Hallo,

da wir doch viele Zertifikate von StartSSL besitzen (kostenlose und bezahlte) und nun deren Vertrauen entzogen wurde/wird, sind wir auf der Suche nach Alternativen.

Was gibt es da vergleichbares am Markt? cacert ist ja auch am absteigenden Ast, Lets Encrypt hört sich zwar mal super an aber das Cert gilt nur 3 Monate und sie bieten kein s/mime an.

Kostenlose Zertifikate haben wir gerne für kleinere Projekte bzw. auch Tests verwendet oder sogar für Websites die kein besseres Zertifikat bedurften.

Danke & Mfg

Lets Encrypt hört sich zwar mal super an aber das Cert gilt nur 3 Monate und sie bieten kein s/mime an.

Die Idee ist, dass man die Zertifikatserneuerung automatisieren sollte. Das Ziel ist wohl, dass die LE-Zertifikate irgendwann nur noch ~7 Tage gültig sein sollen. Mit Certbot ist das eigentlich auch kein Problem.

Bei let's encrypt laesst es sich doch schoen automatisieren, sodass du immer neue gueltige Zertifikate bekommst. Ich habe aber auch noch nie s/mime gebraucht...

Weiß ja nicht, mir ist nicht so wohl dabei wenn irgend ein tool an meiner apache config "herumpfuscht" und services reloaded. Habs mal soweit konfiguriert das nur Certs ausgestellt und abgelegt werden. Mal schauen wie es sich bewährt.

Für interne Tests bzw. Entwicklung ist es trotzdem suboptimal. Wenn die Server nur intern bzw. eingeschränkt DMZ mäßig stehen will ich nicht immer Firewall freischalten.

Für Mail gibts ja trotzdem nichts.

Wenns so weitergeht kann man sich bald eine eigene CA für solche Sachen erstellen mit dem entsprechenden Deploy-Wahnsinn. :freak:

Weiß ja nicht, mir ist nicht so wohl dabei wenn irgend ein tool an meiner apache config "herumpfuscht" und services reloaded. Habs mal soweit konfiguriert das nur Certs ausgestellt und abgelegt werden. Mal schauen wie es sich bewährt.

Es gibt auch noch andere ACME-Clients, z.B. Dehydrated. Der unterstützt auch DNS als Challenge.

Es gibt auch noch andere ACME-Clients, z.B. Dehydrated. Der unterstützt auch DNS als Challenge.

Danke, werde ich mir mal anschauen. Ganz zufrieden bin ich aber trotzdem nicht, vor allem wenn die Laufzeit noch verringert wird. :D

Hab ich mir auch anfangs gedacht, aber man lebt schon etwas entspannter, wenn man das automatisiert hat und nicht jede Zertifikaterneuerung zu einem großen Ritual wird.

Wenn man einen Proxy nutzt, ist das mit lets encrypt nervig.
Klar kann man einen ssh connect aufs Backend machen, um die Datei für http auth zu generieren..

Zudem: Lets encrypt ist toll, aber darf nicht alleinige Antwort sein. Denn auch dieses System kann mal Probleme haben und dann steht man doof da.

Ist die Anforderung dass die Zertifikate kostenlos ausgestellt werden? Geht aus dem ersten Beitrag nicht ganz hervor. Oder gibt es andere Kriterien?

Wenn man einen Proxy nutzt, ist das mit lets encrypt nervig.
Klar kann man einen ssh connect aufs Backend machen, um die Datei für http auth zu generieren..

Moment, wie soll man es sonst machen?

Wenn es dein Proxy ist, den nur du benutzt, kannst du doch auch einfach selbstsignierte Zertifikate benutzen. Das wäre sowieso sicherer, weil man dann dem ganzen CA-System nicht trauen muss.

Moment, wie soll man es sonst machen?
Den Scheiß lassen mit dauerhafter Erneuerung nach x Tagen.
Mir ist schon klar, warum es so ist, bitte keine Ausfürhung dazu.
*¹

Aber da Lets Encrypt von der Mozilla Founation unterstützt wird und das absägen von Startcom Mozilla forciert - naja, schade.


*¹
Mein eigentliches Problem ist im Grunde, dass ich bislang nur noch nichts eigenes gebastelt habe und die ganzen Scripte das nicht vorsehen. ;(
Wenn ich mal Zeit zu habe, schaue ichs mir an.

Ist die Anforderung dass die Zertifikate kostenlos ausgestellt werden? Geht aus dem ersten Beitrag nicht ganz hervor. Oder gibt es andere Kriterien?

Naja, wie gesagt, für Tests und/oder in der Projektphase waren so kostenlose Zertifikate schon super wenns. zb unter einer Kundensubdomain laufen soll und nicht immer dafür zahlen braucht.

Die Browser sind nun doch schon lästig geworden das sie immer nachfragen wenn ein ungültiges Zertifikat verwendet wird und das wird sicher nicht besser.

Zudem gibts ja nicht nur Webserver sondern auch andere Dienste bzw. Schnittstellen wo man Zertifikate brauchen würde. Auch für Mailserver wo zb gar kein Webserver läuft.