Nachdem ich meinen neuen Root-Server weitgehend eingerichtet habe, befasse ich mich nun mit dem Thema SSL.
Ich muss mindestens 2 Domains im Checkout absichern! Es kommen aber noch weitere Projekte dazu.

Meine Projekte richten sich nur an Endkunden. Letztendlich müssen nur Adressdaten verschlüsselt werden.

Welchen Anbieter kann ich am besten nehmen?
Welcher Anbieter wird von den wichtigsten Browsern (IE, FF, Chrome, Safari, ...) akzeptiert?
Soll ich besser gleich Root-Zertifikate nehmen?
RapidSSL für 27 Eur im Jahr, ist das brauchbar?
Oder doch lieber VeriSign oder GeoTrust?
Muss die URL-Leiste unbedingt grün werden bei SSL-Verwendung?

RapidSSL für 27 Eur im Jahr, ist das brauchbar?
Da musst Du noch ein "Zwischenzertifikat" (Zwischenzertifizierungsstelle) einfügen, der Apache sagt SSLCACertificateFile. Das ist aber denkbar einfach. Das musste ich bei Thawte aber auch schon tun. Denke dran, für den Preis Pro IP ein Zertifikat.
Hier bekommst Du das gleiche RapidSSL für ca. 8 Euro im Jahr
https://www.rapidsslonline.com

Oder doch lieber VeriSign oder GeoTrust?
Mir ist das Wurst, Zertifikat ist Zertifikat, RapidSSL ist ja eigentlich "GeoTrust".

Muss die URL-Leiste unbedingt grün werden bei SSL-Verwendung?
Weiß ich nicht, bei einem RapidSSL steht im zb. im chrome das https in "grüner" Schrift und der Opera zeicht das Wort "sicher an"

jay-ar

Ich danke dir für deine Info. Ich werd' dann erstmal das RapidSSL für ca. 8 Euro antesten.
Wenn's nicht reicht kann ich das ja immernoch ändern!

Hallo Klaus

Generieren und einrichten ist wie gewohnt "relativ" einfach, man muss es meist nur einmal gemacht haben. Je nachdem welche Software Du für die Web und Mailverwaltung nutzt, musst Du in den config Dateien Deines Webservers ggf. manuell etwas einstellen.
Sollte es Probleme mit dem Zertifikat/Einbau geben, dann melde Dich wieder. Ich habe dies schon einige Male gemacht, und kann da schnell weiterhelfen.

jay-ar

Hallo
Ich schließe mich da mal an die Frage von Klaus an, ich nutze bisher ein Zertifikat was ich über meinen Hoster All-Inkl habe und zahle 99€ für 1 Jahr.
Wenn ich die Preise jetzt so sehe frage ich mich, mache ich etwas falsch oder würde eben zb. auch ein anderes Zertifikat reichen?
Der Link oben verwirrt mich eigentlich mehr, alles nur in Englisch und Angebote Zertifikate auszuwählen ohne Ende, nur was kann oder muss man da auswählen?

Wenn ich dem Hoster jetzt sagen würde, ich nehme ein anderes Zertifikat und habe "nur" Webspace gebucht und keinen Server wo man was ablegen kann, wie könnte ich denn dann andere Zertifikate einbinden?

Und nicht das es falsch verstanden wird, die Sicherheit des Kunden steht an erstes Stelle und für etwas solides (was ich ja momentan auf jeden Fall habe) zahle ich auch gerne, nur wenn es ein äquivalentes Zertifikat billiger geben würde, wäre es ja unklug das nicht zu nutzen.

Nur die Seite aus dem Link sagt mir gar nichts über die Qualität der einzelnen Zertifikate. Die nächste Frage ist eben wie das dann einbinden, bisher brauchte ich eher nichts zu ändern, da alles über All-Inkl. lief und das wie immer perfekt.

Sofern Du kein single root Zertifikat nutzt, sollte das bei dem Hoster klappen. Jedoch prüfe vorher, ob dieses Zertifikat nicht noch ein "Zwischenzertifkat" einer CA benötigt und wenn ja, ob du das mit in die vhost einbauen kannst.
Was die Hoster meist für sich selbst nehmen um die Zertifikate weiter zu vertickern sind Multidomain Zertifikate. Damit holen die ihr Geld wieder rein, welches beim billigen Webspace vertickern nicht eingespielt wird.

Apropos Qualität der Zertifikate: Die Qualität der Zertifikate wird durch die Technik (Verschlüsselungsalgorhytmus, Schlüssellänge, Verschlüsselung, SSLVersion) bestimmt.
Die obersten Zertifizierungstellen, also die, dessen Zertifikate mit jedem Browser mitgeliefert werden, bescheinigen Dir nur, dass die das ganze im Online Verfahren geprüft haben(signiert). Somit ist es für den Browser vertrauenswürdig. Bei vielen Providern kommen Zwischenzertifikate zum Einsatz, die berechtigt sind, Dir das zu bescheinigen. Die Zertifizierungsstellen haben noch Rücknahmelisten, die manche Zertifikate vor Ablauf für ungültig erklären(bei Diebstahl, Missbrauch etc). Mit denen halten die Browser jederzeit Kontakt.
Das ganze kannst Du Dir vorstellen die die Beantragung/Verlängerung eines Ausweises/Reisepasses beim Einwohnermeldeamt.
Mit dieser Gelddruckmaschine sind einige in sehr kurzer Zeit hunderte Millionen schwer geworden. Hier ein sehr bekannter Vertreter Mark Shuttleworth (http://de.wikipedia.org/wiki/Mark_Shuttleworth)

Wir nutzen jedenfalls nicht solche überteuerten Zertifikate, sondern können mit single Root Zertifikaten gut leben. Die Shops laufen bei uns eh nur jeweils auf einer IP. Die Kunden machen da kein Unterschied, ob oben im Browser "sicher" oder "vertrauenswürdig" steht.

Trusted Shops und TÜV Klebchen auf der Homepage halte ich auch für eine überteuerte Mogelpackung. Trusted Shops beispielsweise habe ich bei 2 Shops wieder abgeschaltet. Ergebnis war: kein Kundenrückgang, kein Umsatzeinbruch, kein Rückgang der Besucherzahlen.

jay-ar

Moinsen,

bei All-INkl gibt es hier die Infos - Fremdzertifikate kosten wohl 25,- EUR in der Installation.

Domains, Webspace, Domain Webhosting, Server-Hosting Provider ALL-INKL (http://all-inkl.com/reseller/zusatzdienste/)

Allerdings gibt es seit kurzem auch dort SSH-Zugänge. Inwieweit welche Rechte dafür vorhanden sind müsste man mal fragen. Vielleicht kann dir es dann auch jemand günstiger installieren. Ich vermute aber nicht, dass Sie das machen werden.

grüsse
olli

bei All-INkl gibt es hier die Infos - Fremdzertifikate kosten wohl 25,- EUR in der Installation
Hammerpreise, zumal die das in 5 Minuten erledigen.



Allerdings gibt es seit kurzem auch dort SSH-Zugänge. Inwieweit welche Rechte dafür vorhanden sind müsste man mal fragen. Vielleicht kann dir es dann auch jemand günstiger installieren. Ich vermute aber nicht, dass Sie das machen werden.

Ich kann mir nicht im geringsten vorstellen, dass irgend ein Provider dem Kunden, außer über die entsprechenden Webfrontends, genehmigt, am Webserver 'rumfummeln zu dürfen. Das Ding würde ständig Offline sein.
Wer längerfristig mit den Shop(s) erfolgreich sein möchte, kommt früher oder später um einen eigenen Server nicht drumherum. Da kann man dann "faxen" machen, wie man möchte.

jay-ar

Hallo

@jay-ar
Erst mal Danke für Deine ausführliche Erklärung. Als Laie in Sachen SSL-Zertifikat muss ich mir das zwar mehrmals durchlesen, aber man kann sich ja mit den Infos die Du gibst dann weiter lesen und wenn was unklar ist fragen.
Das mit dem eigenen Server ist sicher richtig und lang bzw. eher mittelfristig auch geplant.
Aktuell muss ich aber schauen, das ich ein sicheres (Beschreibe das mal so) Zertifikat bekomme. Wenn es dann bei gleicher Leistung billiger ist, wäre das auf jeden Fall nicht schlecht. Da meines bald wieder abläuft, muss ich mal schauen was ich dann nehme bzw. nehmen kann.

@Ollido35
Danke, den Link bzw. das was dahinter steht, schaue ich mir mal an.

Hallo
Ich habe noch etwas anderes gefunden, nur wie vorher schon gefragt, lässt sich so etwas bei mir selber einbinden (also über die config Dateien)?
https://secure.europeanssl.eu/index.php

Premium, wenn Du auf Trusted Logo stehst und der Meinung bist, eine Versicherung haben zu müssen.
Wofür eine Versicherung da ist, habe ich nie verstanden. Zumal bei keinem so richtig erklärt steht, wann diese zahlt. Meine Meinung ist, da wird viel Geld mit einem Schutzbedürfnis gemacht. Die Deutschen sind im europäischen Vergleich eh die anfälligsten, was die Anzahl der Versichungen pro Einwohner zeigt.

Missbrauch mit deinem Zertifikat kann entstehen, wenn der private Schlüssel in andere Hände gerät oder die Zertifizierungsstelle kompromittiert wird.
Bei ersteren jede Wette "Pech, hättest selbst besser drauf achten sollen." oder "Ihr Server wurde gehackt - sie haben die Sorgfaltspflicht missachtet." Bei Zweiteren hat die Zertifizierungsstelle grundsätzlich immer die volle Verantwortung zu tragen. Ich versichere doch auch nicht mein Geld bei der Bank vor deren Diebstahl.

Bei dem dort angebotenen Single macht mich stutzig
Als Inhaber des Zertifikates wird der Hinweis auf „Domain Control Validated“ eingetragen.
Normalerweise steht dort entweder der Domainname oder der Firmenname.

jay-ar

Hallo

@jay-ar
Danke für Deine wie immer sehr ausführliche und lehrreiche Erklärung.
Dann lasse ich das dort lieber und werde wohl das Zertifikat was ich habe wieder verlängern und mich dann mal intensiv damit befassen.

Der Preis ist gut oder wäre gut, aber wie Du auch schon schreibst können das auch 49€ für nichts sein, wenn ich dort noch nicht mal als Inhaber eingetragen bin.

Auf jeden Fall ein spannendes Thema und da sieht man mal wieder wie wichtig es ist sich auch neben dem Shop mit dem was dazu gehört zu beschäftigen.