Webserver: Zertifikat von offizieller CA unterzeichnen lassen – und das kostenlos bei www.startssl.com

 

Wie man ein Zertifikat erstellt und ein CSR (certificate signing request) erzeugt habe ich unter https://blog.rotzoll.net/2015/01/webserver-ssl-zertifikat-und-csr-fuer-https-erstellen/ erläutert.

Nun geht es darum, dieses Zertifikat von einer offiziellen CA „beglaubigen“ zu lassen. Damit wird bei einem Aufruf der Seite keine Warnmeldung über ein unvertrautes Zertifikat ausgegeben.

Ein Class 1 Zertifikat kann bei Start Com für 1 Jahr kostenfrei erstellt bzw. beglaubigt werden. Also gibt es noch weniger Gründe gegen die Nutzung von HTTPS.

Bei https://www.startssl.com/ kann man sich kostenfrei anmelden. Nach der Anmeldung muss man unter Control Center seinen Domainnamen verifizieren lassen. Hierzu den Validations Wizard aufrufen und Domain Name Validation wählen. Seinen Domainnamen eintragen. Hierdrauf erhält man eine Auswahl möglicher eMail Ziele, an welche eine eMail mit dem Validation Code geschickt wird.
Nach Eingabe des Codes ist die Domain (zumindest wird von Start Com der Besitzer (oder zumindest der, der Zugriff auf die Mails hat)) verifiziert. Nun kann man über den Certificates Wizard eine Signierung starten. Als Target wird Web Server SSL/ TLS Certificate gewählt. Im nächsten Schritt wird der Vorgang mit Skip angebrochen und in das erscheinende Eingabefeld das eigene, erstelle CSR eingegeben. Einfach per copy & paste rein.
Warum nicht über StartSSL einen privaten Schlüssel erzeugen?
Nun, wenn man das macht muss man davon ausgehen, dass der Schlüssel nicht nur einem selber bekannt ist….. Und das sollte man auf jeden Fall vermeiden! Es ist davon auszugehen, dass der Schlüssel „vielleicht“ von denen abfließt. Und somit als kompromittiert, also unsicher anzusehen ist.

Man bekommt nun ein Zertifikat, welches von StartSSL mit einer Gültigkeit von 1 Jahr und Typ Class 1 signiert wurde. Nur noch einspielen. Fertig.
U.U. muss man sich von StartSSl noch die Intermediate und Root CA Zertifikate herunterladen, um eine CertificateChain korrekt zu haben.

Der ganze Vorgang dauert keine 15 Minuten. Und kostet bei Class1 Zertifikaten keinen Cent. Für private Anwendungsfälle sollte das mehr als ausreichend sein. Und mehr SSL ist immer besser 😉

Dieser Beitrag wurde unter Dokus und Tipps, Linux/ UNIX abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Webserver: Zertifikat von offizieller CA unterzeichnen lassen – und das kostenlos bei www.startssl.com

  1. Fieliep sagt:

    Das verstehe ich nicht 🙁

  2. SSLTester sagt:

    „Warum nicht über StartSSL ein Zertifikat erzeugen?“
    Das klingt falsch, denn der Artikel handelt ja davon, über StartSSL ein Zertifikat zu erzeugen.
    Ich denke, du meintest „Warum nicht über StartSSL einen privaten Schlüssel erzeugen?“

    Nebenbei könntest du deine SSL-Konfiguration noch etwas verbessen (siehe hier: https://www.ssllabs.com/ssltest/analyze.html?d=blog.rotzoll.net). Die Auswahl der Cipher Suiten ist nicht ganz optimal bezüglich Forward Secrecy. Ich nehme bei meiner Seite die folgenden Suiten in der angegebenen Reihenfolge und damit ist der Test zufrieden:
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)

    Wenn du A+ haben willst, must du noch HSTS unterstützen (ich glaube TLS_FALLBACK_SCSV auch) – nur so als Tipp.

    • rotzoll sagt:

      Hej,

      selbstverständlich ist dein Einwand richtig. Der Qualys Test gibt einem Hinweise, dass dort noch Optimierungsbedarf besteht. Leider muss ich mich hiermit abfinden, da ich keinen direkten Einfluss auf die vHost Konfiguration habe und mein Hoster in dem Fall keine weiteren Anpassungen vornehmen kann. Bei von mir selbst mit vollem Zugriff kontrollierten Servern sieht es auch so aus. Da ist nur noch AES256 erlaubt, Forward Secrecy aktiviert und nach derzeitigem Stand ein recht gutes Level an Sicherheit gegeben.

      Natürlich ist es auch sinnvoll, die Protokollversionen und Cipher Suiten soweit es geht, auf ein hohes Level zu bringen. Der SSL Test gibt einem eine gute Übersicht über die erreichte „Dichte“ und damit auch eine gute Einschätzung bzw. Bewertung, was man noch machen sollte bzw. könnte, um noch etwas mehr Sicherheit zu erlangen. Aber hier ist leider irgendwann auch eine technische Grenze (Hoster) gegeben, die noch etwas mehr nicht erlaubt. Trotzdem ist mein Ansatz sicher schon nicht falsch.

      Viel schlimmer ist die Tatsache, dass es noch immer Unmengen an Webseiten gibt, die überhaupt gar keine Verschlüsselung einsetzen. Es wird aber hoffentlich bald ein Umdenken stattfinden und Verschlüsselung Standard werden. Natürlich kommen jetzt schon Stimmen auf, die eine Verschlüsselung verbieten wollen. Unsere Politiker haben nach Paris zwar kurz inne gehalten, preschen nun aber wieder einmal mit den schwachsinnigen Ideen von VDS (Vorratsdatenspeicherung), Verbot von Verschlüsselung (UK will dort schnell hin) und der Quellen TKÜ.

      Wir lassen es uns ja auch gefallen. Kein Aufschrei. Keine Gegenwehr gegen diese Politik. „Ich habe ja nichts zu verbergen“ ist tief in den deutschen Köpfen verankert. zur Not wird wieder die Kinderpornographie-Keule geschwungen oder wg. angeblicher Terrorabwehr die Forderung nach vorne gebracht. Dabei gibt es keine verlässlichen Zahlen, dass durch Abhör- oder Überwachungsmaßnahmen irgendwelche Straftaten verhindert werden konnten. Jedes Mal nach einem Vorfall wird behauptet, dass es natürlich durch vollständige Überwachung möglich gewesen wäre. dieses Verbrechen zu verhindern….

      Gruß,
      Malte

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert