Jump to content

Unterschied bei Zertifikatsanbietern


Recommended Posts

vor 12 Stunden schrieb NorbertFe:

Es sei denn man legt werd auf elyptic curves. ;) wenn der Betrag schon beträchtlich ist, warum dann nicht einfach let’s encrypt?

Die Ironie verstehe ich nicht ;-) Google hat ein Zertifikat mit einem ECC-Key an deren öffentlichen Webseite hängen...

Und die Wirtschaftlichkeit von Let's Encrypt hängt halt davon ab, ob man den Zertifikatstausch in allen betroffenen Systemen automatisieren kann.

Link to post
vor 5 Minuten schrieb cj_berlin:

Die Ironie verstehe ich nicht ;-) Google hat ein Zertifikat mit einem ECC-Key an deren öffentlichen Webseite hängen...

 

Der obige Screenshot zeigt, dass nur eine der beiden CAs diese Zertifikate in ECC ausstellen würde. Wenn man also darauf Wert legt, dann greift man halt zu dem (in dem Fall sogar günstigeren).

Und wenn der Unterschied von 15,01€ pro Jahr schon beträchtlich ist, dann wäre vermutlich Lets Encrypt ggf. mit 0€ Beschaffung sogar die bessere Alternative. Setzt, wie du sagst, natürlich voraus, dass man das automatisieren kann.

 

Bye

Norbert

Link to post
Posted (edited)
vor 18 Minuten schrieb NorbertFe:

Der obige Screenshot zeigt, dass nur eine der beiden CAs diese Zertifikate in ECC ausstellen würde. Wenn man also darauf Wert legt, dann greift man halt zu dem (in dem Fall sogar günstigeren).

Und wenn der Unterschied von 15,01€ pro Jahr schon beträchtlich ist, dann wäre vermutlich Lets Encrypt ggf. mit 0€ Beschaffung sogar die bessere Alternative. Setzt, wie du sagst, natürlich voraus, dass man das automatisieren kann.

 

Bye

Norbert

Erstmal Danke für die Infos!

 

15€ sind natürlich nicht beträchtlich ;) 

Aber die Ersparnis wird natürlich bei mehreren Zertifikaten höher und warum im Privaten Bereich nicht Geld sparen wenn die Leistung sich nicht groß unterscheidet.

LetsEncrypt benutze ich aktuell, aber wie hier schon erwähnt, habe ich keine Ahnung wie man das automatisiert...

Das fängt schon für meine QNAP an, hier kann man über die Oberfläche selbst, mit einem Mausklick ein LetsEncrypt Zertifikat erstellen. Leider klappt das bei mir nur wenn ich das NAS in der FritzBox für den kurzen Moment der Zertifikatsanfrage als Exposed Host freigebe... Gebe ich hier nur Port 80 & 443 frei, schlägt die Anfrage fehl.

Was mich direkt zu einer Sache bringt die ich nicht verstehe, wieso muss hier überhaupt Port 80 erreichbar sein ? Warum reicht nicht 443, das wäre doch viel sicherer, oder ?

 

ABER, wie gesagt das ist nur eine der Aufgaben die ich nicht automatisiert bekomme, dazu kommt auch noch ein RD-Gateway und dass das alles hinter einem Kemp liegt der dann natürlich auch die neuen Zertifikate will.

Geht mir total auf die Nerven alle 3 Monate so eine Arbeit zu haben...

 

VG

Edited by KlausKleber
Link to post
vor 4 Minuten schrieb KlausKleber:

Was mich direkt zu einer Sache bringt die ich nicht verstehe, wieso muss hier überhaupt Port 80 erreichbar sein ? Warum reicht nicht 443, das wäre doch viel sicherer, oder ?

Ja, und dürfte dann nach der reinen Lehre auch nicht mehr funktionieren, wenn das Zertifikat, das dort gebunden ist, abgelaufen wäre ;-) 

Link to post

Moin,

 

gut, das ist nachvollziehbar. Was hier gerade geschehen ist: Du @KlausKleber hast gezeigt, dass es für eine sinnvolle Antwort auf deine Frage sehr hilfreich gewesen wäre, die Informationen zum Hintergrund gleich mitzuliefern statt erst hinterher. Vor dem Hintergrund der nun gelieferten Informationen kann man recht eindeutig sagen: Nimm das günstigere.

 

Technisch unterscheiden "Zertifikate" sich nur sehr gering. Die Unterschiede liegen im Drumrum. So gibt es etwa Domain-Validated-Zertifikate (wie hier oder wie Let's Encrypt), die nur technisch prüfen, ob der Antragsteller wirklich die Domain kontrolliert und daher "plausibel" ein Zertifikat dafür beschaffen darf. Reicht für die meisten Zwecke aus - es sei denn, man will mit der Webseite nachvollziehbar machen, dass man nicht nur die Domain blabla.tld besitzt, sondern dass man wirklich die Firma blabla ist (etwa weil man eine Bank ist und die Seite von Kunden verwendet wird). Dann sind Extended-Validation-Zertifikate sinnvoll, die viel mehr organisatorischen Aufwand für den Nachweis erfordern - sich technisch aber nicht von anderen unterscheiden.

 

Gruß, Nils

 

  • Like 2
Link to post

Ganz richtig ist die Aussage, dass sich die verschiedenen Zertifikate nicht unterscheiden auch nicht.

 

Die meisten Browser können das schon unterscheiden und zeigen es dann auch etwas anders an ... Bekommen nur die meisten Menschen nicht wirklich mit

https://www.it-swarm.com.de/de/certificates/wie-unterscheidet-ein-endbenutzer-zwischen-ov-und-dv-zertifikaten/l958442152/

 

Und wenn ich nicht gerade eine Bank /  Zahlungsabwickelung brauche, ist mir persönlich das ganze auch egal.

Link to post

Moin,

 

vor 59 Minuten schrieb MrCocktail:

Ganz richtig ist die Aussage, dass sich die verschiedenen Zertifikate nicht unterscheiden auch nicht.

die hat hier auch niemand getätigt. ;-)

 

Der Punkt, um den es mir ging: Der technische Kern von Zertifikaten ist - mit Ausnahme der jeweiligen Algorithmen für Hash und Verschlüsselung - identisch. Bei einem selbstsignierten Zertifikat passiert in der Verschlüsselung nichts anderes als bei einem DV- oder einem EV-Zertifikat. Auch ein TLS-Zertifikat und eins für Code Signing unterscheiden sich auf dieser Ebene nicht. Nicht einmal Root-Zertifikate und "ausgestellte" Zertifikate sind technisch verschieden. Die Unterschiede liegen nur noch in den Metadaten (z.B. in den Einsatzzwecken der Zertifikate, die willkürlich eingeschränkt sind - im Wesentlichen als Mechanismus, durch den Zertifikatsanbieter Geld verlangen können) und in der Handhabung beim Ausstellen der Zertifikate. Ein kommerzielles Zertifikat ist technisch aber nicht "sicherer" als ein selbstsigniertes, und ein EV-Zertifikat ist nicht sicherer als ein DV-Zertifikat.

 

Gruß, Nils

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...