Kostenlose Zertifikate: SSL aus China

Alle privaten Webserver Betreiber sind auf der Suche nach einen kostenlosen und soliden SSL Zertifikat. Zumindest scheint es so. Und wenn Admina auf Suche geht, erkennt sie schnell, dass es garnicht so viele Zertifikats Anbieter gibt, die ein solches Angebot bieten. Hierbei sind nicht die 30 oder 90 Tage Trial Angebote gemeint, die einige Zertifikatsanbieter kostenlos als Schnupper- Angebote ausstellen, sondern reguläre Zertifikate mit mindestens 1 Jahr Laufzeit. Eigentlich kommt man dann sehr schnell auf StartSSL. Dieser Zertifikatsanbieter ist lange der Boss im kostenlosen Zertifikats business gewesen. Jetzt gibt es aber einen weiteren Anbieter – sogar mit einen besseren Angebot.

Dieser neue Zertifikatsanbieter heißt „WoSign CA Limited“ und hat seinen Sitz in China. Unkompliziert können kostenlose Zertifikate mit bis zu 3-jähriger Laufzeit und SHA-2 über eine einfache Anforderungsseite (englisch-sprachig) bestellt werden. Diese Webseite fragt elementare Daten ab – eine Registrierung wie bei StartSSL ist nicht notwendig! Zusätzlich gibt es den Service, dass der Zertifikats Request (die notwendige .csr Datei) von WoSign mit den eingegebenen Daten generiert werden kann. Diese Vorgehensweise wird aber von Sicherheits- Experten nicht empfohlen.

Allerdings wird das Zertifikat nicht in Minuten zugestellt, wie bei anderen Provider bekannt. Bei WoSign sollte man eher von einer „overnight“ Zustellung ausgehen. Ich finde das, für den angebotenen Umfang und der Qualität der Zertifikate, vertretbar. Die Zustellung des Download link erfolgt per Email an den Webmaster Mail Account der angegebenen Hauptdomäne als zip Datei und beinhaltet auch das intermediate Zertifikat. Für die Einbindung der Zertifikate steht eine umfangreiche Hilfeseite zur Verfügung.

Zusätzlich wird das Zertifikat auch als SPC Datei für den IIS oder im Bundle (crt und intermediate) für den Nginx Webserver geliefert. Mittlerweile bietet WoSign eine einfache Verwaltungskonsole (siehe Register ‚my order‘) für die Zertifikate. Bevor ich es vergesse: Die Zertifikate können wahlweise für einen Domänen- Zugriff mit und ohne www generiert werden. Der grüne Balken in IE, Firefox und Chrome ist inklusive. Wenn Du dies auf pilgermaske liest: Sieh‘ Dir mein Zertifikat in deiner Adressleiste an. Übrigens: In der Zertifikatskette ist kein schwach-signiertes Zertifikat (mit SHA1 oder MD5) zu finden.

Wer jetzt noch die Nase rümpft, weil WoSign ein chinesisches Unternehmen ist, kann vielleicht damit beruhigt werden, dass jenes Stammzertifikat auf den die WoSign Zertifikate basieren von StartSSL kommt. Chinesischer oder israelischer Geheimdienst? In einen Apfel muss Admina beisen. Ich halte aber das Ausstellerland bei Zertifikaten für relativ unbedeutend.

Von Interesse könnte die Verfügbarkeit der OCSP Server sein (siehe Zertifikatsdetails im Browser). Diese Server bilden den Anlaufpunkt für Browser, um abzufragen, ob z.B. Zertifikate noch gültig sind. Um den OCSP Abfragen mehr Stabilität zu geben, kann es hilfreich sein, das OCSP stapling auf dem Webserver zu aktivieren.  Eine überschaubare Anleitung, wie OCSP stapling für einen Apache2 Webserver eingerichtet wird, findet sich hier. Sollte es Schwierigkeiten mit OCSP geben, sind vielleicht die Infos auf dieser Seite (1.Introduction / zweiter Abschnitt) interessant. Aber seit Monaten hatte ich keine Störungen in diesen Zusammenhang – offensichtlich hat WoSign die Verfügbarkeit seiner Server, für europäische Kunden, optimiert.

Letztlich finde ich das WoSign Angebot solide und natürlich als kostenloses Angebot sehr interessant. Wie gesagt: Pilgermaske läuft momentan (Februar 2015, verlängert Februar 2016) mit einen Zertifikat von WoSign. Sicherlich kann sich WoSign mit diesen Angebot in Zukunft als weitere kostenlose Zertifizierungstelle behaupten.

Statements zu WoSign:

| Mozilla (Aufnahme Stammzertifikate WoSign in Firefox) | Ernst & Young (Überprüfung Root CA WoSign, pdf)

Zertifikat- und Webserver Test:

| SSL Labs | COMODO SSL Analyzer |

Hinterlasse einen Kommentar

15 Kommentare auf "Kostenlose Zertifikate: SSL aus China"

Benachrichtige mich zu:
avatar
2000
Sortiert nach:   neuste | älteste | beste Bewertung
Marcel
Gast

Ich nutze auch das von WoSign ausgestellte (Kostenlose) Zertifikat für meinen Web- und Mailserver. Nachdem ich gestern mein Antrag auf ein SSL-Zertifikat gestellt habe, hat es rund 8 Stunden gedauert, bis ich die E-Mail mit dem darin enthaltenen Download erhalten habe. Bis jetzt habe ich nichts zu beanstanden, alle bekannten Browser aktzeptieren das von WoSign kostenlos ausgestellte Zertifikat.

Screenshot Chrome Browser:

Max
Gast

Hallo Mathias,
ich finde es gut, dass endlich jemand auf die Idee kommt, WoSign in Verbindung mit OCSP Stapling zu nutzen, auch aus Gründen der Privatsphäre.
Was mich hier auf dieser Seite stört ist aber die Warnmeldung von Firefox über gemischten Inhalt. Es werden hier nämlich ein paar Elemente über http eingebunden. Die Firefox-Konsole (STRG+Umschalt+j) meldet

„http://www.pilgermaske.org/wp-content/plugins/seo-friendly-table-of-contents/style.css?ver=4.1.1“

„http://www.pilgermaske.org/wp-content/uploads/2015/02/OCSP_cert_fehler-300×183.png“

Wenn man im Quelltext nach „http://“ sucht, findet man noch ein paar andere Verweise.

Ich finde, dass man das beheben sollte, wenn man über SSL bloggt.

Andy
Gast

Natürlich muss, was kostenlos ist, nicht immer schlecht sein. Aber ich denke letztendlich hat auch die Firma „WoSign“ nichts zu verschenken. Grade, wenn es sich um Scripte handelt, die auf Webseiten installiert werden sollen, bei denen der Sicherheitsaspekt eine Rolle spielt, würde ich persönlich von solchen Angeboten Abstand nehmen. Vielleicht gehe ich hier nicht völlig vorurteilslos an die Sache heran- geb´ ich zu- aber grade, wenn persönliche Daten von Kunden auf einer Webseite gespeichert werden, lasse ich mich nicht auf Experimente ein.

wpDiscuz