Startseite > Datenschutz, Internet, Microsoft, Newskommentare, Piraten, Sonstiges, Statische Tags > Kostenlose SSL-Zertifikate, auch für IE

Kostenlose SSL-Zertifikate, auch für IE

Um verschlüsselte Verbindungen über SSL bzw. HTTPS zu ermöglichen, benötigt man als Server-Betreiber ein SSL-Zertifikat. Diese werden von Zertifizierungsstellen, sogenannten CAs, ausgegeben. Die CA überprüft, ob der Bestellende wirklich berechtigt (also Inhaber der Domain) ist, und stellt dann meist gegen viel Geld das Zertifikat aus. Damit kann sich die Website gegenüber einem Browser „ausweisen“ und eine sichere, verschlüsste Verbindung wird möglich. Details gibt es in meinem ausführlichen SSL-Artikel, wo auch noch ein paar Worte über die Sicherheit von SSL stehen.

Nur Zertifikate von CAs, die der Browserhersteller als vertrauenswürdig in den Browser eingebaut hat, werden als gültig erkannt. Deswegen ist es schwierig, eine neue CA aufzubauen, denn die Kriterien für eine Aufnahme sind streng und es gibt viele Browserhersteller, die man zur Aufnahme bewegen muss. Aus diesem Grund gab es bis vor kurzem keine CA, die kostenlos Zertifikate ausgegeben hat und von allen gängigen Browsern akzeptiert wurde. CAcert und StartCom/StartSSL vergeben seit langem kostenlose Zertifikate. CAcert ist jedoch weder in Firefox noch im Internet Explorer als vertrauenswürdig enthalten. Somit kann man CAcert nicht für Seiten benutzen, die von Normalnutzern besucht werden, denn diese würden eine hässliche Sicherheitswarnung erhalten. StartSSL war schon länger in Firefox enthalten, jedoch nicht im Internet Explorer, und war für ernsthafte Nutzung mit unerfahrenen Nutzern daher auch ungeeignet.

StartSSL hat es jetzt aber endlich geschafft, in den Internet Explorer aufgenommen zu werden. Der Internet Explorer akzeptiert die kostenlosen StartSSL-Zertifikate somit seit kurzem als gültig. Dank einer eingebauten Auto-Update-Funktion funktioniert das auch mit veralteten Versionen des IE! Ein IE 6.0 aus meiner Sandbox-VM, Stand Anfang 2008, hat das Zertifikat anstandslos akzeptiert. Mozilla Firefox, Apple Safari (inkl. dem iPhone-Browser), Opera, Google Chrome und einige andere akzeptieren StartSSL schon länger, damit sind alle gängigen Browser abgedeckt. (Lediglich Konqueror unter einer aktuellen (K)Ubuntu-Version hatte Probleme damit.) StartSSL ist somit endlich eine voll einsetzbare CA geworden, und somit gibt es endlich kostenlose SSL-Zertifikate für alle! (StartSSL bietet übrigens auch EV-Zertifikate zu relativ humanen Preisen an.) Edit: Opera (etwa 5% Marktanteil) unterstützt StartSSL scheinbar leider doch noch nicht.

Als Serverbetreiber muss man übrigens der CA nicht besonders vertrauen (solange man nicht irgendwelche sehr besonderen Sachen macht wie Client-Zertifikate, aber das weiß man dann), wichtig ist nur, dass die Browser die CA akzeptieren. Eine bösartige, aber in Browsern als vertrauenswürdig eingetragene CA kann sich jederzeit für jede Website ein Zertifikat ausstellen lassen, unabhängig davon, ob der Websitebetreiber dort Kunde ist oder nicht. Die eigene CA könnte höchstens das eigene Zertifikat widerrufen und somit ungültig machen, aber mehr auch nicht. Darüber hinaus hat die CA noch ein paar persönliche Angaben, die aber bei einfachen Zertifikaten nicht über das hinausgehen, was die meisten Online-Shops auch wissen. Insbesondere den privaten Schlüssel des Zertifikats hat die CA normalerweise nicht! Es gibt zwar oft die Möglichkeit, die CA diesen Schlüssel generieren zu lassen, aber man kann es auch richtig machen und das selbst tun und den eigenen Schlüssel zertifizieren lassen. Selbst wenn man der CA also aus welchem Grund auch immer nicht vollständig vertrauen sollte, kann man sie als Serverbetreiber dennoch nutzen.

Ich erhalte für diesen Artikel keine Vergütung o.ä. von StartSSL/StartCom. Diesen Artikel habe ich geschrieben, weil es mich ankotzt, dass Firmen für das simple Ausstellen eines einfachen domain-validierten Zertifikats horrende Preise (oft sogar dreistellig!) verlangen, und weil ich froh bin, das es endlich eine kostenlose Alternative gibt und ich auf diese hinweisen möchte. Ich selbst habe von der Aufnahme in den IE auch erst heute erfahren. Nutzt diese kostenlose Möglichkeit, um die Datenübertragung zu euren Webseiten zu sichern! Macht diese Möglichkeit bekannt, damit die kommerziellen CAs ihre überzogenen Preise endlich etwas realistischer machen müssen.

  1. lernschmiede
    2009-12-04 um 20:09 UTC

    „Ich erhalte für diesen Artikel keine Vergütung o.ä. von StartSSL/StartCom. Diesen Artikel habe ich geschrieben, weil es mich ankotzt, dass Firmen für das simple Ausstellen eines einfachen domain-validierten Zertifikats horrende Preise (oft sogar dreistellig!) verlangen, und weil ich froh bin, das es endlich eine kostenlose Alternative gibt und ich auf diese hinweisen möchte.“

    Hallo,

    100% Zustimmung zu dieser Aussage. Genau das war auch mein Gedanke beim Verfassen eines ähnlichen Artikels zum Thema. Außerdem hoffe ich, dass sich dieser Vorstoß für Eddy Nigg auch auszahlt. Sobald Opera auch noch mit an Bord ist, ist StartSSL aus meiner Sicht auch für kommerzielle Zertifikate so gut wie bedingungslos zu empfehlen.

    Gruß,

    Michael

  2. ffx
    2010-03-19 um 12:45 UTC

    Zu erwähnen wäre aber noch, dass StartSSL-Zertifikate _ausschliesslich_ vom IE akzeptiert werden, nicht aber von Firefox, Safari und Co. Das ist noch ein grosser Nachteil, denn welcher vernünftige Mensch surft heute noch mit dem IE?

  3. Dieter
    2010-08-10 um 09:59 UTC

    Naja, der Anbieter geht nach hinten los. Kostet nix, dafür lesen die halt mit. Siehe hier:

    http://www.heise.de/security/meldung/Vorsicht-bei-kostenlosen-SSL-Zertifikaten-137817.html

    • Jan
      2010-08-10 um 17:03 UTC

      Den Key vom Anbieter erstellen zu lassen ist optional. Du kannst soweit ich weiß auch genauso einen CSR hinschicken. Die CA ist in den gängigen Browsern wie gesagt vorinstalliert. Solange du sie also nicht explizit deaktivierst, wird ihren Zertifikaten getraut. Ob du dein Zertifikat von da oder von woanders beziehst ist für die Sicherheit dann wurscht: Jede CA, der der Client vertraut, kann sich bzw. einem Angreifer ein falsches Zert ausstellen. Wenn du also davon ausgehst, dass StartCom sowas machen würde, bringt es dir nix, sich ein Verisign-Zertifikat zu holen, solange deine Webseitenbesucher das Root-Zert von StartCom drin haben. Als Serverbetreiber kann man durch die Wahl der CA (sofer es eine ist, die in den Browsern standardmäßig drin ist) die Sicherheit kaum beeinflussen!

      Die Behauptung von Heise, sie hätten ein Zertifikat für eine fremde Website erlangen können, hätte ich gerne belegt, z. B. durch Veröffentlichung des Zertifikats für eine bekannte Website. (Wenn man weiß, dass die Website die echten Zertifikate von woanders bezieht, es also kein echtes StartCom-Zert für sie geben darf, kann man den private key geheimhalten und geht so kein Risiko ein.) Sowas wird normalerweise SEHR ernst genommen und gründlich getestet. Es gab bei StartCom einmal eine entsprechende Lücke, die vom Anbieter vorbildlich öffentlich aufgearbeitet wurde. Ich kann nicht ausschließen, dass es vor über 5 Jahren, als der Heise-Artikel geschrieben wurde, anders war, aber jetzt scheint mir das ganze ne ziemlich solide CA zu sein. In die Vertrauenslisten der Browser kommt man ja auch nicht einfach so, da werden gründlichste Prüfungen gemacht.

    • Uwe
      2012-05-31 um 15:46 UTC

      Hallo, dieser Thread ist zwar nicht mehr ganz jung, ich finde es aber trotzdem interessant, dass Heise ein paar Jahre später des Service der israelischen Firma StartCom vollmundig anpreist.

  4. 2010-08-10 um 17:11 UTC

    @Dieter, reiner FUD. Der Arikel ist aus 2005. Man kann sein Schlüsselpaar selbst generieren – StartCom bekommt den private Key in diesem Fall nicht zu Gesicht. Aber es ist schon klar, dass viele quitschen, wenn eine Lizenz zum Gelddrucken geknackt wird.

  5. soiso
    2010-12-16 um 05:40 UTC

    Für E-Commerce Seiten gibts bei StartSSL KEIN kostenlosen Zertifikat.

    • Jan
      2010-12-16 um 19:30 UTC

      @soiso: Hast du eine Quelle für diese Behauptung? Klasse-2-Zertifikate gibts zwar nicht umsonst, aber ich sehe nicht, warum man eins brauchen sollte.

  6. jan
    2012-11-21 um 18:07 UTC

    hallo,

    gibt es mittlerweile kostenlose alternativen

    auf StartSSL/StartCom
    werden keine anmeldungen mehr entgegen genommen
    „Over Capacity“
    We are currently receiving more requests than we can handle. Please try it later again.
    We apologize for the temporary inconvenience and thank you for your understanding.

    • Jan
      2012-11-22 um 15:05 UTC

      Ich gehe davon aus, dass das nur temporär ist. Im Moment ist die Seite langsam, funktioniert aber.

      • jan
        2012-11-22 um 15:59 UTC

        Jan :
        Ich gehe davon aus, dass das nur temporär ist. Im Moment ist die Seite langsam, funktioniert aber.

        ich hab jetzt bei https://alfahosting.de/ für ein jahr das ssl zertifikat gebucht.
        für 1,30 euro im monat ( ich dachte wow wie günstig)
        zumindestens kann man bei dem preis nix falsch machen.
        eine meldung im browser kam nicht als ich die seite besuchte.
        ich geh mal davon aus das https://alfahosting.de/ sein eigenes ssl-formular nutzt und daher auch mit firefox und co (die ich getestet hab) funzt.

        trotzdem vielen dank für die schnelle antwort.

        toller blog!

        lg. jan

  1. 2012-11-22 um 15:42 UTC

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: