von startssl in verwendung ? was ist der vor/nachteil zu letsencrypt ? edit: ich bezieh mich auf die pro version Bearbeitet von davebastard am 01.07.2016, 11:41
berndy2001 Komasäufer Registered: Feb 2003 Location: Vienna Posts: 1951	01.07.2016 - 11:49 Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11531	01.07.2016 - 11:53 Zitat von berndy2001 Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat. neee nicht für 1 zertifikat, bis zu 120 !!! und wir bräuchten auch mehrere + wildcard-cert usw. dann wären die kosten in ordnung. zumindest hätt ichs so verstanden und hier stehts auch so: http://www.heise.de/security/meldun...om-3241775.html

Billiges Wildcard- oder Multidomain SSL-Zertifikat

Forum Index > Digital Life > Internet & Provider

Smut

XeroXs

HP

Smut

TOM

Smut

TOM

Ecraft

XeroXs

berndy2001

COLOSSUS

XeroXs

davebastard

berndy2001

davebastard