Alle privaten Webserver Betreiber sind auf der Suche nach einen kostenlosen und soliden SSL Zertifikat. Zumindest scheint es so. Und wenn Admina auf Suche geht, erkennt sie schnell, dass es garnicht so viele Zertifikats Anbieter gibt, die ein solches Angebot bieten. Hierbei sind nicht die 30 oder 90 Tage Trial Angebote gemeint, die einige Zertifikatsanbieter kostenlos als Schnupper- Angebote ausstellen, sondern reguläre Zertifikate mit mindestens 1 Jahr Laufzeit. Eigentlich kommt man dann sehr schnell auf StartSSL. Dieser Zertifikatsanbieter ist lange der Boss im kostenlosen Zertifikats business gewesen. Jetzt gibt es aber einen weiteren Anbieter – sogar mit einen besseren Angebot.
Dieser neue Zertifikatsanbieter heißt “WoSign CA Limited” und hat seinen Sitz in China. Unkompliziert können kostenlose Zertifikate mit bis zu 3-jähriger Laufzeit und SHA-2 über eine einfache Anforderungsseite (englisch-sprachig) bestellt werden. Diese Webseite fragt elementare Daten ab – eine Registrierung wie bei StartSSL ist nicht notwendig! Zusätzlich gibt es den Service, dass der Zertifikats Request (die notwendige .csr Datei) von WoSign mit den eingegebenen Daten generiert werden kann. Diese Vorgehensweise wird aber von Sicherheits- Experten nicht empfohlen.
Allerdings wird das Zertifikat nicht in Minuten zugestellt, wie bei anderen Provider bekannt. Bei WoSign sollte man eher von einer “overnight” Zustellung ausgehen. Ich finde das, für den angebotenen Umfang und der Qualität der Zertifikate, vertretbar. Die Zustellung des Download link erfolgt per Email an den Webmaster Mail Account der angegebenen Hauptdomäne als zip Datei und beinhaltet auch das intermediate Zertifikat. Für die Einbindung der Zertifikate steht eine umfangreiche Hilfeseite zur Verfügung.
Zusätzlich wird das Zertifikat auch als SPC Datei für den IIS oder im Bundle (crt und intermediate) für den Nginx Webserver geliefert. Mittlerweile bietet WoSign eine einfache Verwaltungskonsole (siehe Register ‘my order’) für die Zertifikate. Bevor ich es vergesse: Die Zertifikate können wahlweise für einen Domänen- Zugriff mit und ohne www generiert werden. Der grüne Balken in IE, Firefox und Chrome ist inklusive. Wenn Du dies auf pilgermaske liest: Sieh’ Dir mein Zertifikat in deiner Adressleiste an. Übrigens: In der Zertifikatskette ist kein schwach-signiertes Zertifikat (mit SHA1 oder MD5) zu finden.
Wer jetzt noch die Nase rümpft, weil WoSign ein chinesisches Unternehmen ist, kann vielleicht damit beruhigt werden, dass jenes Stammzertifikat auf den die WoSign Zertifikate basieren von StartSSL kommt. Chinesischer oder israelischer Geheimdienst? In einen Apfel muss Admina beisen. Ich halte aber das Ausstellerland bei Zertifikaten für relativ unbedeutend.
Von Interesse könnte die Verfügbarkeit der OCSP Server sein (siehe Zertifikatsdetails im Browser). Diese Server bilden den Anlaufpunkt für Browser, um abzufragen, ob z.B. Zertifikate noch gültig sind. Um den OCSP Abfragen mehr Stabilität zu geben, kann es hilfreich sein, das OCSP stapling auf dem Webserver zu aktivieren. Eine überschaubare Anleitung, wie OCSP stapling für einen Apache2 Webserver eingerichtet wird, findet sich hier. Sollte es Schwierigkeiten mit OCSP geben, sind vielleicht die Infos auf dieser Seite (1.Introduction / zweiter Abschnitt) interessant. Aber seit Monaten hatte ich keine Störungen in diesen Zusammenhang – offensichtlich hat WoSign die Verfügbarkeit seiner Server, für europäische Kunden, optimiert.
Letztlich finde ich das WoSign Angebot solide und natürlich als kostenloses Angebot sehr interessant. Wie gesagt: Pilgermaske läuft momentan (Februar 2015, verlängert Februar 2016) mit einen Zertifikat von WoSign. Sicherlich kann sich WoSign mit diesen Angebot in Zukunft als weitere kostenlose Zertifizierungstelle behaupten.
Statements zu WoSign:
| Mozilla (Aufnahme Stammzertifikate WoSign in Firefox) | Ernst & Young (Überprüfung Root CA WoSign, pdf)
Zertifikat- und Webserver Test:
| SSL Labs | COMODO SSL Analyzer |
Ich nutze auch das von WoSign ausgestellte (Kostenlose) Zertifikat für meinen Web- und Mailserver. Nachdem ich gestern mein Antrag auf ein SSL-Zertifikat gestellt habe, hat es rund 8 Stunden gedauert, bis ich die E-Mail mit dem darin enthaltenen Download erhalten habe. Bis jetzt habe ich nichts zu beanstanden, alle bekannten Browser aktzeptieren das von WoSign kostenlos ausgestellte Zertifikat.
Screenshot Chrome Browser:
Hallo Marcel, danke für Dein feedback. Stimmt, auch alle von mir getesteten Browser zeigen grün in der Leiste. Ich denke, WoSign wird genauso etabliert wie StartSSL. Viel Spass noch mit Linux 🙂
Hallo Mathias,
ich finde es gut, dass endlich jemand auf die Idee kommt, WoSign in Verbindung mit OCSP Stapling zu nutzen, auch aus Gründen der Privatsphäre.
Was mich hier auf dieser Seite stört ist aber die Warnmeldung von Firefox über gemischten Inhalt. Es werden hier nämlich ein paar Elemente über http eingebunden. Die Firefox-Konsole (STRG+Umschalt+j) meldet
“http://www.pilgermaske.org/wp-content/plugins/seo-friendly-table-of-contents/style.css?ver=4.1.1”
“http://www.pilgermaske.org/wp-content/uploads/2015/02/OCSP_cert_fehler-300×183.png”
Wenn man im Quelltext nach “http://” sucht, findet man noch ein paar andere Verweise.
Ich finde, dass man das beheben sollte, wenn man über SSL bloggt.
Hallo Max. Danke für dein feedback und ich nutze gerne jeden Hinweis, um meinen blog zu verbessern. Die links habe ich korrigiert, wobei das seo-friendly-plugin rausgeflogen ist: wird seit 3 Jahren nicht mehr gepflegt. Die Browser console ist aber etwas krass: sie zeigt auch Fehler auf verlinkten Seiten an, auf die ich natürlich keinen einfluss habe (Beispiel: SHA-1 und facebook).
Gruss
Mathias
Hallo Mathias,
Danke für die Antwort.
Das mit der Browserkonsole ist mir gerade auch aufgefallen, aber sowas ignoriere ich. Ich nutze sie in der Regel nur zum Prüfen von Mixed-Content-Warnungen in der Addresszeile (Man kann übrigends durch Klicken auf die Kategorien in der Titelleiste die Anzeige filtern. Bei mir ist z.B. nur “Sicherheit” aktiv)
Mir ist gerade nochwas aufgefallen: Du schreibst in dem Eintrag von “OSCP”, richtig wäre “OCSP” (Online Certificate Status Protocol).
Die SSL-Konfiguration sieht auch gut aus:
https://www.ssllabs.com/ssltest/analyze.html?d=pilgermaske.org
Einzig das Zertifikat “StartCom Certification Authority” ist überflüssig und muss nicht gesendet werden (Dies verursacht die “Contains anchor”-Warnung).
Nebenbei: Ist schon irgendjemanden aufgefallen, dass man bei der Bestellseite mittlerweile auch “3 year” anwählen kann?
Hallo Max. Manchmal liest man etwas 1000mal und überliest trotzdem was: Der Verdreher in “OCSP” ist mir nie aufgefallen, obwohl ich dazu einiges gelesen hatte und meine Artikel mehr als einmal lese. Nobody is perfect.
Die Browser console ist ein praktisches tool und werde ich jetzt öfter benutzen. Ich hatte mich nämlich immer gefragt, wie ich den mixed content herausfiltern kann. Nochmal danke für den Tipp.
Auf SSLLabs bin ich schon Stammgast – eine der besten Seiten für webmaster die auf Security wert legen! Allerdings wüßte ich nicht, wie ich den StartCom Eintrag in der Zertifikatskette wegbekommen sollte? Kleiner Tipp wäre nett.
Google empfiehlt Zertifikate mit einer maximalen Laufzeit von 3 Jahren. Damit passt auch das erweiterte Angebot von WoSign.
Gruss
Mathias
Hallo Mathias,
das mit dem Buchstabendreher ging mir genauso – ich habe den Artikel auch schon vorgestern gelesen und mir ist es nicht aufgefallen.
Bezüglich des Startcom-Zertifikats: Ich bin mir nicht ganz sicher, wie es bei WoSign ist, da ich bisher nur mit Comodo-Zertifikaten zu tun hatte.
Das überflüssige Startcom-Zertifikat wird als Intermediate-Zertifikat ausgeliefert. Die Intermediate-Zertifikate sind entweder in derselben Datei wie das Domain-Zertifkat oder in einer Extra-Datei, die in Apache mit “SSLCACertificateFile” oder “SSLCertificateChainFile” eingebunden werden.
In dieser Datei gibt es mehrere Blöcke (vermutlich 3 in deinem Fall), die mit
—–BEGIN CERTIFICATE—–
anfangen und mit
—–END CERTIFICATE—–
aufhören (zumindest kenne ich es so von Comodo).
Einer dieser Blöcke ist das Startcom-Zertifikat. Um herauszufinden, welcher das ist, kopiert man sie einzeln und fügt sie auf dieser Seite ein.
Das fragliche Zertifikat hat den Common Name: StartCom Certification Authority. Diesen Block kann man einfach aus der Datei löschen, anschließend speichern und Apache neu starten (btw: Ich rede von Apache, weil es so im Header steht (steht auch bei SSLLabs ganz unten). Wenn du den Header geändert hast und einen anderen Webserver einsetzt, müsstest du das halt evtl. anders durchführen).
Falls es noch Fragen gibt, einfach nochmal melden 😉
Mich würde interessieren, warum OCSP stapling derzeit nicht aktiv ist. Gab es Probleme oder ist das nicht beabsichtigt?
Hallo Max, schön von Dir zu lesen. Ich hatte es wegen Problemen wieder abgeschaltet:
1. Die im Text (link ‘OCSP Fehler’) erwähnten Fehlermeldungen bekam ich vermehrt, wenn das OCSP stapling aktiviert war.
2. Im stapling cache Ordner (außerhalb der vhost Definition) wurde nichts abgelegt.
3. Ich habe den Text aus
http://www.ietf.org/rfc/rfc6961.txt (2ter Abschnitt/Punkt 1 ‘Introduction’ u.f.) so interpretiert, dass OCSP stapling mit intermediate Zerts (die ja wosign mitgibt) nicht funktionieren muss(!).
4. Vielleicht kann die Große Firewall rund um China auch nicht ausgeschlossen werden …
5. Interessant fand ich, dass häufig die OCSP Server von StartSSL – von denen kommt das root cert – auf SSLLabs angemeckert wurden. Die stehen ja wohl nicht in China?!
Kurz: wegen intermediate und damit häufigeren Fehlermeldungen wieder de-aktiviert. Schade. Ich finde es nämlich auch eine super Sache! Sicherer für den Besucher und ressourcen-schonender.
Hallo Mathias,
Danke für die Erläuterung.
Punkt 1 dürfte daher kommen, dass sich Browser beschweren, wenn die per OCSP stapling erhaltenen Antworten Müll sind, nicht aber, wenn sie selbst per OCSP nachfragen und Müll erhalten, da sie es in diesem Fall einfach ignorieren (Soft-Fail). An sich hat der Browser in beiden Fällen keine Antwort, aber er gibt keine Warnung aus, was nutzerfreundlicher, aber genauso unsicher ist. Mir ist auch aufgefallen, dass der StartSSL OCSP-Server in den letzten Tagen offenbar ausgefallen war. Bis die CAs ihre Server dauerhaft im Griff haben, muss man wohl leider auf OSCP stapling verzichten (Ich nutze Comodo mit stapling und es gab noch nie Probleme 😉 )
Punkt 2 kann ich nicht genau sagen, aber mein nginx braucht nach nem Neustart auch erst eine Weile, bis stapling funktioniert
Bei Punkt 3 kann ich dir nicht ganz folgen. Kannst du genauer sagen, auf welche Stelle du dich beziehst (bzw. die Stelle zitieren)?
Punkt 4 wäre in diesem Fall (meistens) nicht relevant, da (nach meiner Beobachtung) immer der Server von Startcom das Problem war und der steht in Israel, wie du in Punkt 5 selbst erwähnst.
Als Fazit kann man leider nur sagen, dass StartSSL / WoSign ihren OCSP-Server in den Griff bekommen sollten, dann klappt das auch mit OCSP stapling. Schwierig wirds vor allem mit der “OCSP must staple extension”, welche gerade in der Entwicklung ist. Vielleicht bekommt Let’s Encrypt das besser hin
Danke für deine umfassende Antwort.
In Punkt 3 meinte ich speziell diesen Abschnitt:
” There are two problems with the existing Certificate Status
extension. First, it does not provide functionality to request the
status information about intermediate Certification Authority (CA)
certificates, which means the client has to request status
information through other methods, such as Certificate Revocation
Lists (CRLs), introducing further delays. Second, the current format
of the extension and requirements in the TLS protocol prevent a
client from offering the server multiple status methods….”
(Allerdings sind meine Englisch- Kenntnisse bescheiden 🙂
Das Problem mit diesen Problem ist dann aber, dass nicht nur eine Fehlermeldung erscheint, sondern die Seite gänzlich nicht besuchbar ist – das wollte ich mir nicht einhandeln und habe OCSP stapling abgeschaltet. Ich sehe das auch so: das eigentliche Problem ist nicht meine Konfiguration sondern die Verfügbarkeit der OCSP Server.
Let’s Encrypt werde ich nur testen, wenn es einen Modus hat, in dem es nicht(!) die Webserver Konfiguration anfaßt.
Hallo Mathias,
Danke für die Erläuterung.
Ich habe beim Lesen des RFCs nicht realisiert, dass er noch gar nicht in den üblichen Clients und Server implementiert ist (siehe Firefox Bug 611836)
Auf dieser Basis ist der Nutzen von OCSP stapling natürlich begrenzt.
Natürlich kann ich nachvollziehen, dass du für diese kleine Optimierung nicht riskieren willst, Besucher auszusperren, nur weil Startcom es mal wieder verkackt hat.
In Bezug auf Let’s Encrypt habe ich auch schon mal recherchiert. Wie es aussieht, gibt es einen manuellen Modus, der nicht an der Serverconfig rumfummelt. Ich interessiere mich aber nicht mehr so sehr für die Details, weil ich es sowieso nicht nutzen werde. Das Problem ist nämlich, dass die jedes Zertifikat via Certificate Transparency veröffentlichen und die Domains meiner privaten Seiten will ich nicht veröffentlicht sehen. Leider scheint es keinen Opt-Out zu geben.
Hallo Max, danke für deine Weiterführung.
Mit Certificate Transparency (CT) habe ich mich noch nicht auseinander gesetzt.
Aber ich habe diese interessante Zusammenfassung gefunden: https://blog.okturtles.com/2014/09/the-trouble-with-certificate-transparency/ und falls sich jemand fragt, wie diese logs aussehen, von denen in diesen CT Beiträgen immer gesprochen wird – am Ende dieser Seite ist ein Beispiel: https://www.chromium.org/Home/chromium-security/certificate-transparency
Mir wird bei solchen Stichwörtern dann immer wieder klar, dass es in der IT Sicherheit nicht um einzelne Paramater geht, sondern, dass das Gesamtkonstrukt betrachtet werden muss. Mal sehen, was die Zeit so bringt.
Natürlich muss, was kostenlos ist, nicht immer schlecht sein. Aber ich denke letztendlich hat auch die Firma “WoSign” nichts zu verschenken. Grade, wenn es sich um Scripte handelt, die auf Webseiten installiert werden sollen, bei denen der Sicherheitsaspekt eine Rolle spielt, würde ich persönlich von solchen Angeboten Abstand nehmen. Vielleicht gehe ich hier nicht völlig vorurteilslos an die Sache heran- geb´ ich zu- aber grade, wenn persönliche Daten von Kunden auf einer Webseite gespeichert werden, lasse ich mich nicht auf Experimente ein.
Hallo Andy, im Grundsatz stimme ich Dir zu, dass solche Entscheidungen gut über legt sein müssen. Aber wenn ich mir die Skandale (Comodo) und Herkunftsländer (Israel, Suedafrika, USA) anderer Zertprovider anschaue, würde ich damit vorsichtig sein, diese als sicher(er) zu empfehlen. Wen kann man seit Snowden und BND Drama als sicher bezeichnen? Ich habe zumindest mit den ChinaZerts keine Probleme. Außerdem ist das WoSign root zert von StartSSL (Israel) – welche Interessen da wohl wieder dahinter stehen??
Mathias