Hallo,

Muss ich den Schlüssel auf jeden Fall von einer "Certifying Authority" (CA) absegnen lassen,
oder erst ab einem bestimmten Sicherheitsanspruch ??

Ist Ansichtssache. Wenn du sie nicht zertifizieren läßt, bekommt der Nutzer einen Warnhinweis vor dem Verbinden, in dem darauf hingewiesen wird, daß der Server kein zertifiziertes Schlüsselpaar benutzt. Die Übertragung ist zwar damit genauso sicher wie mit einem zertifizierten Schlüsselpaar, die meisten Nutzer werden aber durch den Hinweis schon entsprechend verunsichert.

Ich habe im Internet nach solchen CAs gesucht, damit kommt immer wieder VeriSign und Thawte zum Vorschein. Hat schon jemand Erfahrungen mit den beiden ??

Verisign ist, da es der Marktführer ist und als erstes in den Markt groß eingestiegen ist, unverschämt teuer und macht sich viel aus seinem Namen. Außerdem ist die Anmeldung bei Verisign, gelinde gesagt, bescheuert. Thawte ist da schon etwas billiger und einfacher.

Gibt es auch deutsche CAs ??

Ja, mir fiele hier das Trustcenter ein --> http://www.trustcenter.de/

Sehr verwirrend, dieses SSL  ;-)

Allerdings. :-)

Grüße,
Besim