Hallo zusammen,

ich muß mich mit SSL-Zertifikaten beschäftigen und habe mittlerweile herausgefunden, dass ich für :
- www.domain.de
- www.domain.com
2 unterschiedliche/separate Zertifikate benötige. Soweit ok.

Aber wie verhält es sich mit :
- www.domain.de
- sub.domain.de

Brauch ich für eine Subdomain auch ein separates Zertifikat ?

Herzlichen Dank im voraus,
Gruß
Andreas

wenn Du nicht Multinamed-Certs. verwendest - ja.

Multiname ist dann, so gehe ich davon aus, für mehrere Domain-Namen gedacht.

Ebenso gehe ich davon aus, dass diese dann auch teurer sind, oder ?

Gruß
Andreas

Die Frage ist - muss es ein offizielles von einer namenhaften Zertifizierungstelle sein oder nicht?

Multinamed gibt's bei den großen eh nicht...

Ja, muss ein offizielles sein.
Hab bereits ein Angebot von Thawte für ein normales Zert vorliegen.

Wieso gibts die Multiname bei den "Großen" nicht ?

Gruß
Andreas

Multinamed gibt's bei den großen eh nicht...

Doch, doch, das gibts schon.

http://www.rapidssl.com/ssl-certificate-products/rapidssl/wildcard-ssl-certificate.htm

cheers
t.

Was darf denn ein "normales" Zertifikat kosten ?
Ist um die 100-150EUR/Jahr ein akzeptabler Wert ?

Und was ist denn ein guter "SSL-Provider", ich hab gerade ziemlich viel gelesen, aber die verschiedenen Angebote sind z.T. auch verwirrend.
Ich hab diverse Angebote gesehen von:
- Thawte
- GeoTrust
- RapidSSL
um nur ein paar zu nennen.

Kann mir einer von euch mal bitte eine Empfehlung geben ?

Herzlichen Dank,
Gruß
Andreas

http://www.pcom.de/ssl-zertifikat.asp

49€ + MwSt. für 1 Jahr

is aber nur für eine domain...

Preis keine Ahnung.

Wichtig ist aus meiner Sicht halt, dass der CA schon fest in jedem Standard-Browser integriert ist und dass man die Zertifikate problemlos bestellen und auch updaten kann.

Wobei der User sowieso zu 95 % jede Warnung wegklickt --> Die SSL-Implementierungen was Warnungen etc. angeht ist in allen Browsern komplett schwachsinnig...

In den letzten Linux-Magazinen gab es da eine sehr interessante Artikelreihe: "Benutzbarkeit von Sicherheitssoftware in der Kritik" in der Experten wie Gutman die Problematik auf den Punkt gebracht haben...


mfg
cane

... wobei das bei B2B-Kommunikation nicht gilt - fehlerfreie Zertifikate sind dort unabdingbar...

... wobei das bei B2B-Kommunikation nicht gilt - fehlerfreie Zertifikate sind dort unabdingbar...

Aber wohl eher aus Imagegründen. Das man den Zertifikaten trotzdem nicht immer trauen kann zeigen ja jüngste Vorfälle:

http://www.heise.de/security/result.xhtml?url=/security/news/meldung/69598


mfg
cane

nicht nur... z.B. haben wir hier einen App laufen, die über https verschlüsselt mit einem Bezahldienstleister kommuniziert - und das knallt natürlich, wenn die entsprechenden Zertifikate nicht stimmen...

Das im "normalen" Gebraucht die Nutzer die Warnungen wegklicken ist natürlich doof - aber nicht der Technik an sich anzukreiden sondern den Nutzern...

nicht nur... z.B. haben wir hier einen App laufen, die über https verschlüsselt mit einem Bezahldienstleister kommuniziert - und das knallt natürlich, wenn die entsprechenden Zertifikate nicht stimmen...

Zertifikate kann man doch importieren?


Das im "normalen" Gebraucht die Nutzer die Warnungen wegklicken ist natürlich doof - aber nicht der Technik an sich anzukreiden sondern den Nutzern...

Sehe ich anders: Der User kann und soll IMO nicht entscheiden ob ein Zertifikat gültig ist oder nicht. Viele IT-Angestellte wissen ja nicht mal wie ein sauberes Zertifikat auszusehen hat, worauf zu achten ist etc.

Traurig aber wahr...

mfg
cane

Klar kann man Zertifikate importieren - aber das ändert nichts daran, dass man mit einem nicht-gültigen Zertifikat nicht mehr arbeiten kann...

... und wie stellst Du Dir das vor? Wenn der User nicht entscheiden soll sondern die Anwendung, ob ein Zertifikat gültig ist? Das wäre dann der "Tod" sämtlicher nicht authentifizerter Zertifikate - die Anwendung sagt dann einfach: "Fehler im Zertifikat. Zugriff verweigert. Bitte wenden Sie sich an den Administrator der Seite..."

Klar kann man Zertifikate importieren - aber das ändert nichts daran, dass man mit einem nicht-gültigen Zertifikat nicht mehr arbeiten kann...


Nicht gültig im Sinne von abgelaufen oder von wiederrufen oder Inkonsistenzen zwischen Domain und Zertifikat? Leider kann man mit allen ungültigen Zertifikaten weiterarbeiten --> das ist ja das problem :)


... und wie stellst Du Dir das vor? Wenn der User nicht entscheiden soll sondern die Anwendung, ob ein Zertifikat gültig ist? Das wäre dann der "Tod" sämtlicher nicht authentifizerter Zertifikate - die Anwendung sagt dann einfach: "Fehler im Zertifikat. Zugriff verweigert. Bitte wenden Sie sich an den Administrator der Seite..."

Da hätte ich gar nichts gegen --> wer eine Seite administriert soll doch bitte dafür sorgen das die verwendeten Zertifikate okay sind...

Es würde aber schon ausreichen den Workflow "Weiterarbeiten trotz möglicher Gefahr" anders zu gestalten --> erstmal müssen die meldungen klarer werden. Welcher User schaut sich bitte an warum die Meldung kommt? Keiner!

Man sollte das weiterarbeiten trotz möglicher gefahr wesentlich erschweren (nicht nur ein Fensterchen wegklicken und alles ist gut) und die meldungen wesentlich aussagekräftiger gestalten.

Gut finde ich auch lösungen im Bereich Personalisierung --> ein User kann beispielsweise auf seine Homebanking-Präsenz eine kleine Grafik uploaden --> erscheint diese nicht neben der adressleiste weiß der user das er nicht auf der wirklichen Homebanking-Seite ist sondern umgeleitet wurde...

mfg
cane