Hallo!

Bist Du Dir sciher, das es sich dabei nicht um Hoster handelt, die das im Paket mit anbieten?

Ja, ich hab so eins, sogar mehrere ;-) http://freessl.com/, dafür gibts auch noch günstigere Reseller in D :)

Dagegen ist natürlich nichts zu sagen, beileibe nicht, aber es ist nunmal nicht das Gleiche wie eines, das auf die eigene Firma ausgeschrieben ist.

Jepp. Aber wie gesagt, die Zertifikate wurden direkt auf mich ausgestellt, keine Zwischenzertifikate, genau so wie von den "Großen", halt mit schlechterer Browser-Unterstützung...  aber für bestimmte Zwecke reicht es (kommt AFAIK irgendwo von GeoTrust). Und selbst für IE4 und NN4 gibt es für deutlich unter 100 USD.

Naja, das das nicht so einfach ist, ist klar. Aber auch kein wirkliches Problem, da z.B. bei der Lösung mit Javascript Einmalhashes verwendet werden bzw sogar ein kompletter Handshake durchgeführt werden kann.

Habe sowas allerdings noch nie "live und in Farbe" gesehen. Weißt Du wo sowas eingesetzt wird?

Auch nach all den Jahren noch? RFC 2617 ist immerhin von 1999!

Von wann war noch gleich der IE5/6? ;-)

Aber was soll man außer SSL sonst nehmen?

nen SSH-Tunnel? ;-)

Kerberos? Ist ein Standard den MS erfolgreich verhunzt hat.
Nein, AUTH-Digest ist für eine reine Paßwortübertragung ausreichend sicher.

das bezweifel ich nicht.

Aber mehr auch nicht, _nur_ für die halbwegs sichere Übertragung des Paßwortes!

jepp.

Ein Problem sehe ich darin, dass mod_ssl/openssl letzte Zeit des öfteren durch mehr oder weniger gefährliche Bugs aufgefallen sind -> zusätzliches Risiko.

Ähmm, Du implizierst also, das es keine Bugs gibt, wenn keine bekannt sind?

mache ich das? Ich sage nur, dass es mir so vorkommt, dass mod_ssl in letzter Zeit des öfteren aufgefallen ist. Und ich befürchte halt, dass wenn in einer so populären Software über einen längeren Zeitraum regelmäßig Lücken gefunden werden, dass dies evtl. mehr oder weniger so weitergeht ;-)
Und ich rechne auch damit, dass die Lücken bekannt werden bevor meine Distribution ein Patch bereit stellt...

Und ja, ich rechne auch damit dass noch viele Fehler enthalten sind, die noch nicht bekannt sind, oder nicht öffentlich...

Was ich damit aber meine, ist dass mod_ssl merklich ein zusätzliches Sicherheitsrisiko birgt, und dass ich drauf verzichten würde, wenn ich es nicht wirklich brauche.

Grüße
Andreas