Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Welche Zertifizierungsstelle würdet ihr für SMIME bzw. https empfehlen?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

20.10.2012 um 12:14 Uhr, 6133 Aufrufe, 16 Kommentare

Hallo,

ich bin dabei einen Server von HTTP auf HTTPS umzustellen beziehungsweise den Emailversand mehrerer Adressen (eine Domain) S/MIME zu zertifizieren.
Welche Zertifizierungsstelle würdet ihr da bevorzugen?

VeriSign ist mir ehrlich gesagt preislich etwas zu heftig...
StartSSL Verified Company gefällt mir bisher ganz gut....

Ich wäre froh über einige Meinungen was noch Preis/Leistungstechnisch zu empefhlen wäre oder ob etwas gegen Startssl spricht.

Viele dank schonmal

Theo

Mitglied: filippg
20.10.2012 um 14:42 Uhr
Hallo,

wie stellst du dir denn die technische Infrastruktur vor. Sprich: Wie kommen die Nutzer an ihre S/MIME-Zertifikate? Oder vielleicht noch anders gefragt: Wie viele Nutzer hast du?
Für S/MIME gibt es z.B. Verschlüsselungsgateways, die automatisch Zertifikate von einer "vertrauenswürdigen" CA beziehen. Da das proprietäre Lösungen sind, ist die Menge der verfügbaren CAs eingeschränkt, ich würde also erstmal von der Seite an das Thema gehen.
Wenn du nur eine Hand voll Nutzer hast lohnt da natürlich wenig Aufwand, dann kannst du die Zertifikate einzeln manuell ausstellen. Da muss ich sagen: Ich habe die extremen Preisunterschiede für die verschiedenen CAs noch nie verstanden. Das für mich wichtige Ergebnis ist, dass auf der Gegenseite (Browser, EMail-Empfänger) ein grünes Häkchen dran ist, und das können alle CAs ziemlich genau gleich gut (gerade bei VeriSign hatte ich übrigens schon echt Ärger mit ausgetauschten (bzw. fehlenden) Zwischenzertifikaten).

Gruß

Filipp
Bitte warten ..
Mitglied: theoberlin
20.10.2012 um 15:24 Uhr
Hi Filipp,

Es macht nur eine Einzellizenzierung Sinn da es eine Website sowie 5-10 Mail Adressen sind.
Meinst du mit grünem Hacken die "Trust Bar"?
Bei startssl gibt es halt das schon für 199 Dollar.
Hast du etwas negatives von Startssl gehört?

Viele Grüße
Theo
Bitte warten ..
Mitglied: filippg
20.10.2012 um 16:02 Uhr
Hallo,

Meinst du mit grünem Hacken die "Trust Bar"?
Damit meine ich, dass der Client dem Zertifikat vertraut. Sei es jetzt in einem Browser eine "Trust Bar" (wenn man halt mein, EV zu benötigen) oder einfach nur ein Schloß oder im Mailclient ein Haken an der emfpangenen Mail oder was auch immer. Hängt ja auch vom Client ab.. wichtig ist, wie gesagt, dass dem Zertifikat vertraut wird.

Hast du etwas negatives von Startssl gehört?
Was soll man denn da negatives hören? Bestimmt gibt es Stimmen die behaupten "das ist total unsicher, weil das ist ja so billig, und nur Verisign ist gut, weil das ist teuer". Aber das ist ja nun totaler Blödsinn. Die Verschlüsselung ist immer genau gleich sicher, ob sie nun von VeriSign oder Startssl oder sonstwem kommt - die Schlüssel werden nämlich so oder so bei dir auf dem Computer generiert, und der private Schlüssel darf den auch nie verlassen.
Alles, was ein Zertifikat, tut ist zu bestätigen, dass die Seite, die mir mein Browser anzeigt, auch von der Adresse (www.meinhost.de) kommt, die ich angesurft habe. Bei EV wird zusätzlich noch angegeben, wer diese Seite betreibt.
Jetzt kann ein Nutzer sagen "oh, da steht zwar, dass die Daten von www.meinhost.de kommen, aber das hat nur startssl bestätigt, und nicht verisign - dann verlasse ich die Seite lieber wieder". Aber ich habe noch _nie_ einen Anwender gesehen, der sich dafür interessiert hätte, wer das Zertifikat ausgestellt hat. So lange der Browser "grün" anzeigt ist alles gut.

Gruß

Filipp
Bitte warten ..
Mitglied: theoberlin
20.10.2012 um 16:12 Uhr
Alles klar ,

Vielen Dank ich denke ich werde startssl verwenden .
In der Trustbar steht dann aber schon meine Firma und nicht Startssl oder?

LG
Theo
Bitte warten ..
Mitglied: dog
20.10.2012 um 18:41 Uhr
Ehrlich gesagt schnurz, weil niemand auf den Zertifikat-Chain achtet (höchstens noch auf EV-SSL).
Und mit Sicherheit kann man da bei allen bisher bekannten Lücken auch nicht mehr argumentieren.

Ich benutze für S/MIME grade TrustCenter (weil kostenlos)
Und für SSL http://www.onestepssl.com/ (weil am billigsten).
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2012 um 11:36 Uhr
Moin,

Muß viel mit externe kommuniziert werden?

ggf. reicht es ja auch einfach, selbst zu signieren und den leuten, die das benötigen, die zertifikate zukommen zu lassen, bzw. druch abgleichen des fingerprints zu bestätigen, daß das zertifikat ok ist.
Bitte warten ..
Mitglied: theoberlin
21.10.2012 um 15:07 Uhr
Hallo,

Es geht darum, einen HTTP Kundenserver mit HTTPS auszurüsten da ist selfsigned für mich ein nogo weil die Kunden auf keinen Fall ein "Unbekanntes" oder " nicht vertrauenswürdiges" zu Gesicht bekommen sollen außerdem wäre ein EV Zertifikat was gewünschtes. Start ssl finde ich ganz nett nur missfällt es mir irgendwie die Firmendaten nach Israel zu schicken....
Bitte warten ..
Mitglied: filippg
21.10.2012 um 15:56 Uhr
Hallo,

Ehrlich gesagt schnurz, weil niemand auf den Zertifikat-Chain achtet (höchstens noch auf EV-SSL).
Danke! Du hast in einem Satz ausgedrückt, was ich versuchte in einem Absatz zu erklären.

Gruß

Filipp
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2012 um 17:10 Uhr
Zitat von theoberlin:
Hallo,

Es geht darum, einen HTTP Kundenserver mit HTTPS auszurüsten da ist selfsigned für mich ein nogo weil die Kunden auf
keinen Fall ein "Unbekanntes" oder " nicht vertrauenswürdiges" zu Gesicht bekommen sollen

Moin,

Deswegen fragte ich ja, ob das eine Option wäre.

Allerdings sind die gekauften zertifikate geausowenig "vertrauenswürdig" wie die selbstsignierten. Im Gegenteil, wenn man diginotar & co. sieht, sind die sogar noch gefährlicher als die selbstsignierten, weil man sich in falscher Sicherheit wiegt.

lks
Bitte warten ..
Mitglied: theoberlin
21.10.2012 um 17:40 Uhr
Aloha,

priorität ist hat wirklich, dass der Kunde ein gültiges Zertifikat findet welches ohne irgendwelche Zweifel als sicher erscheint.

Das ein Selbstsignietes unter Umständen soagr sicherer sein kann da gebe ich dir völlig Recht und für interne Anwendungen würde ich das auch vorziehen da man weiß was man hat^^..

Aber sobald es nach draußen geht brauch ich etwas was auch bei unbedarften Kunden keine Unsicherheit erzeugt...
Deswegen Startssl...da bekomme ich ein EV-SSL für 200 Dollar mit einer unbegrezten Anzahl an Class 2 Zertifikaten für die Mails...nur der Sitz in Israel schreckt mich ab wegen der Firmendaten die man ja logischerweise im Detail angeben muss....
Wie würdet ihr da entscheiden bzw. kennt jemand einen Anbieter mit einem ähnlichen Preis Leistungsverhältnis?...

Lg
Theo
Bitte warten ..
Mitglied: AndiEoh
21.10.2012 um 22:16 Uhr
Hallo

Bitte trennen zwischen Verschlüsselung und Authentifizierung. Die Sicherheit der Verschlüsselung ist völlig unabhängig davon wer dein Zertifikat unterschreibt. Die Authentifizierung ist wie du schon selbst bemerkt hast für die meisten Gegenüber nur bis zu dem Punkt nachvollziehbar, bei dem ein buntes Schloss im Browser angezeigt wird. Also kauf dir das ein was zum günstigsten Preis den Zweck erfüllt. Wenn die Authentifizierung wirklich sicher sein soll könnt Ihr euch immer noch die Hashwerte am Telefon vorlesen.

Gruß

Andi
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2012, aktualisiert um 22:58 Uhr
Zitat von AndiEoh:
Hallo

Bitte trennen zwischen Verschlüsselung und Authentifizierung. Die Sicherheit der Verschlüsselung ist völlig
unabhängig davon wer dein Zertifikat unterschreibt.>

Eben nicht.

Und man bekommt keine sichere Verschlüsselung mit public keys, wenn die Authentizität des gegenübers nicht sichergestellt ist. Denn es könnte geneusogut ein MITM sein. Das ist ja die Krux mit den ganzen liederlichen Truscentern, die entweder nicht genau prüfen, oder sich hacken lassen.

lks

PS: Man sollte sich Hashwerte immer geben lassen, wenn man mitm ausschließen will. Insbesondere beim online-Banking sollte man die hash-werte prüfen. Allerdings sind da manche Bankmitarbieter doch etwas unbedarft, weil die einfach Ihren Browser aufmachen wollen und dann die Hashwerte, die sie über das Internet bekommen vorlesen wollen, statt diese direkt von Ihrem zertifikat auszulesen.
Bitte warten ..
Mitglied: AndiEoh
22.10.2012 um 12:57 Uhr
Zitat von Lochkartenstanzer:
> Zitat von AndiEoh:
> ----
> Hallo
>
> Bitte trennen zwischen Verschlüsselung und Authentifizierung. Die Sicherheit der Verschlüsselung ist völlig
> unabhängig davon wer dein Zertifikat unterschreibt.>

Eben nicht.

Und man bekommt keine sichere Verschlüsselung mit public keys, wenn die Authentizität des gegenübers nicht
sichergestellt ist. Denn es könnte geneusogut ein MITM sein. Das ist ja die Krux mit den ganzen liederlichen Truscentern, die
entweder nicht genau prüfen, oder sich hacken lassen.

Das ist genau der Punkt. Die Verschlüsselung kann von unbeteiligten Dritten nicht gebrochen werden, durch MitM wird der Angreifer aber zum Beteiligten. Die Authentifizierung ist deshalb getrennt zu betrachten.
Um wirklich "sicher" zu sein müsste man über einen unabhängigen Kanal z.B. den Hashwert prüfen. Allerdings ist für die meisten schon das überprüfen ob https anstatt http verwendet wird zu aufwendig. Deshalb ist es völlig belanglos von welcher CA die Zertifikate unterschrieben sind, da es zumindest besser als unverschlüsselt ist und ein wirklich sicheres Verfahren sich niemals durchsetzen lässt, weil dazu beim Anwender zumindest fundametale Sicherheitskenntnisse benötigt werden.
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2012, aktualisiert um 13:41 Uhr
Zitat von AndiEoh:
> Zitat von Lochkartenstanzer:
> ----
> > Zitat von AndiEoh:
> > ----
> > Hallo
> >
> > Bitte trennen zwischen Verschlüsselung und Authentifizierung. Die Sicherheit der Verschlüsselung ist
völlig
> > unabhängig davon wer dein Zertifikat unterschreibt.>
>
> Eben nicht.
>
> Und man bekommt keine sichere Verschlüsselung mit public keys, wenn die Authentizität des gegenübers nicht
> sichergestellt ist. Denn es könnte geneusogut ein MITM sein. Das ist ja die Krux mit den ganzen liederlichen
Truscentern, die
> entweder nicht genau prüfen, oder sich hacken lassen.

Das ist genau der Punkt. Die Verschlüsselung kann von unbeteiligten Dritten nicht gebrochen werden, durch MitM wird der
Angreifer aber zum Beteiligten. Die Authentifizierung ist deshalb getrennt zu betrachten.

Eben nicht.

Das Ziel ist es doch, wenn Alice und Bob miteinander reden, daß Cäsar nicht mitbekommt, was die reden.

Wenn nun nicht geprüft wird, mit wem man redet, kann sich Cäsar einfach dazwischen stellen und zu Alice so tun, als ob er Bob wäre und zu Bob, als ob er Alice wäre. Damit hat ein "unbeteiligter" dritter die Kommunikation abgehört und mußte dafür nciht einmal die verschlüsselugn brechen. Genau deswegen muß die Authentifikation immer besdtandteil eines Schlüsselaustausches sein und genau deswegen wurden auch zertifikate "erfunden".

lks
Bitte warten ..
Mitglied: AndiEoh
22.10.2012 um 15:02 Uhr
In der Sache sind wir uns ja einig aber bitte um Verwirrung zu vermeiden beim korrekten Vokabular bleiben.
Verschlüsselung ist z.B. AES bzw. Schlüsseltausch über RSA. Die Authentifizierung kommt erst durch die PKI mit Ihren Vertrauensstellungen rein und ist nur insofern mit der Verschlüsselung verheiratet das sie wegen des Schlüsseltausches benötigt wird um festzustellen mit wem ich Schlüssel tausche. Wenn man schon das "Ziel" (Alice,Bob etc.) ins Gespräch bringt sollte man von einer sicheren Verbindung sprechen und nicht von Verschlüsselung.
Aus genau diesem Grund hört man sonst immer wieder den Quatsch von Verschlüsselung gebrochen wenn wieder mal die Authentifizierung entweder weggelassen wurde oder umgangen werden kann.

Ist aber nun OT und sollte beendet werden.

Gruß

Andi
Bitte warten ..
Mitglied: Lochkartenstanzer
25.10.2012 um 18:37 Uhr
Hier noch eine Meldung von heise zu dem Thema:


http://www.heise.de/security/meldung/SSL-Zertifikate-und-der-gefaehrlic ...


Wie ich (implitzit) schon sagte: Die größte Schwachstelle ist die Prüfung des Zertifikats der Gegenstelle.

lks
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Veracrypt: Welcher Algorithmus ist bei der Verschlüsselung zu empfehlen? (6)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Windows Netzwerk
SMIME verschlüsselte Mails auf Terminal Server (5)

Frage von Mun-dee zum Thema Windows Netzwerk ...

SEO
Wie funktioniert eine HTTPS Verschlüsselung? (5)

Frage von Yanmai zum Thema SEO ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...