Billiges Wildcard- oder Multidomain SSL-Zertifikat - Seite 3

Seite 3 von 4 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/billiges-wildcard-oder-multidomain-ssl-zertifikat_242363/page_3 - zur Vollversion wechseln!

Smut schrieb am 06.11.2015 um 09:10

Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.
Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate

XeroXs schrieb am 06.11.2015 um 09:11

Zitat von Smut
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.
Aber doch nicht der Private Key :confused:

HP schrieb am 06.11.2015 um 09:11

Geht eh schon los... hier ein erstes Installskript von Kenn White himself :eek:

https://github.com/kennwhite/install-letsencrypt

Smut schrieb am 06.11.2015 um 09:14

Zitat von XeroXs
Aber doch nicht der Private Key :confused:
Nein der öffentliche. Ab hier kannst du die Chain bauen und verifizieren. Dem ROOT cert ist dadurch nicht anfällig da es nicht im Zuge des SSL handshakes an den Client gesendet wird.
Es kann dir also niemand ein falsches Root Zertifikat unterjubeln. Deshalb ist egal auf welchem hash die Signatur des Root Zertifikates beruht!

TOM schrieb am 06.11.2015 um 10:42

Zitat von Smut
Root-CA kann weiterhin sha1 signiert sein da der das Zertifikat mit Schlüssel ohnehin im os/Browser Store hinterlegt ist.
Wichtig sind nur die Zertifikate die du nicht lokal hast also intermediate CAs sowie end-Zertifikate

interesting... steht das auch irgendwo, kann man das wo checken/nachlesen?

(ich glaube mich nämlich zu erinnern, dass ich bereits SSL-checker tools gesehen habe, die bzgl. SHA-1 Root-Zertifikaten präventiv geschrieen haben)

Smut schrieb am 06.11.2015 um 11:57

sieh dir das root zertifkat von google an z.b.
ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist.

https://googleonlinesecurity.blogsp...ting-sha-1.html

Zitat
Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

TOM schrieb am 06.11.2015 um 12:16

Zitat von Smut
sieh dir das root zertifkat von google an z.b.
ansonsten kannst du qualys ssl labs hernehmen, die bestätigen dir auch, dass die chain in ordnung ist.

https://googleonlinesecurity.blogsp...ting-sha-1.html

thanks, weil hier klang's nicht so ganz danach http://social.technet.microsoft.com...ed_Root_Program

Ecraft schrieb am 13.11.2015 um 09:55

übrigends falls wer noch warten kann, jetzt steht ein datum fest
http://www.heise.de/newsticker/meld...le-2920357.html

//ah sorry keine wildcards und kein multidomain leider :-(

XeroXs schrieb am 13.11.2015 um 09:57

Hat jemand eine Idee wie sich die eigentlich finanzieren? (In ihren Emails steht immer nur was von Spenden.. ist das echt ihr Modell :confused: )

Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.

berndy2001 schrieb am 13.11.2015 um 10:04

EV, Wildcard bzw. Multidomain, längere Laufzeit wirds auch weiterhin nur bei Bezahlanbietern geben.
Derzeit bieten ja auch schon wosign und startssl kostenlose Zertifikate an, lets encrypt hat halt viel Marketing.

COLOSSUS schrieb am 13.11.2015 um 10:27

Zitat von XeroXs
Ist ja eine tolle Sache, aber sie demolieren halt total den Business Case von den ganzen großen CA's .. bin gespannt was sich da tut.

Der hat sich doch laengst in Richtung EV-"jetzt tun wir wirklich mal, was wir als CA eigentlich schon immer haetten tun sollen, und verlangen das Hundertfache!"-Schlangenoel verlagert.

Dass Verisign ihr X.509-Geschaeft schon vor ein paar Jahren an Symantec verkauft hat, war ja auch ein Zeichen, dass da in Zukunft nicht mehr so viel Geld gedruckt werden wird koennen - sonst gibt man so einen Goldesel ja nicht her. Die werden schon auf das DNSSEC-Geschaeft gespitzt haben (was aber wohl implodiert ist, bevor sich diese ziemlich miese Technologie noch auf breiter Front durchgesetzt haette)...

XeroXs schrieb am 01.12.2015 um 11:14

Sodala.. erste Domain mit letsencrypt verschlüsselt

bildschirmfoto-2015-12-01-um-11-11-25_209868.png

Hat a bissl gedauert bis ich das durchschaut habe, aber prinzipiell easy cheasy.
Vorerst halt manuelles Renewal alle 90 Tage - aber das soll sich ja bald automatisieren lassen.

davebastard schrieb am 01.07.2016 um 11:37

hat jemand schon startencrypt von startssl in verwendung ? was ist der vor/nachteil zu letsencrypt ?

edit: ich bezieh mich auf die pro version

berndy2001 schrieb am 01.07.2016 um 11:49

Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.

davebastard schrieb am 01.07.2016 um 11:53

Zitat von berndy2001
Du meinst ein EV-Zertifikat? 176 Euro/Jahr für die Validierung sind halt viel für ein Zertifikat.

neee nicht für 1 zertifikat, bis zu 120 !!!
und wir bräuchten auch mehrere + wildcard-cert usw.

dann wären die kosten in ordnung. zumindest hätt ichs so verstanden und hier stehts auch so:
http://www.heise.de/security/meldun...om-3241775.html



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025