Archiv verlassen und diese Seite im Standarddesign anzeigen : Alternative zu StartSSL/Startcom
The_Invisible
2016-11-02, 12:37:52
Hallo,
da wir doch viele Zertifikate von StartSSL besitzen (kostenlose und bezahlte) und nun deren Vertrauen entzogen wurde/wird, sind wir auf der Suche nach Alternativen.
Was gibt es da vergleichbares am Markt? cacert ist ja auch am absteigenden Ast, Lets Encrypt hört sich zwar mal super an aber das Cert gilt nur 3 Monate und sie bieten kein s/mime an.
Kostenlose Zertifikate haben wir gerne für kleinere Projekte bzw. auch Tests verwendet oder sogar für Websites die kein besseres Zertifikat bedurften.
Danke & Mfg
lumines
2016-11-02, 12:42:32
Lets Encrypt hört sich zwar mal super an aber das Cert gilt nur 3 Monate und sie bieten kein s/mime an.
Die Idee ist, dass man die Zertifikatserneuerung automatisieren sollte. Das Ziel ist wohl, dass die LE-Zertifikate irgendwann nur noch ~7 Tage gültig sein sollen. Mit Certbot ist das eigentlich auch kein Problem.
Bei let's encrypt laesst es sich doch schoen automatisieren, sodass du immer neue gueltige Zertifikate bekommst. Ich habe aber auch noch nie s/mime gebraucht...
The_Invisible
2016-11-02, 20:02:52
Weiß ja nicht, mir ist nicht so wohl dabei wenn irgend ein tool an meiner apache config "herumpfuscht" und services reloaded. Habs mal soweit konfiguriert das nur Certs ausgestellt und abgelegt werden. Mal schauen wie es sich bewährt.
Für interne Tests bzw. Entwicklung ist es trotzdem suboptimal. Wenn die Server nur intern bzw. eingeschränkt DMZ mäßig stehen will ich nicht immer Firewall freischalten.
Für Mail gibts ja trotzdem nichts.
Wenns so weitergeht kann man sich bald eine eigene CA für solche Sachen erstellen mit dem entsprechenden Deploy-Wahnsinn. :freak:
lumines
2016-11-03, 10:43:32
Weiß ja nicht, mir ist nicht so wohl dabei wenn irgend ein tool an meiner apache config "herumpfuscht" und services reloaded. Habs mal soweit konfiguriert das nur Certs ausgestellt und abgelegt werden. Mal schauen wie es sich bewährt.
Es gibt auch noch andere ACME-Clients, z.B. Dehydrated. Der unterstützt auch DNS als Challenge.
The_Invisible
2016-11-04, 13:13:31
Es gibt auch noch andere ACME-Clients, z.B. Dehydrated. Der unterstützt auch DNS als Challenge.
Danke, werde ich mir mal anschauen. Ganz zufrieden bin ich aber trotzdem nicht, vor allem wenn die Laufzeit noch verringert wird. :D
lumines
2016-11-04, 13:16:44
Hab ich mir auch anfangs gedacht, aber man lebt schon etwas entspannter, wenn man das automatisiert hat und nicht jede Zertifikaterneuerung zu einem großen Ritual wird.
sei laut
2016-11-09, 15:34:13
Wenn man einen Proxy nutzt, ist das mit lets encrypt nervig.
Klar kann man einen ssh connect aufs Backend machen, um die Datei für http auth zu generieren..
Zudem: Lets encrypt ist toll, aber darf nicht alleinige Antwort sein. Denn auch dieses System kann mal Probleme haben und dann steht man doof da.
foobi
2016-11-09, 20:58:22
Ist die Anforderung dass die Zertifikate kostenlos ausgestellt werden? Geht aus dem ersten Beitrag nicht ganz hervor. Oder gibt es andere Kriterien?
lumines
2016-11-09, 21:01:53
Wenn man einen Proxy nutzt, ist das mit lets encrypt nervig.
Klar kann man einen ssh connect aufs Backend machen, um die Datei für http auth zu generieren..
Moment, wie soll man es sonst machen?
Wenn es dein Proxy ist, den nur du benutzt, kannst du doch auch einfach selbstsignierte Zertifikate benutzen. Das wäre sowieso sicherer, weil man dann dem ganzen CA-System nicht trauen muss.
sei laut
2016-11-10, 09:05:58
Moment, wie soll man es sonst machen?
Den Scheiß lassen mit dauerhafter Erneuerung nach x Tagen.
Mir ist schon klar, warum es so ist, bitte keine Ausfürhung dazu.
*¹
Aber da Lets Encrypt von der Mozilla Founation unterstützt wird und das absägen von Startcom Mozilla forciert - naja, schade.
*¹
Mein eigentliches Problem ist im Grunde, dass ich bislang nur noch nichts eigenes gebastelt habe und die ganzen Scripte das nicht vorsehen. ;(
Wenn ich mal Zeit zu habe, schaue ichs mir an.
The_Invisible
2016-11-13, 12:28:33
Ist die Anforderung dass die Zertifikate kostenlos ausgestellt werden? Geht aus dem ersten Beitrag nicht ganz hervor. Oder gibt es andere Kriterien?
Naja, wie gesagt, für Tests und/oder in der Projektphase waren so kostenlose Zertifikate schon super wenns. zb unter einer Kundensubdomain laufen soll und nicht immer dafür zahlen braucht.
Die Browser sind nun doch schon lästig geworden das sie immer nachfragen wenn ein ungültiges Zertifikat verwendet wird und das wird sicher nicht besser.
Zudem gibts ja nicht nur Webserver sondern auch andere Dienste bzw. Schnittstellen wo man Zertifikate brauchen würde. Auch für Mailserver wo zb gar kein Webserver läuft.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.