Entwickler-Ecke
Off Topic - SSL Zertifikat und subdomains
Aya - Do 24.03.11 17:11
Titel: SSL Zertifikat und subdomains
Hi,
ich habe mir für meine Domain "mydomain.de" ein SSL Zertifikat von Thawte besorgt und installiert - klappt auch wunderbar und wird akzeptiert als sicher.
Der ursprüngliche Grund wofür ich das haben wollte, waren zwei Subdomains "meow.mydomain.de" und "blubb.mydomain.de". Wenn ich diese nun via https aufrufe bekomme ich vom Firefox die Meldung:
| Zitat: |
| Das Zertifikat gehört einer anderen Webseite, was auf einen Identitätsdiebstahl hinweisen könnte. |
Mit dem hinweis das das Zertifikat für "mydomain.de" ausgestellt sei und nicht für "meow.mydomain.de"...
Gibt es da irgendetwas, was ich tun kann? Oder muß ich wenn ich via SSL darauf zugreifen will extra Zertifikat für diese Subdomain besorgen?
Danke,
Aya~
jaenicke - Do 24.03.11 17:16
Es gibt verschiedene Zertifikatstypen, die unterschiedlich viel kosten. Je nachdem welches du gewählt hast, kannst du Subdomains mit angeben oder eben nicht.
Das steht in der Regel aber in der Beschreibung mit dabei. :gruebel:
Aya - Do 24.03.11 17:25
Das war ein Zertifikat was über meinen Provider lief.. also in meinem Paket war ein kostenloses enthalten, da konnte ich aber nichts groß angeben.. sondern nur sagen für welche meiner domains bei dem provider es gültig sein soll.. :(
BenBE - Fr 25.03.11 14:06
SSL-Zertifikate sind immer nur für die Domain gültig, die im CN (Common Name) steht, bzw. welche via Alternate Subject angegeben werden. Wenn da also nur mydomain.foo im CN steht, ist es nicht für
http://www.mydomain.foo gültig. Wenn Du es für beide Domains gültig haben möchtest, musst Du mydomain.foo im CN und bei den Alternate Subjects dann die ganzen Subdomains angeben.
Wenn Du dich bei den Zertifikaten aber nicht arm ausgeben möchtest, geh zu
CAcert [
http://cacert.org/], da bekommst Du soviele SSL-Zertifikate kostenlos, wie Du brauchst, kannst sogar Email-Zertifikate für S/MIME anlegen UND deinen PGP-Schlüssel unterschreiben lassen (vorausgesetzt, du hast genug Assurance-Punkte ;-))
Einziger Nachteil von CAcert gegenüber Twate ist derzeit noch, dass CAcert NOCH nicht bei Mozilla drinnen ist, was sich (soweit mir das ein Vögelchen gezwitschert hat) aber hoffentlich bald ändern dürfte. Ansonsten kurz von CAcert die beiden Root-Zertifikate installieren und dann ist auch Ruhe ;-)
Aya - Mi 01.06.11 14:26
Sorry das ich das Thema nochmal ausgraben muß.. ich hatte lange keine Zeit mich um den SSL Kram zu kümmern.
Habe eben mal hier geschaut:
Da gibt es ein "RapidSSL Wildcard" Zertifikat welches im prinzip so klingt wie ich es haben möchte und preislich noch im Rahmen liegt.
Was ich aber bei all den SSL angeboten nicht verstehe und nirgendwo finde.. sind diese RapidSSL Zertifikate in irgendeiner art und weise sicherer als wenn ich mir einfach ein eigenes Zertifikat erstelle?
Also ich möchte halt nicht das Firefox beim betreten der Seite sagt "Achtung, dies könnte gefährlich sein bla bla".
Oder ist die einzige Möglichkeit für sowas tatsächlich mehrere hundert Euro im Jahr auszugeben?
Aya
jaenicke - Mi 01.06.11 14:30
 Aya hat folgendes geschrieben  : |
| Was ich aber bei all den SSL angeboten nicht verstehe und nirgendwo finde.. sind diese RapidSSL Zertifikate in irgendeiner art und weise sicherer als wenn ich mir einfach ein eigenes Zertifikat erstelle? |
Der Unterschied ist ein anderer:
Wenn du selbst ein Zertifikat erstellst, kennt der Browser den Aussteller nicht. Er kann das Zertifikat also nicht zurückverfolgen, sieht es nicht als gültig an und es kommt eine Warnung.
Das gilt auch für kostenlose Anbieter, bei denen die meisten Browser den Aussteller auch nicht kennen. Davon abgesehen vertraue ich Zertifikaten solcher Aussteller ohnehin nicht.
Die "echten" SSL-Zertifikate hingegen können über das Rootzertifikat, das der Browser kennt, validiert werden. Deshalb gibt es dann keine Warnung.
MDX - Mi 01.06.11 14:34
Du kannst dir
kostenlos bei [url]
http://www.startssl.org[/url] ein Zertifkat besorgen für x-beliebig viele (Sub-)Domains.
Das gute daran ist, dass StartSSL sowohl bei Internet Explorer 6+, Google Chrome, Opera 10+ und Firefox 3+ als Gültig anerkannt wird.
Du musst jedoch bedenken dass du für jedes SSL-Zertifikat auf deinem Server/Webspace eine andere IP-Adresse benötigst. Zwei SSL-geschützte Domains unter 12.34.56.78 würden sich beispielsweise gegenseitig überschreiben, sodass nur eines funktioniert.
Ansonsten kannst du wenn du ein SSL-Zertifikat mit SubDomain beantragst immer ohne die SubDomain (also wenn du engibst x.domain.de auch domain.de) darauf zugreifen (jedenfalls normalerweise..).
BenBE - Mi 01.06.11 15:09
| MDX hat folgendes geschrieben : |
Du kannst dir kostenlos bei [url]http://www.startssl.org[/url] ein Zertifkat besorgen für x-beliebig viele (Sub-)Domains.
Das gute daran ist, dass StartSSL sowohl bei Internet Explorer 6+, Google Chrome, Opera 10+ und Firefox 3+ als Gültig anerkannt wird. |
Korrekt. Wobei man immer selber entscheiden sollte, ob man der Firma, die hinter einer CA steht, vertraut.
CAcert ist zwar nicht in den Browsern (unter Windows, unter Linux sind sie's nämlich weitgehend), aber ich glaub, die für ein Zertifikat von CAcert nötigen Prüfungen sind oftmals gründlicher, als bei Comodo und anderen CAs. Ich bin aber ehrlich gesagt immer noch der Meinung, dass die CA von
Honest Achmed's Used Cars [
http://www.heise.de/security/meldung/Der-ehrliche-Achmed-bittet-um-Vertrauen-1231083.html] in die Browser aufgenommen gehört ;-)
| MDX hat folgendes geschrieben : |
| Du musst jedoch bedenken dass du für jedes SSL-Zertifikat auf deinem Server/Webspace eine andere IP-Adresse benötigst. Zwei SSL-geschützte Domains unter 12.34.56.78 würden sich beispielsweise gegenseitig überschreiben, sodass nur eines funktioniert. |
Das stimmt so nicht. Alle aktuellen Browser unterstützen mit TLS 1.0 eine Erweiterung des SSL-Protokolls, die SNI genannt wird. Damit sind mehrere SSL-Zertifikate auf einer IP möglich. Nachteil ist aber, dass es vom SSL-Client unterstützt werden muss. Ich setze SNI bei mir auf dem Server weitestgehend reibungslos ein. Einzig einige Macken von den Browsern führen manchmal zu seltsamen Verhalten.
| MDX hat folgendes geschrieben : |
| Ansonsten kannst du wenn du ein SSL-Zertifikat mit SubDomain beantragst immer ohne die SubDomain (also wenn du engibst x.domain.de auch domain.de) darauf zugreifen (jedenfalls normalerweise..). |
Nein. Das ist falsch: SSL-Zertifikate gelten nur für die Common-Names, die im Certificate Subject angegeben sind, bzw. den DNS Alternative Names, aus den Certificate Extensions. WasDu vermutlich meinst, sind Wildcards; die aber auch ihre Nachteile haben.
MDX - Mi 01.06.11 15:49
| BenBE hat folgendes geschrieben : |
Das stimmt so nicht. Alle aktuellen Browser unterstützen mit TLS 1.0 eine Erweiterung des SSL-Protokolls, die SNI genannt wird. Damit sind mehrere SSL-Zertifikate auf einer IP möglich. Nachteil ist aber, dass es vom SSL-Client unterstützt werden muss. Ich setze SNI bei mir auf dem Server weitestgehend reibungslos ein. Einzig einige Macken von den Browsern führen manchmal zu seltsamen Verhalten. |
Mh :?
Auf meinem Server funktioniert´s jedenfalls nicht... (Ubuntu Linux / Apache2)... ^^
| BenBE hat folgendes geschrieben : |
Nein. Das ist falsch: SSL-Zertifikate gelten nur für die Common-Names, die im Certificate Subject angegeben sind, bzw. den DNS Alternative Names, aus den Certificate Extensions. WasDu vermutlich meinst, sind Wildcards; die aber auch ihre Nachteile haben. |
Mh nö, also jedenfalls bei den SSL-Zertifikaten von StartSSL funktioniert das, ohne jz Werbung machen zu wollen:
https://xetnet.de funkioniert genauso wie
https://www.xetnet.de (ist nur eine PHP-Weiterleitung, also nicht Apache seitig... Dasselbe Zertifikat...
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!