Thawte ist aber auch wirklich hartnäckig, wenn es darum geht, Zertifikatsinhaber daran zu erinnern, dass ein Zertifikart verlängert werden sollte. Das hier kam gestern per Brief-Post an
Was mich schon immer interessiert hat: Gibt es einen gewichtigen Grund seine Zertifikate von Thawte oder sonstigen bekannten Zertifizierungstellen ausstellen zu lassen? Deren CA-Zertifikate sind wohl in den meisten Browsern vorinstalliert, aber ist das alles?
Py
Nein, im Grunde sind das die wichtigsten Gründe. Theoretisch ist jede andere Zertifizierungsstelle ebenso vertrauenswürdig, solange die Identität wirklich geprüft wird.
Micha
Wenns keine bekannte CA wär, hätt ichs erstmal auf den Spam-Stapel gelegt: Kann sich ein seriöses Unternehmen wirklich so einen penetranten Auftritt leisten? Naja, anscheinend schon...
Dirk
Nein, das ist praktisch der einzige Grund. Selbst ein selbst signiertes Zertifikat ist nicht sicherer oder unsicherer als ein für 500 US-Dollar gekauftes Zertifikat. Es kommt halt immer auf die Zielgruppe an.
Bei einem kleinen Benutzerkreis, der weiß, was er machen muss, kann man durchaus ein selbst signiertes Zertifikat verwenden. Man muss das den Benutzern dann eben mitteilen, damit die sich nicht wundern.
Bei einer, ich sage mal „eher technisch versierten“ Zielgruppe kann man völlig problemlos auf CAcert o.Ä. setzen, da Leute, die etwas mehr wissen als „ich speichere meine Texte im Word“, gemeinhin auch dazu in der Lage sind, den Hinweis auf ein fehlendes Rootzertifikat zu verstehen, und das Rootzertifikat dem System oder auch nur dem Browser hinzuzufügen.
Will man das Zertifikat kommerziell nutzen, kommt man meist nicht um einen Kauf herum, da dadurch auch meist eine Versicherung mit abgeschlossen wird, die die Verschlüsselung und Funktionsfähigkeit finanziell bis zu einem gewissen Betrag absichert.
Außerdem sind kommerzielle Zertifikate meist in allen gängigen Browsern/in allen gängigen Betriebssystemen bereits nach der Installation vorhanden, so das Laien nicht von einem „Zertifikatsfehler“ (der ja nur der Hinweis auf ein fehlendes Rootzertifikat ist, und nicht auf ein Problem mit dem Zertifikat selbst hindeutet) abgeschreckt werden.
Jan Schejbal
Naja, ich find die Werbung jetzt nicht soo schlimm. Allerdings bietet StartSSL kostenlose Zertifikate, und ist inzwischen in vielen Browsern drin (auf jeden Fall Windows/IE und NSS/Mozilla/Firefox, soweit ich weiß aber alles gängige außer Opera).
Sebastian Bertho
Nun, die Aufgabe einer Zertifizierungsstelle ist ja eigentlich, eine gewisse Sicherheitsannahme zu bestätigen.
Letztlich die Grundfrage: Ist derjeniger, der das Zertifikat beantragt überhaupt berechtigt, das für diese Webseite zu tun.
Dummerweise kann man diese Fragestellung nicht wirklich lösen - und erst recht nicht Länderübergreifend.
Einige Zertifikatsstellen betreiben da einen gewissen Aufwand - andere wiederum nicht.
Richtig interessant wird es dann mit komplexeren Zertifikaten, z.B: Wildcard-Zertifikaten oder auch Zertifikate mit mehreren DNS-Namen. Hier wird die Prüfung dann richtig schwierig (weshalb sich die Anbieter diese Zertifikate gut bezahlen lassen)
Und unterm Strich sollte eine Zertifizierungsstelle dann noch dafür sorgen, dann keine "bösen" Zertifikate ausgestellt werden: Ein Zertifikat für die Seite paypal.com (aber mit griechischem a) sollte man z.B: ebensowenig ausgeben wie ein Wildcard-Zertifikat für *.com.
Dann ist da noch die Sicherheit des privaten Schlüssels der Zertifikatstelle: Kommt der z.B.: durch einen Hack an die Öffentlichkeit sind alle Zertifikate mit diesem Schlüssel nichts mehr wert. Insofern gibt es da bei den Zertifikatsstellen auch unterschiedliche Sicherheitsmaßnahmen im Umgang mit diesen Schlüsseln.
Das sind alles Argumente die für oder gegen eine Zertifizierungsstelle sprechen.
Allerdings hat das nicht direkt mit dem Preis zu tun: RapidSSL ist z.B: sehr günstig (ein Zertifikat liegt bei etwa 15€ / Jahr) und in allen Browsern installiert - allerdings sind die schon durch einige Dummheiten aufgefallen (z.B. waren die vom Debian-SSL-Problem betroffen).
Auf der anderen Seite ist Verisign sehr teuer und hat auch schon ein paar krasse Zertifikate ausgestellt (paypal.com mit griechischem a).
Insofern sollte man bei der Auswahl des Anbieters halt seine Wünsche mit der gebotenen Leistung vergleichen.
jan
Ich benutze inzwischen auch StartSSL - auch für gekaufte Zertifikate. Für zwei Jahre zahlt man keine 40€ und kann sich so viele Zertifikate wie Bedarf besteht (für bestätigte Domains). Auch die Identitätsprüfung von denen war relativ viel Papierkram & Telefonate und ich denke mal somit auch entsprechend Vertrauenswürdig.
Björn
Ein fehlendes Rootzertifikat nachinstallieren...
Ob das immer so eine tolle Idee ist?
Die bessere Idee ist es, in die andere Richtung zu gehen und erst einmal die installierten Zertifikate aufzuräumen, da ist nämlich teilweise echter Müll mit dabei.
Wenn man sich mal bei CaCert schlauliest, möchte man im Moment deren Rootzertifikat auch nicht installieren.
Ich vermisse eh die Option "Warne, wenn ein Zertifikat mit diesem Zertifikat signiert ist, aber nerve mich nicht mit 20 zusätzliche Klicks" bzw. "Ich weiss was ich tue".
Björn
Das tragische als Kunde, der ein Zertifikat signiert haben möchte ist ja:
Diese ganzen Fakten sind in diesem Fall völlig egal.
Der einzig wichtige Punkt ist, das das Rootzertifikat der Zertifizierungsstelle in allen gängigen Browsern vorhanden ist.
Die Sicherheit des Zertifikats interessiert mich an diesem Ende der Kette idR nicht, bzw. diese ist technisch eh ausreichend gegeben.
Wenn eine der vorhandenen Zertifizierungsstellen ein Zertifikat für *.com oder paypal.com (mit griechischem "a") ausstellt, ist das Kind im Brunnen.
Viel wichtiger ist die Zuverlässigkeit der Zertifizierungsstelle für den Kunden, der sich auf die Rootzertifikate verlässt, um zu entscheiden ob "www.sparkasse-hintertupfingen.de" wirklich die Sparkasse ist, oder eine fiese Bande von Hackern.
Und dieser hat ja kaum eine Wahl....
Andy
Ich persönlich sehe und lese hier nur von diesem einem Brief.
Wenn diese freundliche Erinnerung alles war, empfinde ich das eher als Kundenservice dass sie einen rechtzeitig informieren.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Daniel
Py
Micha
Dirk
Bei einem kleinen Benutzerkreis, der weiß, was er machen muss, kann man durchaus ein selbst signiertes Zertifikat verwenden. Man muss das den Benutzern dann eben mitteilen, damit die sich nicht wundern.
Bei einer, ich sage mal „eher technisch versierten“ Zielgruppe kann man völlig problemlos auf CAcert o.Ä. setzen, da Leute, die etwas mehr wissen als „ich speichere meine Texte im Word“, gemeinhin auch dazu in der Lage sind, den Hinweis auf ein fehlendes Rootzertifikat zu verstehen, und das Rootzertifikat dem System oder auch nur dem Browser hinzuzufügen.
Will man das Zertifikat kommerziell nutzen, kommt man meist nicht um einen Kauf herum, da dadurch auch meist eine Versicherung mit abgeschlossen wird, die die Verschlüsselung und Funktionsfähigkeit finanziell bis zu einem gewissen Betrag absichert.
Außerdem sind kommerzielle Zertifikate meist in allen gängigen Browsern/in allen gängigen Betriebssystemen bereits nach der Installation vorhanden, so das Laien nicht von einem „Zertifikatsfehler“ (der ja nur der Hinweis auf ein fehlendes Rootzertifikat ist, und nicht auf ein Problem mit dem Zertifikat selbst hindeutet) abgeschreckt werden.
Jan Schejbal
Sebastian Bertho
Letztlich die Grundfrage: Ist derjeniger, der das Zertifikat beantragt überhaupt berechtigt, das für diese Webseite zu tun.
Dummerweise kann man diese Fragestellung nicht wirklich lösen - und erst recht nicht Länderübergreifend.
Einige Zertifikatsstellen betreiben da einen gewissen Aufwand - andere wiederum nicht.
Richtig interessant wird es dann mit komplexeren Zertifikaten, z.B: Wildcard-Zertifikaten oder auch Zertifikate mit mehreren DNS-Namen. Hier wird die Prüfung dann richtig schwierig (weshalb sich die Anbieter diese Zertifikate gut bezahlen lassen)
Und unterm Strich sollte eine Zertifizierungsstelle dann noch dafür sorgen, dann keine "bösen" Zertifikate ausgestellt werden: Ein Zertifikat für die Seite paypal.com (aber mit griechischem a) sollte man z.B: ebensowenig ausgeben wie ein Wildcard-Zertifikat für *.com.
Dann ist da noch die Sicherheit des privaten Schlüssels der Zertifikatstelle: Kommt der z.B.: durch einen Hack an die Öffentlichkeit sind alle Zertifikate mit diesem Schlüssel nichts mehr wert. Insofern gibt es da bei den Zertifikatsstellen auch unterschiedliche Sicherheitsmaßnahmen im Umgang mit diesen Schlüsseln.
Das sind alles Argumente die für oder gegen eine Zertifizierungsstelle sprechen.
Allerdings hat das nicht direkt mit dem Preis zu tun: RapidSSL ist z.B: sehr günstig (ein Zertifikat liegt bei etwa 15€ / Jahr) und in allen Browsern installiert - allerdings sind die schon durch einige Dummheiten aufgefallen (z.B. waren die vom Debian-SSL-Problem betroffen).
Auf der anderen Seite ist Verisign sehr teuer und hat auch schon ein paar krasse Zertifikate ausgestellt (paypal.com mit griechischem a).
Insofern sollte man bei der Auswahl des Anbieters halt seine Wünsche mit der gebotenen Leistung vergleichen.
jan
Björn
Ob das immer so eine tolle Idee ist?
Die bessere Idee ist es, in die andere Richtung zu gehen und erst einmal die installierten Zertifikate aufzuräumen, da ist nämlich teilweise echter Müll mit dabei.
Wenn man sich mal bei CaCert schlauliest, möchte man im Moment deren Rootzertifikat auch nicht installieren.
Ich vermisse eh die Option "Warne, wenn ein Zertifikat mit diesem Zertifikat signiert ist, aber nerve mich nicht mit 20 zusätzliche Klicks" bzw. "Ich weiss was ich tue".
Björn
Diese ganzen Fakten sind in diesem Fall völlig egal.
Der einzig wichtige Punkt ist, das das Rootzertifikat der Zertifizierungsstelle in allen gängigen Browsern vorhanden ist.
Die Sicherheit des Zertifikats interessiert mich an diesem Ende der Kette idR nicht, bzw. diese ist technisch eh ausreichend gegeben.
Wenn eine der vorhandenen Zertifizierungsstellen ein Zertifikat für *.com oder paypal.com (mit griechischem "a") ausstellt, ist das Kind im Brunnen.
Viel wichtiger ist die Zuverlässigkeit der Zertifizierungsstelle für den Kunden, der sich auf die Rootzertifikate verlässt, um zu entscheiden ob "www.sparkasse-hintertupfingen.de" wirklich die Sparkasse ist, oder eine fiese Bande von Hackern.
Und dieser hat ja kaum eine Wahl....
Andy
Wenn diese freundliche Erinnerung alles war, empfinde ich das eher als Kundenservice dass sie einen rechtzeitig informieren.