kann man sich selbst erstellen.
Aber, wenn man https:// nutzen möchte, um einem Kunden etwas noch in der Erprobung befindliches vorzuführen und dessen erster Eindruck ist "fehlendes Vertrauen", dann ist das unprofessionell.
Das Problem: Der https://-Server läuft hinter einem DSL-Router (dyn. IP + dynDNS) per Portforwarding.
Die Frage: Kann man für so eine Konfiguration überhaupt bei offiziellen Stellen (CA's) ein Zertifikat beantragen? (IMHO nur für DNS-Eintrag mit statischer, offizieller IP.)
TIA!
Bernhard
Bernhard Schiffner bernhard@schiffner-limbach.de schrieb:
kann man sich selbst erstellen.
Aber, wenn man https:// nutzen möchte, um einem Kunden etwas noch in der Erprobung befindliches vorzuführen und dessen erster Eindruck ist "fehlendes Vertrauen", dann ist das unprofessionell.
Das Problem: Der https://-Server läuft hinter einem DSL-Router (dyn. IP + dynDNS) per Portforwarding.
Die Frage: Kann man für so eine Konfiguration überhaupt bei offiziellen Stellen (CA's) ein Zertifikat beantragen? (IMHO nur für DNS-Eintrag mit statischer, offizieller IP.)
Die Zertifikaten kommen problemlos mit dynamischen IPs klar.
Das Problem sieht mehr aus in Richtung "selbstsigniertes Zertifikat". Hast du es so gemacht? Dann ist es klar, daß der Browser meckert...
Grüße Luca Bertoncello (lucabert@lucabert.de)
Am Donnerstag, den 01.04.2010, 09:25 +0200 schrieb Luca Bertoncello:
Die Zertifikaten kommen problemlos mit dynamischen IPs klar.
Stimmt.
Das Problem sieht mehr aus in Richtung "selbstsigniertes Zertifikat". Hast du es so gemacht? Dann ist es klar, daß der Browser meckert...
Stimmt auch. Allerdings. Der CCC hat doch mal gezeigt, wie man sich einen Schlüssel signieren muss, damit er von allen Browsern akzeptiert wird.
BTW: Deutsche Unis haben eine eigene Zertifizierungsstelle und erwarten von den Usern, dass sie einmal die CA im Browser eintragen. Sonst werden massenweise Uniwebseiten von den Browsern bemängelt.
Gruß Thomas
Am Donnerstag, den 01.04.2010, 09:35 +0200 schrieb Thomas Schmidt:
Am Donnerstag, den 01.04.2010, 09:25 +0200 schrieb Luca Bertoncello:
Die Zertifikaten kommen problemlos mit dynamischen IPs klar.
Stimmt.
Das Problem sieht mehr aus in Richtung "selbstsigniertes Zertifikat". Hast du es so gemacht? Dann ist es klar, daß der Browser meckert...
Stimmt auch. Allerdings. Der CCC hat doch mal gezeigt, wie man sich einen Schlüssel signieren muss, damit er von allen Browsern akzeptiert wird.
BTW: Deutsche Unis haben eine eigene Zertifizierungsstelle und erwarten von den Usern, dass sie einmal die CA im Browser eintragen. Sonst werden massenweise Uniwebseiten von den Browsern bemängelt.
Das ist so Geschichte. Vor 1...2 Jahren wurden "kaskadierte" Zertifikate eingeführt, und die Unis haben sicher solche. Jedenfalls habe ich soeben in Firefox alle (primären) Zertifikate durchgesehen, da sieht nichts nach deutschen Unis aus.
Gruß Jörg
Am Donnerstag, den 01.04.2010, 09:21 +0200 schrieb Bernhard Schiffner:
wenn man https:// nutzen möchte, um einem Kunden etwas noch in der Erprobung befindliches vorzuführen und dessen erster Eindruck ist "fehlendes Vertrauen", dann ist das unprofessionell.
Finde ich ehrlich gesagt gar nicht. Wer https ohne Zertifikat weniger vertraut als http hat keine Ahnung, und einem Kunden kann man einfach sagen, dass es in der Testphase noch kein Zertifikat gibt und er sich durchklicken soll. Kommt aber natürlich auf den Kunden an.
Die Frage: Kann man für so eine Konfiguration überhaupt bei offiziellen Stellen (CA's) ein Zertifikat beantragen? (IMHO nur für DNS-Eintrag mit statischer, offizieller IP.)
Das Zertifikat gibt es für eine Domain, nicht für einen DNS oder IP-Adresse oder sonstwas. Also kannst du wie für jede andere Domain ein Zertifikat bekommen.
Billig und schnell gibt es das bei Arteryplanet: http://www.arteryplanet.net/ssl_certificates Zahlung per PayPal, und du musst nur eine Mail an webmaster@deinedomain.de bestätigen um dich auszuweisen. Von dort habe ich meine Zertifikate.
Gruß Thomas
Hallo,
Am Donnerstag, den 01.04.2010, 09:21 +0200 schrieb Bernhard Schiffner:
wenn man https:// nutzen möchte, um einem Kunden etwas noch in der Erprobung befindliches vorzuführen und dessen erster Eindruck ist "fehlendes Vertrauen", dann ist das unprofessionell.
Finde ich ehrlich gesagt gar nicht. Wer https ohne Zertifikat weniger vertraut als http hat keine Ahnung, und einem Kunden kann man einfach sagen, dass es in der Testphase noch kein Zertifikat gibt und er sich durchklicken soll. Kommt aber natürlich auf den Kunden an.
Die Frage: Kann man für so eine Konfiguration überhaupt bei offiziellen Stellen (CA's) ein Zertifikat beantragen? (IMHO nur für DNS-Eintrag mit statischer, offizieller IP.)
Das Zertifikat gibt es für eine Domain, nicht für einen DNS oder IP-Adresse oder sonstwas. Also kannst du wie für jede andere Domain ein Zertifikat bekommen.
Billig und schnell gibt es das bei Arteryplanet: http://www.arteryplanet.net/ssl_certificates Zahlung per PayPal, und du musst nur eine Mail an webmaster@deinedomain.de bestätigen um dich auszuweisen. Von dort habe ich meine Zertifikate.
Auf https://www.startssl.com/ gibt es kostenfreie 1-Jahres Zertifikate, welche in den gängigsten Browsern gültig sein sollten.
MfG Maddin
On Thursday 01 April 2010, Bernhard Schiffner wrote:
Das Problem: Der https://-Server läuft hinter einem DSL-Router (dyn. IP + dynDNS) per Portforwarding.
Die Frage: Kann man für so eine Konfiguration überhaupt bei offiziellen Stellen (CA's) ein Zertifikat beantragen? (IMHO nur für DNS-Eintrag mit statischer, offizieller IP.)
Die Domain muss Dir selbst gehören. Sprich: Du musst im whois stehen.
Ansonsten probier mal www.startssl.com - kostet nix, auch wenn es schiefgeht. ;-)
Konrad
Am Donnerstag, den 01.04.2010, 08:34 +0100 schrieb Konrad Rosenbaum:
Ansonsten probier mal www.startssl.com - kostet nix, auch wenn es schiefgeht. ;-)
Ich habe es probiert. Die Webseite ist so grottig, mein Firefox verweigerte aus Sicherheitsbedenken die Anzeige. Aber das Zertifikat bekam ich dann doch noch und installierte es auf www.netaction.de.
Einziges Problem ist, dass Opera der Zertifikat noch nicht akzeptiert, aber das wird er wohl bald. Außerdem darf das letzte Browserupdate nicht zu lange her sein, im Falle vom IE glaube ich Mitte 2009. Also werden die ganzen n00bs, die weder mit ihrem Betriebssystem noch mit einem Browser umgehen können, es allerdings denken und keinen Admin beschäftigen, Seiten mit Zertifikat von startssl nicht sehen können.
Fazit: Auf meine privaten Seiten und Webmailer kommt das kostenlose startssl, auf die geschäftlichen Seiten weiterhin Arteryplanets SBS für 20 US$.
Wildcard Zertifikate (*.example.com) gibts für 140 US$ von rapidssl (clickssl.com, servertastic.com) und für 50 US$ von startssl.
Thomas
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Joerg Bergmann -
Konrad Rosenbaum -
Luca Bertoncello -
Martin Probst (RobHost Support) -
Thomas Schmidt