Kostenlose Zertifikate: SSL aus China

Alle privaten Webserver Betreiber sind auf der Suche nach einen kostenlosen und soliden SSL Zertifikat. Zumindest scheint es so. Und wenn Admina auf Suche geht, erkennt sie schnell, dass es garnicht so viele Zertifikats Anbieter gibt, die ein solches Angebot bieten. Hierbei sind nicht die 30 oder 90 Tage Trial Angebote gemeint, die einige Zertifikatsanbieter kostenlos als Schnupper- Angebote ausstellen, sondern reguläre Zertifikate mit mindestens 1 Jahr Laufzeit. Eigentlich kommt man dann sehr schnell auf StartSSL. Dieser Zertifikatsanbieter ist lange der Boss im kostenlosen Zertifikats business gewesen. Jetzt gibt es aber einen weiteren Anbieter – sogar mit einen besseren Angebot.

Dieser neue Zertifikatsanbieter heißt “WoSign CA Limited” und hat seinen Sitz in China. Unkompliziert können kostenlose Zertifikate mit bis zu 3-jähriger Laufzeit und SHA-2 über eine einfache Anforderungsseite (englisch-sprachig) bestellt werden. Diese Webseite fragt elementare Daten ab – eine Registrierung wie bei StartSSL ist nicht notwendig! Zusätzlich gibt es den Service, dass der Zertifikats Request (die notwendige .csr Datei) von WoSign mit den eingegebenen Daten generiert werden kann. Diese Vorgehensweise wird aber von Sicherheits- Experten nicht empfohlen.

Allerdings wird das Zertifikat nicht in Minuten zugestellt, wie bei anderen Provider bekannt. Bei WoSign sollte man eher von einer “overnight” Zustellung ausgehen. Ich finde das, für den angebotenen Umfang und der Qualität der Zertifikate, vertretbar. Die Zustellung des Download link erfolgt per Email an den Webmaster Mail Account der angegebenen Hauptdomäne als zip Datei und beinhaltet auch das intermediate Zertifikat. Für die Einbindung der Zertifikate steht eine umfangreiche Hilfeseite zur Verfügung.

Zusätzlich wird das Zertifikat auch als SPC Datei für den IIS oder im Bundle (crt und intermediate) für den Nginx Webserver geliefert. Mittlerweile bietet WoSign eine einfache Verwaltungskonsole (siehe Register ‘my order’) für die Zertifikate. Bevor ich es vergesse: Die Zertifikate können wahlweise für einen Domänen- Zugriff mit und ohne www generiert werden. Der grüne Balken in IE, Firefox und Chrome ist inklusive. Wenn Du dies auf pilgermaske liest: Sieh’ Dir mein Zertifikat in deiner Adressleiste an. Übrigens: In der Zertifikatskette ist kein schwach-signiertes Zertifikat (mit SHA1 oder MD5) zu finden.

Wer jetzt noch die Nase rümpft, weil WoSign ein chinesisches Unternehmen ist, kann vielleicht damit beruhigt werden, dass jenes Stammzertifikat auf den die WoSign Zertifikate basieren von StartSSL kommt. Chinesischer oder israelischer Geheimdienst? In einen Apfel muss Admina beisen. Ich halte aber das Ausstellerland bei Zertifikaten für relativ unbedeutend.

Von Interesse könnte die Verfügbarkeit der OCSP Server sein (siehe Zertifikatsdetails im Browser). Diese Server bilden den Anlaufpunkt für Browser, um abzufragen, ob z.B. Zertifikate noch gültig sind. Um den OCSP Abfragen mehr Stabilität zu geben, kann es hilfreich sein, das OCSP stapling auf dem Webserver zu aktivieren.  Eine überschaubare Anleitung, wie OCSP stapling für einen Apache2 Webserver eingerichtet wird, findet sich hier. Sollte es Schwierigkeiten mit OCSP geben, sind vielleicht die Infos auf dieser Seite (1.Introduction / zweiter Abschnitt) interessant. Aber seit Monaten hatte ich keine Störungen in diesen Zusammenhang – offensichtlich hat WoSign die Verfügbarkeit seiner Server, für europäische Kunden, optimiert.

Letztlich finde ich das WoSign Angebot solide und natürlich als kostenloses Angebot sehr interessant. Wie gesagt: Pilgermaske läuft momentan (Februar 2015, verlängert Februar 2016) mit einen Zertifikat von WoSign. Sicherlich kann sich WoSign mit diesen Angebot in Zukunft als weitere kostenlose Zertifizierungstelle behaupten.

Statements zu WoSign:

| Mozilla (Aufnahme Stammzertifikate WoSign in Firefox) | Ernst & Young (Überprüfung Root CA WoSign, pdf)

Zertifikat- und Webserver Test:

| SSL Labs | COMODO SSL Analyzer |

Das könnte dich auch interessieren …

Subscribe
Benachrichtige mich zu:
guest

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

15 Comments
älteste
neuste
Inline Feedbacks
View all comments
Marcel
Marcel
5 Jahre her

Ich nutze auch das von WoSign ausgestellte (Kostenlose) Zertifikat für meinen Web- und Mailserver. Nachdem ich gestern mein Antrag auf ein SSL-Zertifikat gestellt habe, hat es rund 8 Stunden gedauert, bis ich die E-Mail mit dem darin enthaltenen Download erhalten habe. Bis jetzt habe ich nichts zu beanstanden, alle bekannten Browser aktzeptieren das von WoSign kostenlos ausgestellte Zertifikat.

Screenshot Chrome Browser:

Max
Max
5 Jahre her

Hallo Mathias,
ich finde es gut, dass endlich jemand auf die Idee kommt, WoSign in Verbindung mit OCSP Stapling zu nutzen, auch aus Gründen der Privatsphäre.
Was mich hier auf dieser Seite stört ist aber die Warnmeldung von Firefox über gemischten Inhalt. Es werden hier nämlich ein paar Elemente über http eingebunden. Die Firefox-Konsole (STRG+Umschalt+j) meldet

“http://www.pilgermaske.org/wp-content/plugins/seo-friendly-table-of-contents/style.css?ver=4.1.1”

“http://www.pilgermaske.org/wp-content/uploads/2015/02/OCSP_cert_fehler-300×183.png”

Wenn man im Quelltext nach “http://” sucht, findet man noch ein paar andere Verweise.

Ich finde, dass man das beheben sollte, wenn man über SSL bloggt.

Max
Max
Reply to  Mathias R. Ludwig
5 Jahre her

Hallo Mathias, Danke für die Antwort. Das mit der Browserkonsole ist mir gerade auch aufgefallen, aber sowas ignoriere ich. Ich nutze sie in der Regel nur zum Prüfen von Mixed-Content-Warnungen in der Addresszeile (Man kann übrigends durch Klicken auf die Kategorien in der Titelleiste die Anzeige filtern. Bei mir ist z.B. nur “Sicherheit” aktiv) Mir ist gerade nochwas aufgefallen: Du schreibst in dem Eintrag von “OSCP”, richtig wäre “OCSP” (Online Certificate Status Protocol). Die SSL-Konfiguration sieht auch gut aus: https://www.ssllabs.com/ssltest/analyze.html?d=pilgermaske.org Einzig das Zertifikat “StartCom Certification Authority” ist überflüssig und muss nicht gesendet werden (Dies verursacht die “Contains anchor”-Warnung). Nebenbei: Ist… Read more »

Max
Max
Reply to  Mathias R. Ludwig
5 Jahre her

Hallo Mathias, das mit dem Buchstabendreher ging mir genauso – ich habe den Artikel auch schon vorgestern gelesen und mir ist es nicht aufgefallen. Bezüglich des Startcom-Zertifikats: Ich bin mir nicht ganz sicher, wie es bei WoSign ist, da ich bisher nur mit Comodo-Zertifikaten zu tun hatte. Das überflüssige Startcom-Zertifikat wird als Intermediate-Zertifikat ausgeliefert. Die Intermediate-Zertifikate sind entweder in derselben Datei wie das Domain-Zertifkat oder in einer Extra-Datei, die in Apache mit “SSLCACertificateFile” oder “SSLCertificateChainFile” eingebunden werden. In dieser Datei gibt es mehrere Blöcke (vermutlich 3 in deinem Fall), die mit —–BEGIN CERTIFICATE—– anfangen und mit —–END CERTIFICATE—– aufhören (zumindest… Read more »

Max
Max
Reply to  Max
5 Jahre her

Mich würde interessieren, warum OCSP stapling derzeit nicht aktiv ist. Gab es Probleme oder ist das nicht beabsichtigt?

Max
Max
Reply to  Mathias R. Ludwig
5 Jahre her

Hallo Mathias, Danke für die Erläuterung. Punkt 1 dürfte daher kommen, dass sich Browser beschweren, wenn die per OCSP stapling erhaltenen Antworten Müll sind, nicht aber, wenn sie selbst per OCSP nachfragen und Müll erhalten, da sie es in diesem Fall einfach ignorieren (Soft-Fail). An sich hat der Browser in beiden Fällen keine Antwort, aber er gibt keine Warnung aus, was nutzerfreundlicher, aber genauso unsicher ist. Mir ist auch aufgefallen, dass der StartSSL OCSP-Server in den letzten Tagen offenbar ausgefallen war. Bis die CAs ihre Server dauerhaft im Griff haben, muss man wohl leider auf OSCP stapling verzichten (Ich nutze… Read more »

Max
Max
Reply to  Mathias R. Ludwig
5 Jahre her

Hallo Mathias, Danke für die Erläuterung. Ich habe beim Lesen des RFCs nicht realisiert, dass er noch gar nicht in den üblichen Clients und Server implementiert ist (siehe Firefox Bug 611836) Auf dieser Basis ist der Nutzen von OCSP stapling natürlich begrenzt. Natürlich kann ich nachvollziehen, dass du für diese kleine Optimierung nicht riskieren willst, Besucher auszusperren, nur weil Startcom es mal wieder verkackt hat. In Bezug auf Let’s Encrypt habe ich auch schon mal recherchiert. Wie es aussieht, gibt es einen manuellen Modus, der nicht an der Serverconfig rumfummelt. Ich interessiere mich aber nicht mehr so sehr für die… Read more »

Andy
5 Jahre her

Natürlich muss, was kostenlos ist, nicht immer schlecht sein. Aber ich denke letztendlich hat auch die Firma “WoSign” nichts zu verschenken. Grade, wenn es sich um Scripte handelt, die auf Webseiten installiert werden sollen, bei denen der Sicherheitsaspekt eine Rolle spielt, würde ich persönlich von solchen Angeboten Abstand nehmen. Vielleicht gehe ich hier nicht völlig vorurteilslos an die Sache heran- geb´ ich zu- aber grade, wenn persönliche Daten von Kunden auf einer Webseite gespeichert werden, lasse ich mich nicht auf Experimente ein.