brauchbares SSL Zertifikat?
Niels Dettenbach
linux at eichsfeld.net
Mi Aug 19 17:53:03 CEST 2009
Hallo,
hoffe ich bin hier nicht zu off-topic.
Kann jemand aktuell eine brauchbare wie bezahlbare - in Anwendungssoftware /
Betriebssystemen weithin "akkreditierte" (d.h. "anwenderfreundliche") SSL-CA
für Server-Zertifikate empfehlen?
Die Authentifizierung / Authentisierung des Hostnamens / Domain - reicht dabei
völlig aus.
Bisher arbeite ich mit meiner eigenen CA, allerdings machen gerade die
aktuellen Browser (inkl. Firefox) aus Endanwendersicht einen "heftigen
Aufstand", wenn Sie die CA nicht kennen (während man früher noch notfalls
einen Dialog "wegklicken" musste...). Wir bieten zwar unsere Root-Zertifikate
zum Download / Import an, das aber bekommen viele einfache Anwender nicht auf
die Reihe.
Habe u.a. Comodo und EuropeanSSL ausprobiert - die versprechen immerhin
vollmundig eine "Unterstützung von über 99% aller Browser" - ja, das tut jede
selbstgestrickte CA per openssl wohl auch...
Mein Handy wie die einiger unserer Anwender scheinen diese CAs - oder wenn
doch, dann die verwendeten Root Zerts - gar nicht zu kennen. Verwendet man
die Zertifikate gar für Email, geht gar nichts mehr ohne deren
Root-Zertifikate(-kette).
Gute Erfahrungen habe ich u.a. mit Thawte / Verisign machen können - aber die
nehmens von den Toten...
Projekte wie OpenSSL oder OpenCA & Co. finde ich sehr gut - leider haben die
offenbar nicht das Geld um es in die akkreditierten Root-CAs von Microsoft,
Firefox & Co zu schaffen...
Ich habe das Gefühl, der SSL/CA-Markt wird immer mehr zur lukrativen
Geldschneiderei - auch für die Browserhersteller. Ein SSL-Zertifikat im LAN
ist (zumindest für HTTP) gar nicht mehr halbwegs anwenderfreundlich
realisierbar. Schaut man mal etwas ins Detail, scheint es den
Browserproduzenten gar nicht so sehr um die liebe Sicherheit der User - eher
um die Gewinnmaximierung mit Jahreslizenzen für CAs zu gehen.
Es wird immer schwieriger Anwendern erklären zu müssen, warum man denn ein
Zertifikat importieren oder laufend einen Klickmarathon hinlegen muß, wenn
man mal im Internet-Cafe oder an einem fremden / neuen Handy schnell ins
WebMail will - zumal das bei unverschlüsselten Seiten gar kein Problem
scheint. "Bei web.de & Co. geht das doch auch"?
Ist doch kein Wunder, wenn heute immer noch min. 80% aller Deutschen ihre
Mails unverschlüsselt mit ihrem Mailserver austauschen.
Warum kann mir z.B. das örtliche Meldeamt nicht meine
Nutzer-/Server-Zertifikate ausstellen?
Hat hier jemand bessere Erfahrungen machen können? Freue mich über jeden Tip.
Beste Grüße,
Niels.
--
Niels Dettenbach
---
Eichsfelder Linux/UNIX Stammtisch (EICLUSt)
http://linux.eichsfeld.net
---
business: Syndicat IT&Internet - http://www.syndicat.com
Heilbad Heiligenstadt / Erbil / Cape Town
---
Kryptoinfo:
PGP public key ID 651CA20D
Fingerprint: 55E0 4DCD B04C 4A49 1586 88AE 54DC 4465 651C A20D
https://syndicat.com/pub_key.asc
---