Alle privaten Webserver Betreiber sind auf der Suche nach einen kostenlosen und soliden SSL Zertifikat. Zumindest scheint es so. Und wenn Admina auf Suche geht, erkennt sie schnell, dass es garnicht so viele Zertifikats Anbieter gibt, die ein solches Angebot bieten. Hierbei sind nicht die 30 oder 90 Tage Trial Angebote gemeint, die einige Zertifikatsanbieter kostenlos als Schnupper- Angebote ausstellen, sondern reguläre Zertifikate mit mindestens 1 Jahr Laufzeit. Eigentlich kommt man dann sehr schnell auf StartSSL. Dieser Zertifikatsanbieter ist lange der Boss im kostenlosen Zertifikats business gewesen. Jetzt gibt es aber einen weiteren Anbieter – sogar mit einen besseren Angebot.
Dieser neue Zertifikatsanbieter heißt „WoSign CA Limited“ und hat seinen Sitz in China. Unkompliziert können kostenlose Zertifikate mit bis zu 3-jähriger Laufzeit und SHA-2 über eine einfache Anforderungsseite (englisch-sprachig) bestellt werden. Diese Webseite fragt elementare Daten ab – eine Registrierung wie bei StartSSL ist nicht notwendig! Zusätzlich gibt es den Service, dass der Zertifikats Request (die notwendige .csr Datei) von WoSign mit den eingegebenen Daten generiert werden kann. Diese Vorgehensweise wird aber von Sicherheits- Experten nicht empfohlen.
Allerdings wird das Zertifikat nicht in Minuten zugestellt, wie bei anderen Provider bekannt. Bei WoSign sollte man eher von einer „overnight“ Zustellung ausgehen. Ich finde das, für den angebotenen Umfang und der Qualität der Zertifikate, vertretbar. Die Zustellung des Download link erfolgt per Email an den Webmaster Mail Account der angegebenen Hauptdomäne als zip Datei und beinhaltet auch das intermediate Zertifikat. Für die Einbindung der Zertifikate steht eine umfangreiche Hilfeseite zur Verfügung.
Zusätzlich wird das Zertifikat auch als SPC Datei für den IIS oder im Bundle (crt und intermediate) für den Nginx Webserver geliefert. Mittlerweile bietet WoSign eine einfache Verwaltungskonsole (siehe Register ‚my order‘) für die Zertifikate. Bevor ich es vergesse: Die Zertifikate können wahlweise für einen Domänen- Zugriff mit und ohne www generiert werden. Der grüne Balken in IE, Firefox und Chrome ist inklusive. Wenn Du dies auf pilgermaske liest: Sieh‘ Dir mein Zertifikat in deiner Adressleiste an. Übrigens: In der Zertifikatskette ist kein schwach-signiertes Zertifikat (mit SHA1 oder MD5) zu finden.
Wer jetzt noch die Nase rümpft, weil WoSign ein chinesisches Unternehmen ist, kann vielleicht damit beruhigt werden, dass jenes Stammzertifikat auf den die WoSign Zertifikate basieren von StartSSL kommt. Chinesischer oder israelischer Geheimdienst? In einen Apfel muss Admina beisen. Ich halte aber das Ausstellerland bei Zertifikaten für relativ unbedeutend.
Von Interesse könnte die Verfügbarkeit der OCSP Server sein (siehe Zertifikatsdetails im Browser). Diese Server bilden den Anlaufpunkt für Browser, um abzufragen, ob z.B. Zertifikate noch gültig sind. Um den OCSP Abfragen mehr Stabilität zu geben, kann es hilfreich sein, das OCSP stapling auf dem Webserver zu aktivieren. Eine überschaubare Anleitung, wie OCSP stapling für einen Apache2 Webserver eingerichtet wird, findet sich hier. Sollte es Schwierigkeiten mit OCSP geben, sind vielleicht die Infos auf dieser Seite (1.Introduction / zweiter Abschnitt) interessant. Aber seit Monaten hatte ich keine Störungen in diesen Zusammenhang – offensichtlich hat WoSign die Verfügbarkeit seiner Server, für europäische Kunden, optimiert.
Letztlich finde ich das WoSign Angebot solide und natürlich als kostenloses Angebot sehr interessant. Wie gesagt: Pilgermaske läuft momentan (Februar 2015, verlängert Februar 2016) mit einen Zertifikat von WoSign. Sicherlich kann sich WoSign mit diesen Angebot in Zukunft als weitere kostenlose Zertifizierungstelle behaupten.
Statements zu WoSign:
| Mozilla (Aufnahme Stammzertifikate WoSign in Firefox) | Ernst & Young (Überprüfung Root CA WoSign, pdf)
Zertifikat- und Webserver Test:
| SSL Labs | COMODO SSL Analyzer |
Hinterlasse einen Kommentar
15 Kommentare auf "Kostenlose Zertifikate: SSL aus China"
Ich nutze auch das von WoSign ausgestellte (Kostenlose) Zertifikat für meinen Web- und Mailserver. Nachdem ich gestern mein Antrag auf ein SSL-Zertifikat gestellt habe, hat es rund 8 Stunden gedauert, bis ich die E-Mail mit dem darin enthaltenen Download erhalten habe. Bis jetzt habe ich nichts zu beanstanden, alle bekannten Browser aktzeptieren das von WoSign kostenlos ausgestellte Zertifikat.
Screenshot Chrome Browser:
Hallo Marcel, danke für Dein feedback. Stimmt, auch alle von mir getesteten Browser zeigen grün in der Leiste. Ich denke, WoSign wird genauso etabliert wie StartSSL. Viel Spass noch mit Linux 🙂
Hallo Mathias,
ich finde es gut, dass endlich jemand auf die Idee kommt, WoSign in Verbindung mit OCSP Stapling zu nutzen, auch aus Gründen der Privatsphäre.
Was mich hier auf dieser Seite stört ist aber die Warnmeldung von Firefox über gemischten Inhalt. Es werden hier nämlich ein paar Elemente über http eingebunden. Die Firefox-Konsole (STRG+Umschalt+j) meldet
„http://www.pilgermaske.org/wp-content/plugins/seo-friendly-table-of-contents/style.css?ver=4.1.1“
„http://www.pilgermaske.org/wp-content/uploads/2015/02/OCSP_cert_fehler-300×183.png“
Wenn man im Quelltext nach „http://“ sucht, findet man noch ein paar andere Verweise.
Ich finde, dass man das beheben sollte, wenn man über SSL bloggt.
Hallo Max. Danke für dein feedback und ich nutze gerne jeden Hinweis, um meinen blog zu verbessern. Die links habe ich korrigiert, wobei das seo-friendly-plugin rausgeflogen ist: wird seit 3 Jahren nicht mehr gepflegt. Die Browser console ist aber etwas krass: sie zeigt auch Fehler auf verlinkten Seiten an, auf die ich natürlich keinen einfluss habe (Beispiel: SHA-1 und facebook).
Gruss
Mathias
Mich würde interessieren, warum OCSP stapling derzeit nicht aktiv ist. Gab es Probleme oder ist das nicht beabsichtigt?
Hallo Max, danke für deine Weiterführung.
Mit Certificate Transparency (CT) habe ich mich noch nicht auseinander gesetzt.
Aber ich habe diese interessante Zusammenfassung gefunden: https://blog.okturtles.com/2014/09/the-trouble-with-certificate-transparency/ und falls sich jemand fragt, wie diese logs aussehen, von denen in diesen CT Beiträgen immer gesprochen wird – am Ende dieser Seite ist ein Beispiel: https://www.chromium.org/Home/chromium-security/certificate-transparency
Mir wird bei solchen Stichwörtern dann immer wieder klar, dass es in der IT Sicherheit nicht um einzelne Paramater geht, sondern, dass das Gesamtkonstrukt betrachtet werden muss. Mal sehen, was die Zeit so bringt.
Natürlich muss, was kostenlos ist, nicht immer schlecht sein. Aber ich denke letztendlich hat auch die Firma „WoSign“ nichts zu verschenken. Grade, wenn es sich um Scripte handelt, die auf Webseiten installiert werden sollen, bei denen der Sicherheitsaspekt eine Rolle spielt, würde ich persönlich von solchen Angeboten Abstand nehmen. Vielleicht gehe ich hier nicht völlig vorurteilslos an die Sache heran- geb´ ich zu- aber grade, wenn persönliche Daten von Kunden auf einer Webseite gespeichert werden, lasse ich mich nicht auf Experimente ein.
Hallo Andy, im Grundsatz stimme ich Dir zu, dass solche Entscheidungen gut über legt sein müssen. Aber wenn ich mir die Skandale (Comodo) und Herkunftsländer (Israel, Suedafrika, USA) anderer Zertprovider anschaue, würde ich damit vorsichtig sein, diese als sicher(er) zu empfehlen. Wen kann man seit Snowden und BND Drama als sicher bezeichnen? Ich habe zumindest mit den ChinaZerts keine Probleme. Außerdem ist das WoSign root zert von StartSSL (Israel) – welche Interessen da wohl wieder dahinter stehen??
Mathias