# SSL - Zertifikat - Welches?



## Fabian Frank (25. November 2011)

Moin,

kurze Frage: Welcher Anbieter für SSL-Zertifikate ist empfehlenswert? Thawte ist ja allgemein was ich gesehen hab sehr teuer. Wie steht das mit VeriSign?
Bitte teilt doch kurz eure Erfahrungen mti den verschieden Zertifikatsstellen mit. Vielleicht hat der ein oder andere auch eine Empfehlung. 

Vielen Dank euch allen!

Ciao, Fabi


----------



## Bratkartoffel (25. November 2011)

Hi,

für meine Server und private Seiten nehm ich CACert her (kostenlos). Wenns offizieller wird, dann bin ich mit StartSSL (kostenlos) bisher auch recht gut bedient worden, da zeigt er auch bei manchen Browsern keine Warnung an (welche das genau sind, keine Ahnung).

Ansonsten kenn ich noch DigiCert und GoDaddy, wobei ich mit denen noch keine Erfahrungen gemacht habe.

Gruß
BK


----------



## Dr Dau (25. November 2011)

Hallo!



Fabian Frank hat gesagt.:


> Thawte ist ja allgemein was ich gesehen hab sehr teuer. Wie steht das mit VeriSign?


Dürfte nicht wirklich anders aussehen.
VeriSign hat Thawte, GeoTrust, Equifax und RapidSLL übernommen.
Die Sparte SSL Zertifikate von VeriSign wurde wiederum von Symantec übernommen (genauso wie TC TrustCenter).



Fabian Frank hat gesagt.:


> Bitte teilt doch kurz eure Erfahrungen mti den verschieden Zertifikatsstellen mit.


Ich stelle mir nur selbstsignierte Zertifikate aus..... für meine Zwecke mehr als ausreichend (mir geht es lediglich um die verschlüsselte Übertragung). 

Die Preise für zertifizierte Zertifikate fangen bei 0 USD an und hören bei ein paar Hundert USD auf.
Hängt halt davon ab was Du haben willst, Zertifikat ist nicht gleich Zertifikat.
Ausserdem musst Du Dich schlau machen ob und welches Zertifikat Du überhaupt bekommen kannst.
Ein EV-SSL Zertifikat wird z.b. nicht an private Personen ausgestellt.



Fabian Frank hat gesagt.:


> Vielleicht hat der ein oder andere auch eine Empfehlung.


Bundesdruckerei.
Ja, auch die stellen SSL Zertifikate aus.
Genauso wie die Telekom und Deutsche Post.

Kostenlose Alternative wäre z.b. noch StartCom mit "StartSSL Free" (die vergeben aber auch kostenpflichtige Zertifikate).
Ob kostenlose Anbieter jedoch im Sinne des SigG auch seriös sein können, lasse ich mal im Raum stehen.

Gruss Dr Dau


----------



## CPoly (27. November 2011)

Ich wollte heute genau die gleiche Frage stellen . Aber es fehlen wirklich ein paar mehr Infos bei dir. Ich brauche das Zertifikat z.B. für einen Internationalen Onlineshop. Also vielleicht brauchen wir beiden etwas völlig anderes.

Ich denke das VeriSign der bekannteste und vertrauenswürdigste Anbieter ist (Amazon benutzt Verisign und DigiCert Zertifikate).

Ich sehe gerade, dass Google Thawte benutzt.

Bei mir stand GeoTrust (http://www.geotrust.com/de/) ganz oben auf meiner Liste. 

Über die Zertifikate von der Post bin ich auch schon gestoßen (http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1021304_1021296).


Mir stellt sich immer noch die Frage, ob ich die Extended Validation will, oder nicht. Denn eigentlich will ich auch ein Wildcard Zertifikat, aber beides zusammen gibt es nicht und für zwei Zertifikate habe ich erst recht kein Geld.

Es gibt einfach zu viel Auswahl...

Offenbar ist Wildcard + EV doch möglich http://www.digicert.com/uc-ev-ssl.htm und noch mehr Auswahl :-D


----------



## Dr Dau (27. November 2011)

@CPoldy
EV dürfte insbesondere bei der Übermittlung besonders sensibler Daten wegen der strengeren Überprüfung sicherlich ein höheres Vertrauen haben.

Problematisch könnte es werden wenn evtl. Schadensersatzansprüche gestellt werden könnten, die mit der Übermittlung der Daten in Verbindung stehen.
Beispiel: Du hast Dein Zertifikat von irgendeinem dubiosen ausländischen Anbieter (der unterliegt ja nicht zwangsweise den deutschen Gesetzen).
Nun übermittel ein Kunde z.b. seine Kontodaten, dabei läuft irgend etwas schief (ja, ich weiss, die Daten werden verschlüsselt, aber nehmen wir einfach mal den Fall der Fälle an).
Nun erleidet der Kunde dadurch einen Schaden und zieht mit Dir vor Gericht.
Nun kommt raus dass Dein Zertifikat nicht den strengen deutschen Gesetzen entspricht.
Ahnst Du schon wie der Richter urteilen wird?! 
Dass Du möglicherweise auch noch eins reingewürgt bekommst weil Du Dich nicht an die deutschen Gesetze gehalten hast, dürfte wohl auch klar sein.
Nun hast Du allerdings das Problem, dass Du international tätig sein willst.
Dein Zertifikat müsste also auch den Bestimmungen der anderen Länder entsprechen.
Sonst kommt irgend so ein Ami daher, und verklagt Dich "mal eben" auf 5 Millionen USD Schadensersatz.
Ein Strick wäre deutlich günstiger. 
Eine sinnvolle Alternative zum Strick wäre meiner Meinung nach nur ein Zertifikat was den Bestimmungen der gewünschten Länder entspricht.
Notfalls muss man dann halt "etwas" tiefer in die Tasche greifen.

Eine deutsche Zertifizierungsstelle haftet für die von ihr zu verantwortenden Schäden.
Dazu ist ihr eine Mindestdeckungssumme in Höhe von 250.000 EUR per Gesetz auferlegt.
Siehe auch: § 12 SigG



			
				Bundesnetzagentur hat gesagt.:
			
		

> Anerkannte qualifizierte Zertifikate oberster ausländischer Zertifizierungsdiensteanbieter i.S.d. § 18 Abs. 4 SigV
> 
> Auf dieser Seite sind die qualifizierten Zertifikate für Signaturprüfschlüssel oberster ausländischer Zertifizierungsdiensteanbieter aufgeführt, die nach § 23 Abs. 2 des Signaturgesetzes als gleichwertig anerkannt sind. Die Anerkennung ist durch die Bundesnetzagentur mittels einer qualifizierten elektronischen Signatur mit Anbieterakkreditierung nach § 15 Signaturgesetz zu bestätigen.





			
				Abfrageergebnis der Bundesnetzagentur hat gesagt.:
			
		

> Derzeit liegt kein anerkanntes Zertifikat vor.



Die Bundesnetzagentur stellt auch eine "Vertrauenswürdige Liste der beaufsichtigten bzw. akkreditierten Zertifizierungsdiensteanbieter" zur Verfügung.

Ja, es gibt zu viel Auswahl.....
Und nun fällt die Auswahl sicherlich nicht leichter.


----------



## CPoly (27. November 2011)

Man kann sich offenbar noch mehr Gedanken machen, als ich dachte :-D



Dr Dau hat gesagt.:


> Problematisch könnte es werden wenn evtl. Schadensersatzansprüche gestellt werden könnten, die mit der Übermittlung der Daten in Verbindung stehen.



Bisher läuft das komplett unverschlüsselt. Deshalb wird es jetzt Zeit dafür.


Ich will Fabian nicht seinen Thread stehlen, also danke für die Infos. Ich werde mir wohl ein deutsches Unternehmen dafür suchen (Post, Bundesdruckerei, etc.).

Edit: Was mich damals an der Post gestört hat, ist das hier http://www.zdnet.de/news/41551094/gestohlene-ssl-zertifikate-comodo-meldet-weitere-angriffe.htm
Im Prinzip sind die ja nur Reseller von Comodo Zertifikaten.


----------



## Fabian Frank (4. Dezember 2011)

Das macht mich wahnsinnig. Viel zu viel Auswahl. Aber auf jeden Fall schonmal Danke an euch alle für die Mühe. Habt mir dennoch schon nen großen Schritt weitergeholfen.

Also ich brauch das Zertifikat um einfach eine (tot)sichere Verbindung vom Browser zum Server herstellen zu können. Das ganze muss auch so aussehen, dass der User keine Warnung erhält (was dann schon wieder in die Richtung kostenpflichtig läuft...)...


----------

