Thursday, May 22. 2008
SSL mit Namecheap
SSL ist ne tolle Sache.
Die Verbindung zwischen Browser und Server kann man eigentlich nicht oft genug verschlüsseln, Login fürs Blag, Webmail, privates Miniwiki als Notizzettel, es gibt viele Spielereien die man unterwegs gut im Browser brauchen kann.
Nun, der Haken ist, unterwegs habe ich meine Zertifikate nicht dabei. Bedeutet, wenn ich sie selber erzeuge, das der Browser eine Fehlermeldung wirft, er kenne mein Zertifikat nicht. Nun, das kann man dem Browser bekannt machen.
Möglichkeit 1, ich überprüfe den Fingerprint des Zertifikats und sage dem Browser hinterher, er solle es akzeptieren. Geht, ist aber umständlich und eher doof.
Möglichkeit 2, ich lasse CACert Zertifikate für mich ausstellen. Nachteil: CACert kennen die Browser auch nicht - ich muß also das CACert-Zertifikat installieren. Solange sich CACert also nicht durchsetzt, im Grunde dasselbe wie vorhin.
Möglichkeit 3, auf die ich durch unser Fachschaftsforum stieß - StartSSL Free, deren Root-Zertifikat ist in einem der beiden großen Browser vorinstalliert - ich meine es war Mozilla. Findet man unterwegs auf fremden Rechnern nur andere Browser beginnt der Spaß mit Fingerprints wieder.
Möglichkeit 4, von der ich bisher immer Abstand nahm - ein Zertifikat erwerben, von einem Aussteller der ein in den Browsern dieser Welt vorinstalliertes Zertifikat hat. Das war mir bisher immer viel zu teuer.
Achtung, nun beginnen die Lobgesänge:
Vor kurzem stolperte ich über Namecheap, und begann dort Domains zu erwerben, und entdeckte später ihr Angebot an Zertifikaten. Los gehts ab 14.88 US$, in Euro also fast nichts, momentan sind das keine 10 Euro. Dafür gibt es ein Zertifikat, dessen Root in vielen Browsern vorinstalliert ist - bisher hats nur mit meinem Symbian-Handy nicht auf Anhieb geklappt. Aber im Normalfall braucht man also nie wieder Fingerprints zu checken - für ein Jahr.
Nun kommt der Teil, weswegen ich hier eigentlich diese Produktwerbung betreibe:
Vor kurzem ereignete sich bei Debian ein mittelschwerer Eklat um SSL-Zertifikate, der bewirkte das auf Debian-Systemen erstellte SSL-Schlüssel verwundbar waren, und das schon seit Ende 2006.
Bedeutet, alles was ich auf meinen Rechnern in den letzten 1,5 Jahren an Schlüsselmaterial erzeugt habe kann gelöscht werden, die damit erzeugten Zertifikate ebenfalls. Toll. und das nachdem ich mich grade mal durchgerungen habe Geld dafür auszugeben.
Aber, gestern kam von RapidSSL, dem Anbieter hinter Namecheap, das Angebot, alle erstellten Zertifikate kostenfrei neu zu erstellen, wegen des Debian-Bugs. Schöne, kulante Aktion, wie ich finde, und das für den Preis... :)
Die Verbindung zwischen Browser und Server kann man eigentlich nicht oft genug verschlüsseln, Login fürs Blag, Webmail, privates Miniwiki als Notizzettel, es gibt viele Spielereien die man unterwegs gut im Browser brauchen kann.
Nun, der Haken ist, unterwegs habe ich meine Zertifikate nicht dabei. Bedeutet, wenn ich sie selber erzeuge, das der Browser eine Fehlermeldung wirft, er kenne mein Zertifikat nicht. Nun, das kann man dem Browser bekannt machen.
Möglichkeit 1, ich überprüfe den Fingerprint des Zertifikats und sage dem Browser hinterher, er solle es akzeptieren. Geht, ist aber umständlich und eher doof.
Möglichkeit 2, ich lasse CACert Zertifikate für mich ausstellen. Nachteil: CACert kennen die Browser auch nicht - ich muß also das CACert-Zertifikat installieren. Solange sich CACert also nicht durchsetzt, im Grunde dasselbe wie vorhin.
Möglichkeit 3, auf die ich durch unser Fachschaftsforum stieß - StartSSL Free, deren Root-Zertifikat ist in einem der beiden großen Browser vorinstalliert - ich meine es war Mozilla. Findet man unterwegs auf fremden Rechnern nur andere Browser beginnt der Spaß mit Fingerprints wieder.
Möglichkeit 4, von der ich bisher immer Abstand nahm - ein Zertifikat erwerben, von einem Aussteller der ein in den Browsern dieser Welt vorinstalliertes Zertifikat hat. Das war mir bisher immer viel zu teuer.
Achtung, nun beginnen die Lobgesänge:
Vor kurzem stolperte ich über Namecheap, und begann dort Domains zu erwerben, und entdeckte später ihr Angebot an Zertifikaten. Los gehts ab 14.88 US$, in Euro also fast nichts, momentan sind das keine 10 Euro. Dafür gibt es ein Zertifikat, dessen Root in vielen Browsern vorinstalliert ist - bisher hats nur mit meinem Symbian-Handy nicht auf Anhieb geklappt. Aber im Normalfall braucht man also nie wieder Fingerprints zu checken - für ein Jahr.
Nun kommt der Teil, weswegen ich hier eigentlich diese Produktwerbung betreibe:
Vor kurzem ereignete sich bei Debian ein mittelschwerer Eklat um SSL-Zertifikate, der bewirkte das auf Debian-Systemen erstellte SSL-Schlüssel verwundbar waren, und das schon seit Ende 2006.
Bedeutet, alles was ich auf meinen Rechnern in den letzten 1,5 Jahren an Schlüsselmaterial erzeugt habe kann gelöscht werden, die damit erzeugten Zertifikate ebenfalls. Toll. und das nachdem ich mich grade mal durchgerungen habe Geld dafür auszugeben.
Aber, gestern kam von RapidSSL, dem Anbieter hinter Namecheap, das Angebot, alle erstellten Zertifikate kostenfrei neu zu erstellen, wegen des Debian-Bugs. Schöne, kulante Aktion, wie ich finde, und das für den Preis... :)
Trackbacks
Trackback specific URI for this entry
No Trackbacks
