brauchbares SSL Zertifikat?

Niels Dettenbach linux at eichsfeld.net
Mi Aug 19 17:53:03 CEST 2009


Hallo,


hoffe ich bin hier nicht zu off-topic.

Kann jemand aktuell eine brauchbare wie bezahlbare - in Anwendungssoftware / 
Betriebssystemen weithin "akkreditierte" (d.h. "anwenderfreundliche") SSL-CA 
für Server-Zertifikate empfehlen?

Die Authentifizierung / Authentisierung des Hostnamens / Domain - reicht dabei 
völlig aus.

Bisher arbeite ich mit meiner eigenen CA, allerdings machen gerade die 
aktuellen Browser (inkl. Firefox) aus Endanwendersicht einen "heftigen 
Aufstand", wenn Sie die CA nicht kennen (während man früher noch notfalls 
einen Dialog "wegklicken" musste...). Wir bieten zwar unsere Root-Zertifikate 
zum Download / Import an, das aber bekommen viele einfache Anwender nicht auf 
die Reihe.

Habe u.a. Comodo und EuropeanSSL ausprobiert - die versprechen immerhin 
vollmundig eine "Unterstützung von über 99% aller Browser" - ja, das tut jede 
selbstgestrickte CA per openssl wohl auch... 

Mein Handy wie die einiger unserer Anwender scheinen diese CAs - oder wenn 
doch, dann die verwendeten Root Zerts - gar nicht zu kennen. Verwendet man 
die Zertifikate gar für Email, geht gar nichts mehr ohne deren 
Root-Zertifikate(-kette).

Gute Erfahrungen habe ich u.a. mit Thawte / Verisign machen können - aber die 
nehmens von den Toten...

Projekte wie OpenSSL oder OpenCA & Co. finde ich sehr gut - leider haben die 
offenbar nicht das Geld um es in die akkreditierten Root-CAs von Microsoft, 
Firefox & Co zu schaffen...

Ich habe das Gefühl, der SSL/CA-Markt wird immer mehr zur lukrativen 
Geldschneiderei - auch für die Browserhersteller. Ein SSL-Zertifikat im LAN 
ist (zumindest für HTTP) gar nicht mehr halbwegs anwenderfreundlich 
realisierbar. Schaut man mal etwas ins Detail, scheint es den 
Browserproduzenten gar nicht so sehr um die liebe Sicherheit der User - eher 
um die Gewinnmaximierung mit Jahreslizenzen für CAs zu gehen.

Es wird immer schwieriger Anwendern erklären zu müssen, warum man denn ein 
Zertifikat importieren oder laufend einen Klickmarathon hinlegen muß, wenn 
man mal im Internet-Cafe oder an einem fremden / neuen Handy schnell ins 
WebMail will - zumal das bei unverschlüsselten Seiten gar kein Problem 
scheint. "Bei web.de & Co. geht das doch auch"? 

Ist doch kein Wunder, wenn heute immer noch min. 80% aller Deutschen ihre 
Mails unverschlüsselt mit ihrem Mailserver austauschen.

Warum kann mir z.B. das örtliche Meldeamt nicht meine 
Nutzer-/Server-Zertifikate ausstellen?

Hat hier jemand bessere Erfahrungen machen können? Freue mich über jeden Tip.


Beste Grüße,


Niels.

-- 
  Niels Dettenbach
  ---
  Eichsfelder Linux/UNIX Stammtisch (EICLUSt)
  http://linux.eichsfeld.net
  ---
  business: Syndicat IT&Internet - http://www.syndicat.com
  Heilbad Heiligenstadt / Erbil / Cape Town
  ---
  Kryptoinfo: 
  PGP public key ID 651CA20D
  Fingerprint: 55E0 4DCD B04C 4A49 1586  88AE 54DC 4465 651C A20D
  https://syndicat.com/pub_key.asc
  ---