Abenteuer StartSSL – Ein SSL-Zertifikat für „kost nix“

StartCom bietet über StartSSL ein kostenfreies SSL-Zertifikat an. An und für sich und für’s Testen oder den Einstieg in die Welt der öffentlichen Zertifikate eine gute Idee. Das Abenteuer beginnt mit der Registrierung.

Um „schnell & einfach“ an ein SSL-Zertifikat zu gelangen, muss man die „Express Lane“, die über das Control Panel erreicht wird, nutzen. Zunächst sind die persönlichen Daten einzugeben, also Name, Anschrift, Land usw. Der erste Versuch sah zunächst gut aus, endete aber in einer Fehlermeldung. Beim zweiten Versuch konnte zwar das Land, aber nicht das Bundesland richtig ausgewählt werden. Ich hab‘ keine Ahnung, von welchem Land mir an dieser Stelle die Bundesländer angezeigt wurden, jedenfalls tauchten mir bis dato unbekannte Namen auf.

Alle guten Dinge sind drei oder vier

Hat man es endlich geschafft über diese erste Hürde drüber zu springen, ist die Eingabe eines Verifizierungscodes, der per E-Mail geschickt wird, notwendig.

Ist der Code eingegeben (copy & paste tut’s auch), darf man bis zu sechs Stunden auf die Freigabe warten. In meinem Fall kam die Freigabe, mit einem weiteren Code, innerhalb von 10 Minuten. Allerdings darf man nun bis zu 24 Stunden warten, bis das Konto freigeschaltet wird. Auch hier dauerte es bei mir nur wenige Minuten.

Langsam wird es ernst

Ist man soweit gekommen, darf man zunächst die Stärke des Schlüssel, 2048 oder 1024 auswählen. Ersteres ist vorausgewählt und sollte so belassen werden.

Nach diesem Schritt wird ein Zertifikat ausgestellt und gleich in den Browser installiert. In meinem Fall Google Chrome. Dieses Zertifikat sollte man sichern.

Zur Erklärung: Dieses Zertifikat dient der Anmeldung bei StartSSL und hat noch nichts mit dem Zertifikat das man  für eine Domain verwenden möchte zu tun. Das kommt erst im nächsten Schritt.

Etwas Verwirrung nach dem Client-Zertifikat

Nachdem das Client-Zertifikat im Browser installiert ist, landet man zunächst in der Hilfe. Hier sitzt man dann erstmal etwas ratlos. Abhilfe schafft z.B. ein Klick auf „StartSSL PKI – StartSSL Free (Class 1)“.

Es erscheint eine Abfrage, für welche Domain man ein Zertifikat ausstellen möchte. Als nächstes muss eine E-Mail-Adresse (post-, host- oder webmaster@…) ausgewählt werden. Anhand dieser E-Mail-Adresse wird überprüft, ob man der Domain-Inhaber ist, d.h. es wird dort ein weiterer Verifizierungscode hingesendet, den man eingeben muss.

Der private Schlüssel

Jetzt wird es wirklich ernst! Es bestehen zwei Möglichkeiten, einen privaten Schlüssel generieren zu lassen:

  1. Auf dem eigenen Computer/Server, der das Zertifikat erhalten soll (Empfohlen) oder
  2. direkt bei StartSSL.

Ich für meinen Teil ziehe es vor, den Schlüssel und auch die Zertifikatanforderung selbst zu erstellen. Das sieht am Beispiel von OpenSSL so aus:

Schlüssel erzeugen:

openssl genrsa -out FQDN.key 2048

Zertifikatanforderung erzeugen:

openssl req -new -key FQDN.key -out FQDN.csr

Die daraus resultierende *.csr-Datei mit einem Editor öffnen, den Inhalt markieren und in das entsprechende Feld bei StartSSL eintragen.

Es folgt die Angabe einer Sub-Domain, bei Webservern wäre das typischerweise „www.domain.tld“, bei E-Mailservern „mail.domain.tld“.

Hat man das ebenfalls hinter sich, bekommt man das signierte Zertifikat in einem Feld angezeigt. Dort wählt man den Inhalt aus, kopiert ihn und speichert es in einer Datei ab.

Nun kann man das Zertifikat an entsprechender Stelle bei seinem Server einbinden.

Die Sache mit den Zwischenzertifikaten

Damit es dennoch zu keiner Zertifikat-Warnung kommt, muss man noch das StartCom Root- und das Class 1 Zwischenzertifikat herunterladen und in seinen Server einbinden.

Im Test reichte es allerdings aus, nur das Zwischenzertifikat zusätzlich einzubinden. Zumindest hatten Internet Explorer, Firefox und Chrome, jeweils in aktueller Version, nichts zu meckern.

Zertifikat-Formate

Unter Umständen muss das Zertifikat in ein anderes Format konvertiert werden. Das kommt darauf an, welche Formate der jeweilige Server bzw. Dienst benötigt.

So kommt der Apache Webserver mit CRT ohne Probleme klar, wiederum der Mongoose Webserver benötigt PEM.

Wie man CRT zu PEM konvertiert, kann man hier nachlesen:

Mozekoze – Converting SSL-certificates from CRT format to PEM

Dem PEM-Zertifikat muss dann noch der Schlüssel hinzugefügt werden. Das kann man einfach im Editor tun.

Abschließende Bemerkung

Abgesehen von den Anfangs- und Schlusshürden ist es relativ einfach, mit StartSSL ein eigenes Zertifikat zu erhalten. Allerdings muss bedacht werden, das dieses Zertifikat keinen wirklich großen Schutz bietet, da die Identität nicht hinreichend geprüft wird.

Für den Anfang und je nach Anspruch ist es aber durchaus brauchbar.

Sonstiges

Falls jemand das Ganze noch mal bei Heise inkl. Bilder lesen möchte:

Heise – SSL für lau

7 Kommentare

  • willst nicht wissen

    Mal ein Kommentar zu deinem Satz bei:

    Abschließende Bemerkung:
    Abgesehen von den Anfangs- und Schlusshürden ist es relativ einfach, mit StartSSL ein eigenes Zertifikat zu erhalten. Allerdings muss bedacht werden, das dieses Zertifikat keinen wirklich großen Schutz bietet, da die Identität nicht hinreichend geprüft wird.

    ————

    Nur zur Info, StartSSL prüft ausführlich die Identität! Mach dich mal schlau, bevor du etwas bloggst. Mach dir mal den Spass und versuche mal die Class 2 Zertifizierung von StartSSL. Ich hoffe dein englsich ist gut, denn du wirst von StartSSL angerufen und die wollen von dir Ausweis, Telefonreichnung usw.

  • Der Beitrag bezieht sich auf StartSSL Free (Class 1).

  • Muss mich grad auch mit der Thematik befassen – deshalb sehr interessant.
    Grüße

  • Gibt es außer StartCom noch weitere Free-SSL-Zertifikat Hersteller?

  • Bislang ist mir kein weiterer Anbieter bekannt.

  • Für Sommer 2015 peilt das Projekt «Let’s Encrypt» den Start seiner Services an. Man darf gespannt sein, was daraus wird:
    https://letsencrypt.org/

  • Vor der Einrichtung eines Zertifikates über StartSSL sollte das Denken stehen.
    Ihr solltet mal versuchen zu recherchieren, WEM Ihr die kostenlosen „Verschlüdsselung“ Eures geheimsten Traffics zwischen Browser und Internet anvertraut.
    Und dann nochmal nachdenken.
    Wem dann immer noch kein Licht aufgeht, dem ist nicht zu helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.