Mit der Einführung unserer neuen SSD-Hosting-Produktlinie bieten wir nun über Let’s Encrypt kostenfreie SSL-Zertifikate an. Uns erreichten nun Rückfragen von Kunden, ob man denn nicht doch noch Zertifikate von Comodo kaufen sollte – weil diese besser wären.
Bisher haben wir großteils sogenannte Domain-validierte Einzel-Zertifikate der Zertifizierungsstelle Comodo angeboten und eingerichtet. Diese können automatisiert innerhalb weniger Minuten beantragt, validiert und ausgestellt werden und gelten anschließend für exakt eine Domain (mit und ohne WWW-Subdomain).
Genau diese Zertifikate werden von Let’s Encrypt ausgestellt, dort allerdings kostenfrei und mit kürzerer Laufzeit, um Missbrauch vorzubeugen. Let’s Encrypt forciert mit der kürzeren Laufzeit von exakt 90 Tagen (im Gegensatz zu 12, 24 oder gar 36 Monaten bei Comodo) die automatisierte Abwicklung der SSL-Zertifikate. Der Aufwand für eine manuelle Verlängerung ist deutlich höher als die Kosten eines Zertifikates von Comodo oder anderen Zertifizierungsstellen.
Comodo als Zertifizierungsstelle hat allerdings einen Vorteil: es werden auch noch die Benutzer mit einem gültigen Zertifikat begrüßt, die noch Internet Explorer in der Version 4 (Teil von Windows 95/98!) einsetzen.
Allerdings wird dann eine eigene IPv4-Adresse nur für dieses Zertifikat benötigt: Diese Browser (bis einschließlich Internet Explorer unter Windows XP) unterstützen die ServerNameIndication nicht. Ohne Unterstützung für SNI muss für jedes SSL-Zertifikat eine eigene IP-Adresse verwendet werden. Neuere Browser mit SNI-Unterstützung können SSL-Zertifikate auf gemeinsam genutzten IP-Adressen problemlos validieren und die damit geschützten Seiten aufrufen.
Wenn also Umsätze von Benutzern mit IE4 oder allgemein Internet Explorer unter Windows XP zu erwarten sind, die höher wiegen als die Kosten für das Comodo-Zertifikat sowie die dedizierte IP-Adresse, so müssen diese Kosten in Kauf genommen werden. Zertifikate von Let’s Encrypt werden von diesen Browsern nicht als gültig erkannt.
Kürzlich wurde aber der Google Chrome Browser in Version 56 veröffentlicht und nach und nach ausgerollt. Dieser markiert alle Zertifikate, die auf SHA1 basieren, als unsicher: diese Zertifikate werden dann genauso mit einer roten Warnung versehen, wie schon selbst-signierte Zertifikate. Anwender müssen diese Warnungen dann explizit „wegklicken“ – womit aber der Sinn der (gekauften) SSL-Zertifikate ad absurdum geführt wird.
Statt SHA1-Zertifikaten werden bereits seit längerer Zeit nur noch SHA256-Zertifikate ausgerollt. Diese SHA256-Zertifikate werden aber erst ab Internet Explorer 6 unterstützt – dadurch erübrigt sich aber eine Unterstützung des Internet Explorer 4 durch die Zertifizierungsstelle.
Der Internet Explorer 6 unter Windows XP unterstützt zwar (ab XP SP3) die SHA-256/SHA2-Zertifikate, hat allerdings widerrum Probleme mit SNI.
Somit ergibt sich folgendes Bild:
- Um keine Fehler bei Benutzern des Chrome-Browsers zu erhalten, muss das SSL-Zertifikat mit SHA256 ausgestellt worden sein.
- Somit werden alle Browser älter als Internet Explorer 6 davon abgehalten, die Seite korrekt aufrufen zu können.
- Damit erübrigt sich der Kauf eines SSL-Zertifikates von beispielsweise Comodo, da ältere Browser sowieso nichts mit dem Zertifikat anfangen können.
- Für genau diese Anwender (Internet Explorer unter Windows XP) ist aber eine dedizierte IP-Adresse notwendig.
- Alle neueren Browser bzw. Betriebssysteme harmonieren mit Let’s Encrypt sowie Server Name Indication
Unser Resümee: die SSL-Zertifikate der Let’s Encrypt unterscheiden sich nicht von den kostenpflichtigen (domain-validierten) Zertifikaten anderer Zertifizierungsstellen. „Kost‘ nix, taugt nix“ ist hier definitiv nicht angebracht.
Wir haben uns daher entschlossen, zukünftig nur noch domain-validierte Zertifikate von Let’s Encrypt auf gemeinsamen IP-Adressen anzubieten.
Weiterhin verfügbar sind SSL-Zertifikate, die nicht über Let’s Encrypt bezogen werden können:
- Organisations-validierte SSL-Zertifikate
- Extended Validation-Zertifikate, die mit der grünen Adressleiste im Browser hervorgehoben werden
- Wildcard-Zertifikate (*.example.com)
Hinweis: es ist durchaus möglich, Zertifikate mit unterschiedlichen Signatur-Algorithmen auszuliefern (RSA/ECDSA). Dies ist aktuell nur mit dem Apache Webserver möglich und erfordert zusätzlichen Aufwand bei der Pflege der Konfiguration, so dass dies im Shared Hosting nicht realisierbar ist. Bei individuellen Lösungen können wir natürlich entsprechende Konfigurationen realisieren.