Alle privaten Webserver Betreiber sind auf der Suche nach einen kostenlosen und soliden SSL Zertifikat. Zumindest scheint es so. Und wenn Admina auf Suche geht, erkennt sie schnell, dass es garnicht so viele Zertifikats Anbieter gibt, die ein solches Angebot bieten. Hierbei sind nicht die 30 oder 90 Tage Trial Angebote gemeint, die einige Zertifikatsanbieter kostenlos als Schnupper- Angebote ausstellen, sondern reguläre Zertifikate mit mindestens 1 Jahr Laufzeit. Eigentlich kommt man dann sehr schnell auf StartSSL. Dieser Zertifikatsanbieter ist lange der Boss im kostenlosen Zertifikats business gewesen. Jetzt gibt es aber einen weiteren Anbieter – sogar mit einen besseren Angebot.
Dieser neue Zertifikatsanbieter heißt “WoSign CA Limited” und hat seinen Sitz in China. Unkompliziert können kostenlose Zertifikate mit bis zu 3-jähriger Laufzeit und SHA-2 über eine einfache Anforderungsseite (englisch-sprachig) bestellt werden. Diese Webseite fragt elementare Daten ab – eine Registrierung wie bei StartSSL ist nicht notwendig! Zusätzlich gibt es den Service, dass der Zertifikats Request (die notwendige .csr Datei) von WoSign mit den eingegebenen Daten generiert werden kann. Diese Vorgehensweise wird aber von Sicherheits- Experten nicht empfohlen.
Allerdings wird das Zertifikat nicht in Minuten zugestellt, wie bei anderen Provider bekannt. Bei WoSign sollte man eher von einer “overnight” Zustellung ausgehen. Ich finde das, für den angebotenen Umfang und der Qualität der Zertifikate, vertretbar. Die Zustellung des Download link erfolgt per Email an den Webmaster Mail Account der angegebenen Hauptdomäne als zip Datei und beinhaltet auch das intermediate Zertifikat. Für die Einbindung der Zertifikate steht eine umfangreiche Hilfeseite zur Verfügung.
Zusätzlich wird das Zertifikat auch als SPC Datei für den IIS oder im Bundle (crt und intermediate) für den Nginx Webserver geliefert. Mittlerweile bietet WoSign eine einfache Verwaltungskonsole (siehe Register ‘my order’) für die Zertifikate. Bevor ich es vergesse: Die Zertifikate können wahlweise für einen Domänen- Zugriff mit und ohne www generiert werden. Der grüne Balken in IE, Firefox und Chrome ist inklusive. Wenn Du dies auf pilgermaske liest: Sieh’ Dir mein Zertifikat in deiner Adressleiste an. Übrigens: In der Zertifikatskette ist kein schwach-signiertes Zertifikat (mit SHA1 oder MD5) zu finden.
Wer jetzt noch die Nase rümpft, weil WoSign ein chinesisches Unternehmen ist, kann vielleicht damit beruhigt werden, dass jenes Stammzertifikat auf den die WoSign Zertifikate basieren von StartSSL kommt. Chinesischer oder israelischer Geheimdienst? In einen Apfel muss Admina beisen. Ich halte aber das Ausstellerland bei Zertifikaten für relativ unbedeutend.
Von Interesse könnte die Verfügbarkeit der OCSP Server sein (siehe Zertifikatsdetails im Browser). Diese Server bilden den Anlaufpunkt für Browser, um abzufragen, ob z.B. Zertifikate noch gültig sind. Um den OCSP Abfragen mehr Stabilität zu geben, kann es hilfreich sein, das OCSP stapling auf dem Webserver zu aktivieren. Eine überschaubare Anleitung, wie OCSP stapling für einen Apache2 Webserver eingerichtet wird, findet sich hier. Sollte es Schwierigkeiten mit OCSP geben, sind vielleicht die Infos auf dieser Seite (1.Introduction / zweiter Abschnitt) interessant. Aber seit Monaten hatte ich keine Störungen in diesen Zusammenhang – offensichtlich hat WoSign die Verfügbarkeit seiner Server, für europäische Kunden, optimiert.
Letztlich finde ich das WoSign Angebot solide und natürlich als kostenloses Angebot sehr interessant. Wie gesagt: Pilgermaske läuft momentan (Februar 2015, verlängert Februar 2016) mit einen Zertifikat von WoSign. Sicherlich kann sich WoSign mit diesen Angebot in Zukunft als weitere kostenlose Zertifizierungstelle behaupten.
Statements zu WoSign:
| Mozilla (Aufnahme Stammzertifikate WoSign in Firefox) | Ernst & Young (Überprüfung Root CA WoSign, pdf)
Zertifikat- und Webserver Test:
| SSL Labs | COMODO SSL Analyzer |