Welcher Webmaster kennt das nicht? Für eine verschlüsselte Verbindung wird ein Zertifikat benötigt. Gerade im privaten Bereich möchte man die teuren Schlüssel (meist US$ 299,- aufwärts pro Jahr) nicht bezahlen. Wirklich kostenlose Zertifikate können nur durch eine eigene PKI oder mittels self-signed Certificates realisiert werden. Nachteil dieser Zertifikate ist, dass sie eine Warnung im Browser verursachen. Bei Firefox kommt erst gar keine Verbindung zustande kommt, wenn man nicht umständlich die Seite freischaltet. Das sorgt für Verwirrung und Frust.
Eine wirkliche Erleichterung bietet nun eine israelische Institution an: StartCom Ltd. Sie erlaubt die kostenlose Registrierung von Class 1-Zertifikaten mit 1 Jahr Laufzeit. Vor Ablauf ist eine erneute, kostenlose Ausstellung problemlos möglich. StartCom bietet zudem sehr günstige Class 2-, Class 3- und Class 4-Zertifikate an (ab US$ 59,90 für 2 Jahre). Deren PKI (Public Key Infrastructure) ist über Web erreichbar, daher können die Zertifikate und die Zertifikatskette überprüft werden. Microsoft hat in Windows die StartCom CA in die “Vertrauenswürdige Stammzertifizierungsstellen” aufgenommen. Mozilla hat gleiches beim Firefox durchgeführt. Die Mehrheit der Browser erkennt diese Zertifikate damit als gültig an.
- Update 15.04.2016: Seit kurzem verwenden die CA’s SHA256 als Signaturalgorithmus. Und es können bei den kostenlosen Zertifikaten nun bis zu 5 Hostnamen, auch interne, als SAN hinterlegt werden.
- Update 23.05.2017: Offensichtlich wurde StartCom vom chinesischen Konkurrent WoSign übernommen. Auf Grund einiger Unregelmäßigkeiten haben die großen Browseranbieter wie Apple (Safari), Google (Chrome) und schlussendlich Mozilla (Firefox) den Anbietern StartCom und WoSign das Vertrauen entzogen. Ein Worst Case, nicht nur für die CA-Betreiber. Webmaster sind nun auf andere Anbieter angewiesen. Doch es gibt Licht am Ende des Tunnels.
Zum Einen bietet LetsEncrypt kostenlose Zertifikate an. Diese müssen allerdings alle 3 Monate ausgetauscht werden. Zudem gibt es (noch) keine native Unterstützung für den IIS. Aber wer die Suchmaschinen oder Community bemüht, findet u.a. auf Github Tools für den IIS, die CSRs erstellen und die Webschnittstelle LetsEncrypts (ACME) bedienen. Zum Anderen bietet der Comodo Reseller GoGetSSL sehr günstige Zertifikate vielfältiger Natur an.
0 Kommentare