Forum

Kostenloses SSL-Zertifikat
Dezember 30, 2013, 16:24:08
Hiho,

ich möchte den Datenverkehr zu meinem NAS per HTTPS absichern und brauche dazu ja ein SSL-Zertifikat. Ich kann mir dazu ein eigenes selbstsigniertes erstellen, bekomme dann aber bei jedem Aufruf logischerweise eine Warnung.
Jetzt habe ich gesehen, dass man bei startssl.com sich ein für meine Zwecke ausreichendes Zertifikat kostenlos erstellen lassen kann.

Gibt es da einen Pferdefuß in Bezug auf die Sicherheit, den ich da übersehe? Oder ist das ein gutes Angebot, wenn es mir technisch ausreicht?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Kostenloses SSL-Zertifikat
Antwort #1: Dezember 30, 2013, 19:11:51
Sicherheitstechnisch sehe ich keinen Unterschied, außer das Du start.com diverse Daten anvertraust (Email, Name?).

Bei der Beantragung ist es wichtig, den privaten Schlüssel nicht(!) von start.com generieren zu lassen! Das ist oder war nämlich deren Standardvorgehen. Siehe hier:
http://www.heise.de/security/artikel/Die-Praxis-881280.html
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Kostenloses SSL-Zertifikat
Antwort #2: Dezember 30, 2013, 20:03:29
Ah ja, danke.
Und wenn man den privaten Schlüssel bei sich und geheim hält, dann besteht kein Sicherheitsrisiko, oder? Fällt mir jedenfalls nix zu ein.
E-Mail und Name habe ich kein Problem mit. Das ist sowieso schon gut 15 Jahre überall verbreitet. :)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Kostenloses SSL-Zertifikat
Antwort #3: Dezember 30, 2013, 22:40:32
Das Risiko mit dem privaten Schlüssel bleibt der durch Diebstahl oder u.U. Hausdurchsuchungen etc.
Aber das hast Du ja immer, wenn Du ihn nicht ausschließlich im Kopf speicherst.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Kostenloses SSL-Zertifikat
Antwort #4: Dezember 31, 2013, 09:07:20
Ja ok, das es Probleme geben kann, wenn der private Schlüssel aus meiner Hand gerät, ist klar. Davon gehe ich aber erst einmal nicht aus.

Ich meinte eher, ob es ein Sicherheitsproblem geben könnte, weil das Zertifikat von StartSSL ist. Ich kenne die dahinterstehende Firma nicht, aber selbst wenn ich sie kennen würde: Ein bisschen Misstrauen kann man ja haben.

Also wenn ich selbst vom Schlimmsten ausgehe und die Firma wäre kriminell und wollte mir was Böses, nur darüber, dass sie mir das Zertifikat gegeben hat, könnte sie mir nix, oder? So direkt fällt mir da kein Problem ein.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Kostenloses SSL-Zertifikat
Antwort #5: Dezember 31, 2013, 16:34:02
Start SSL ist ein israelisches Unternehmen und man könnte natürlich über die dortigen Geheimdienste so mancherlei Mutmassungen anstellen, z.B. dass sie im Zweifelsfall Terrorverdächtige nicht verschlüsselte Botschaften austauschen lassen mit Hilfe einer israelischen Firma.

Konkrete Angriffe könnte man sich folgendermassen ausmalen:
a) Start SSL beglaubigt falsche Zertifikate mit Deinem Namen - Identitätsdiebstahl, der schwer zu bekämpfen wäre.
b) Sie erklären Dein Zertifikat für ungültig - für Deine internen Zwecke aber egal.
c) Die Verschlüsselung ist nichts wert, weil die Nachrichtendienste eine Backdoor haben.
d) Ihre Webseite oder  ist irgendwie präpariert und schleust einen Keylogger ein etc. pp.

d) wäre wohl schon jemanden aufgefallen, glaube ich dann doch.

Ich habe mir dort vor einiger Zeit schon mal ein Zertifikat erstellt, und nun fällt mir wieder ein:
Der Schlüsselbund sagt „unbekannte Instanz“.
Dort wurde bei mir nämlich als Herausgeber eingetragen: StartCom Class 1 Intermediate Client CA.

Keine Ahnung, wie man das ausbügelt, ich bin umgeschwenkt auf GPG, aber das nützt Dir ja nichts.

Außerdem stört mich, dass man sie einfach sperren kann, sondern einen Antrag stellen muss und dann kostet es auch noch 25$.

_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Kostenloses SSL-Zertifikat
Antwort #6: Dezember 31, 2013, 16:48:13
Ich habe mir dort vor einiger Zeit schon mal ein Zertifikat erstellt, und nun fällt mir wieder ein:
Der Schlüsselbund sagt „unbekannte Instanz“.
Dort wurde bei mir nämlich als Herausgeber eingetragen: StartCom Class 1 Intermediate Client CA.

Hattest Du auch das Intermediate-Zertifikat installiert wie unter "Endspurt" in dem von Dir verlinkten Artikel steht?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Kostenloses SSL-Zertifikat
Antwort #7: Januar 01, 2014, 13:26:51
Wahrscheinlich eben nicht, wollte ich noch dazuschreiben. Kann mich nicht 100% erinnern.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Kostenloses SSL-Zertifikat
Antwort #8: Januar 01, 2014, 16:07:39
OK, ich werde es benutzen. :)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Kostenloses SSL-Zertifikat
Antwort #9: Januar 16, 2014, 14:10:45
Ein SSL Zertifkat kann man doch unter Linux oder Mac selber machen ?! Ich habe mal im Internet eine Anleitung gefunden, müßte man mal googlen. Die sind jedoch nicht von offizieller Stelle, daher bekommt man im Browser diese komische Meldung, dass man es akzeptieren muss.
Re: Kostenloses SSL-Zertifikat
Antwort #10: Januar 16, 2014, 14:15:40
Klar kann ich ein eigenes Machen, habe ich schon öfters getan, aber ich schrieb ja:
"Ich kann mir dazu ein eigenes selbstsigniertes erstellen, bekomme dann aber bei jedem Aufruf logischerweise eine Warnung."

Ich möchte im Browser (und Kalender und Adressbuch und...) nicht jedes Mal eine Meldung bekommen. Auf dem Server soll dann ownCloud laufen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Kostenloses SSL-Zertifikat
Antwort #12: Juni 07, 2015, 09:37:46
Ja, da habe ich auch schon von gelesen. Könnte interessant werden. Aber momentan muss man erst einmal die Entwicklung abwarten. Irgendwo meine ich gelesen zu haben, dass der Abruf eines Zertifikates nur mittels spezieller Software möglich sein soll? Naja, abwarten und schauen, wie es weiter geht.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller