Hallo zusammen!

Heute möchte ich etwas über die Gelddruckerei SSL - Zertifikate schreiben.

SSL ist eine Methode zur Verschlüsselung der Übertragung beim Aufruf einer Internetseite. Stark vereinfacht funktioniert das Verfahren wie folgt:
Eine im Betriebssystem / im Browser hinterlegte SSL - Zertifizierungsstelle signiert ein digitales Zertifikat eines Antragsstellers mit der eigenen Signatur, nachdem diese die Identität und die Berechtigung des Antragsstellers, für eine bestimmte Internetadresse ein SSL Zertifikate anfordern zu dürfen, überprüft hat. Somit soll zum einen die Verbindung verschlüsselt werden und zum anderen sichergestellt werden, das nicht jeder Kinz und Kunz sein eigenes Zertifikat für eine bestimmte Domain einfach so auf einem eigenem Webserver installiert und somit, nach erfolgreichem Hijacking einer Domain, dem Besucher vorgaukeln zu können er könne seine privaten Daten ungefährdet in jedes Formular dort eingeben.

Solche Zertifizierungsstellen nehmen richtig viel Geld dafür, eine ca. 300 - 1000 KB große Datei minimal zu verändern; der Zeitaufwand hierfür beträgt ca. 5 Sekunden. Was man so teuer bezahlt (das günstigste mir bekannte Zertifikat kostet mit 1 Jahr Gültigkeit 190 €!!) ist der administrative Aufwand, wirklich zu prüfen, um wen es sich beim Antragssteller handelt. Bei den teureren Zertifikaten (ab ca. 350 €) beschränkt sich diese Prüfung darauf, den beim Antrag angegebenen Namen mit dem Namen aus der *NIC - Whois Datenbank zu vergleichen (z.B. für Deutschland/.de - Domains: DeNIC) und das Zertifikat nur an eMailadressen die auf @beantragterDomain.de enden zuzustellen.

Das ist nicht gerade ein Aufwand, der in meinen Augen den Preis von 350 € rechtfertigt! Das ganze läßt sich dann auch noch weiterspinnen; bei GeoTrust bezahlt man für das Rundum-Valide-Sorglos - Paket pro Jahr 995€! ... spinnen die?

Als Privatanwender, der einfach so mal seine private, nicht kommerzielle Webseite absichern will, ist das natürlich alles andere als vertretbar. Somit hat man eigentlich nur die Möglichkeit auf eine Absicherung durch SSL zu verzichten, oder sein eigenes Zertifikat zu erstellen. Letzteres wird aber in der Regel von allen Browsern als ungültig eingestuft, da der öffentliche Schlüssel dieser eigenen Zertifizierungsstelle natürlich ebenso erstmal als nicht vertrauenswürdig eingestuft wird.

Seit kurzem gibt es auch Business - taugliche Alternativen zu den ... ich nenne sie mal "großen", TrustCenter und GeoTrust: Comodo! Die PSW Group verkauft seit einiger Zeit Zertifikate von Comodo, die an sich dasselbe leisten wie die teureren Alternativen, jedoch zu einem Bruchteil der Preise! Ein Standard 1-Jahres-SSL Zertifikat kostet derzeit z.B. 15,- € . Ein 3-Jahres-Zertifikat 39,- € und ein 3-Jahres-Wildcard SSL Zertifikat "nur" 549,- €. Zum Vergleich:


             [GeoTrust](htt [Thawte](http: [VeriSign](htt [PSW
             p://www.geotru //www.thawte.d p://www.verisi Group](http://
             st.com/de/ssl/ e/SSL-digitale gn.de/ssl/buy- www.psw.net/ss
             compare-ssl-ce -zertifikate/s ssl-certificat l-zertifikate.
             rtificates.htm sl123/index.ht es/secure-site cfm "Homepage 
             l "Homepage vo ml "Homepage v -services/inde von PSW ( Zert
             n GeoTrust ( S on Thawte (SSL x.html "Homepa ifikatsübersic
             SL Übersicht ) 123 Zertifikat ge von VeriSig ht )")
             ")             sübersicht)")  n ( Zertifikat 
                                           sübersicht )")

1 Jahr 189,- € 101,30 € 349,- € 15,- € Standardzertif (QuickSSL® Preisübersich L123")) certificates/i t")) ndex.html "Ver iSign Secure S ite"))

3 Jahre 2488,- €\ - Nur - Nicht 549,- € Wildcard ([True aufAnfrage oTrust True Bu dcard Zertifik
sinessID Wildc ate")
ard Bestellfor -
mular mit Prei
sübersicht"))


Alle Preise wurden der Einfachheit halber in € umgerechnet. Stand dieser Informationen ist der 11.10.2009 - 16:50 Uhr.

Ich arbeite nun schon länger mit den PSW Zertifikaten und konnte bisher noch keinerlei Probleme damit feststellen. Wie auch - die anderen Aussteller kochen auch nur mit Wasser und erfinden die SSL Technik nicht neu. Im Gegenteil: Meine Erfahrung ist die, das GeoTrust und VeriSign unheimlich unflexibel und Kundenunfreundlich sind. Mehrere Bestellungen musste ich wieder stornieren, weil diese Anbieter sich als unfähig erwiesen haben, trotz eindeutiger Identitäts- und Vollmachtsnachweisen so etwas simples wie die Empfängermailadresse für das Zertifikat anzupassen.

Über den Kundenservice von PSW kann ich bisher nur gutes berichten. Der Support ist lösungsorientiert und freundlich, und bisher konnten alle Fragen die ich stellte nach kürzester Zeit beantwortet werden.

Doch auch 15,- € sind für viele Privatleute (mich eingeschlossen) zu teuer. Schließlich will ich damit kein Geld machen und einen Shop oder ähnliches absichern, sondern lediglich den Backendzugang zu meinem CMS und den Zugang zu einer handvoll Webapplikationen wie einem WebMailer und einer Kalenderapplikation.

Seit kurzem gibt es auch hierfür eine super Alternative! Wie diesem Heise - Artikel zu entnehmen ist, gibt es schon seit längerem mehrere SSL Anbieter, die kostenlose Standard-SSL Zertifikate ausstellen. Bisher war das jedoch nicht wirklich eine Alternative, da die Integration dieser Zertifikate an der verbohrten Rückständigkeit des Internet Explorers gescheitert wäre, der bisher diesen Anbieter nicht als vertrauenswürdige Zertifizierungsstelle in seinen Listen hatte. Doch nun ist es mit dem neuen IE8 möglich ein solches Zertifikat zu verwenden und somit auch für privatleute interessant.

Unter http://www.startssl.com kann sich nun jeder anmelden und die kostenlosen "StartSSL Free" Zertifikate beantragen.

Ich verwende es für die oben genannten Dienste und es funktioniert problemlos; im Firefox schon lange, doch im IE8 nun (endlich) auch ;)

Teilen per: TwitterEmail


Comments

comments powered by Disqus