Hallo, meine Seite ist über zwei Server verteilt: Server 1: my.tld www.my.tld abc.my.tld Server 2: service.my.tld xyz.my.tld Ist es jetzt besser: 1) Ein "großes" Zertifikat mit allen Subdomains zu erstellen und auf Server 1 & 2 zu verteilen 2) Zwei Zertifikate (für jeden Server eins) zu erstellen und dort nur die nötigen Subdomains einzutragen? Vorteil von 1) wäre, dass jeder Server ohne große Änderung die anderen Domains bedienen kann (für Wartung, Ausfall etc.). Vorteil von 2) wäre, dass ein Angreifer nur wenige Domains kapern kann (für die eben der Server zuständig war), anstatt sich z.B. auch als Hauptseite ausgeben zu können. Wie würdet ihr das machen? Und noch ein Zusatzfrage: Wo lagert ihr die Zertifikate/priv. Schlüssel, nachdem sie auf dem Server installiert sind? Die sind ja IMHO relativ heikel... P.S. Ich verwende Startssl, habe also keine Zusatzkosten für weitere Zertifikate.
Tr schrieb: > P.S. Ich verwende Startssl, habe also keine Zusatzkosten für weitere > Zertifikate. die bieten doch keine Wildcards an oder nicht? Damit bleibt doch nur Variante 1 übrig. Private-Key muss eh auf dem Server liegen, damit Apache & Co es verwenden können oder willst du es jedes mal beim starten manuell eingeben?
Schau dir mal letsencrypt an! Generell kann niemand was mit deinem privaten key anfangen solange er nicht man-in-the-middle spielt... Wie du die zertifikate aufteilst ist Geschmacksache. Sobald jedoch hsts zum einsatz kommt ist es ggf. Sinnvoller 1 zertifikat zu verwenden
Peter II schrieb: > die bieten doch keine Wildcards an oder nicht? Damit bleibt doch nur > Variante 1 übrig. Doch klar, sobald man sich Class 2 oder Class 3 validiert hat. Sie verlangen halt Geld für den Validierungsprozess. Aber das ist quasi nichts im Vergleich zu manch anderen Anbietern bei denen man 100€+ latzt für ein Wildcardzertifikat.
es gäbe noch Variante 3: für jede Subdomain ein eigenes Cert erstellen und dann den Webserver über SNI das jeweils passende an den Client liefern lassen. Gerade wenn Du EV-Certs haben möchtest ist das sinnvoll weil dort Wildcards nciht möglich sind.
Ich würde pro Server eins erstellen. Hat den Vorteil, dass wenn du am Server 1 irgendwas änderst, du nicht das Zertifikat von Server 2 mitziehen musst. Mit letsencrypt erstellst du dir für z.B. Server 1 ein Zertifikat mit genau den domain-Namen, die du zertifizieren willst
D. I. schrieb: >> die bieten doch keine Wildcards an oder nicht? Damit bleibt doch nur >> Variante 1 übrig. > > Doch klar, sobald man sich Class 2 oder Class 3 validiert hat. Hier steht aber: https://community.letsencrypt.org/t/frequently-asked-questions-faq/26 [...] Will Let’s Encrypt issue wildcard certificates? We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains. [...]
Risiko des gemeinsamen Wildcard-Zertifikats ist, dass wenn ein Server kompromittiert ist, du auf allen Servern neue Zertifikate ausrollen musst. Ich würde trotzdem ein gemeinsames Wildcard-Zertifikat nehmen. 1. funktioniert es auch bei ganz alten Browsern, die kein SNI können. 2. Kannst du nach belieben noch weitere Subdomains nutzen ohne dich um das Zertifikat zu kümmern (z.B. test-....my.tld) 3. Bist du flexibler, wenn du mal Seiten hin und herrangieren musst. Wenn auf einem Server mal was kaputt sein sollte ist es einfach, beliebige Subdomains auf den anderen Server um zu ziehen. Du kannst sogar alles auf beiden Server installieren und die zweite Instanz als Cold-Standby oder testing-Umgebung nutzen. Irgendwas kaputt gemacht? DNS zurückgestellt, geht wieder. (TTL beachten)
Falls das Wildcard kompromittiert ist, sind alle Subdomains kompromittiert.
Peter II schrieb: > D. I. schrieb: >>> die bieten doch keine Wildcards an oder nicht? Damit bleibt doch nur >>> Variante 1 übrig. >> >> Doch klar, sobald man sich Class 2 oder Class 3 validiert hat. > > Hier steht aber: Die Rede war von StartSSL
Tilo R. schrieb: > Ich würde trotzdem ein gemeinsames Wildcard-Zertifikat nehmen. > 1. funktioniert es auch bei ganz alten Browsern, die kein SNI können. Man kann mit Let's Encrypt mehrere Domainnamen in ein Zertifikat packen, dan ist SNI nicht notwendig. Ich habe einen Server mit einem Container, an welchen ich Anfragen für /.well-known/ umleite. Darin lasse ich Let's Encrypt laufen und kopiere das Zertifikat auf die Server. > 3. Bist du flexibler, wenn du mal Seiten hin und herrangieren musst. Man kann doch mehrere Zertifikate auch einfach Zusammenkopieren, oder? Nunja, wenn die Leute darauf bestehen, Geld rauszuwerfen, kann man nichts machen...
Daniel A. schrieb: > Man kann doch mehrere Zertifikate auch einfach Zusammenkopieren, oder? Kann man natürlich machen, bringt nur nichts. Ohne SNI kann der Server nur genau ein Zertifikat präsentieren. Mit SNI wählt er genau ein Zertifikat aus, das man für den angefragten FQDN konfiguriert hat.
Ältere SW kommt manchmal mit SNI nicht zurecht. Wenn da also mehr als nur Webbrowser unterwegs sind, sollte man das vorher ausführlich testen...
Georg A. schrieb: > Ältere SW kommt manchmal mit SNI nicht zurecht. Wenn da also mehr als > nur Webbrowser unterwegs sind, sollte man das vorher ausführlich > testen... Nicht mal jede HTTPS-Java-Bib für Android beherrscht SNI, ... (traurigerweise)
D. I. schrieb: > Nicht mal jede HTTPS-Java-Bib für Android beherrscht SNI, ... > (traurigerweise) Android... Einige Apps prüfen da ja nichteinmal die SSL Zertifikate, z.B. Pokemon Go: https://mobile.twitter.com/DennisCode/status/751592223330881536?p=v
Beitrag #4937868 wurde von einem Moderator gelöscht.
@Moderator Ich weiß nicht, weshalb mein Beitrag gelöscht wurde. Es wurde nach einer persönlichen Meinung gefragt, wie man es am besten machen kann. Ich habe meine Meinung bzw. meine Voraussetzung und meine Lösung aufgezeigt und wie man diese am günstigen erzielen kann. Ich denke mein Beitrag war sehr hilfreich. Die Frage ist schön etwas ein halbes Jahr alt. Aber für Tr und andere Leute ist/kann es (immer noch) interessant sein. Naja ich werde mich zukünftig um andere Foren umschauen, es macht hier kein Spaß. Da hier scheinbar ziemlich stark zensiert. VG Tobi PS: Ich werde ohne Angaben von Namen und Links den Beitrag nochmals posten. Soll sich TR eben selbst umschauen wo er Zertifikate von C** unter 9EUR für 1 Jahr erhält.
@ Tr Ich habe eine ähnliche Serveraufteilung, wobei auf einem Root-Server mehrere Virtuelle-Server installiert sind. Ich verwende für jede Domain bzw. Sub-Domain ein separates SSL-Domain-Zertifikat. Das bedeutet in deinem Fall musst du 5-mal ein Zertifikat erstellen. Für mich war der Hauptgrund der Preis. Wenn du einen günstigen SSL-Händler hast kommst du unter 50EUR pro Jahr für alle SSL Zertifikate. Als kleiner Tipp, ich nehme die *** Zertifikate von *** die sind extrem günstig und ich hatte bis jetzt nur gute Erfahrungen mit *** gemacht. VG Tobi
Also an der Stelle muss ich auch sagen, daß ich das Löschen des Beitrags nicht gut finde. Ich habe den Original-Beitrag von Tobi vor der Löschung gelesen. Da der Anbieter im Vergleich zu anderen günstiger ist, habe ich ihn gleich in meine Bookmarks aufgenommen. Einen Austausch über günstige Angebote hier im Forum finde ich sehr nützlich, das hat mir schon ne Menge Sucherei gespart. So, und damit die anderen auch was davon haben, hier nochmal der Link von Tobi: https://goto-ssl.de/ Und ja, ich kenne letsencrypt. Aber mit den 3 Monaten Laufzeit ist das nur dort praktikabel, wo ein automatisches Verlängern möglich ist. Aber das ist es bei weitem nicht bei allen Systemen, die heutzutage ein Zertifikat brauchen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.