Christian Seiler: SSL Zertifikat

Beitrag lesen

SELF-Forum

SSL Zertifikat

Christian Seiler Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo Schorsch,

[SSL]
Ist das so korrekt?

Das ist soweit korrekt gemeint, wenn auch die Formulierung arg ungenau ist. Die günstigsten Zertifikate, die ein Browser in der Standardinstallation auch akzeptiert, sind die, die von Thawte signiert wurden: http://www.thawte.com/. Die von VeriSign sind da noch teurer (und das, obwohl man VeriSign IMHO sogar weniger trauen kann, als Thawte, weil sie mindestens einmal einer anderen Person ein microsoft.com-Zertifikat ausgestellt haben - ein Patzer, den sich keine CA erlauben sollte).

Alternativ gibt's noch http://www.cacert.org/ - da gibt's Zertifikate kostenlos (gegen Nachweis, dass man die Domain wirklich besitzt) - allerdings ist dieses Zertifikat nicht bei jedem Browser installiert, aber inzwischen bei doch schon recht vielen Leuten.

Allgemein: Wenn Du ein SSL-Zertifikat willst, musst Du so vorgehen: Du musst Dir ein Schlüsselpaar anlegen. Das besteht aus einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Schlüssel musst Du dann in ein sog. CSR (Certificate Sign Request) packet, bei dem dann Inforamtionen wie Domainname, etc. dazukommen. Dieses CSR schickst Du der CA (Certification Authority). Dann zahlst Du und bekommst Dein Zertifikat zurück. Das Zertifkat und den privaten Schlüssel braucht dann der Webserver. Das Zertifikat kannst Du beliebig weitergeben (auch wenn das nicht wirklich nützlich ist), das besteht lediglich aus Deinem öffentlichen Schlüssel, den Informationen über Domainname und einer Signatur der CA (die dem Browser erst bestätigt, dass das Zertifikat authentisch ist). Du kannst das CSR auch selbst signieren - kostenlos - (das wird dann ein sog. self-signed certificate), das verursacht allerdings _immer_ Warnungen im Browser. Um die Signatur zu erstellen, brauchst Du Deinen privaten Schlüssel. Ich empfehle zu der Thematik ein gutes Buch über Public-Key-Kryptographie sowie darauf aufbauend die Dokumentation des Apache-Webservers, in der das praktische beschrieben wird: http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html#aboutcerts (die Zertifikate / Schlüssel lassen sich auch für andere Webserver verwenden, das Format ist standardisiert).

Viele Grüße,
Christian

Beitrag melden
Informationen zu den Bewertungsregeln