Zertifikat für Domain

[AquinasX]

Hallo,

ich habe einen eigenen Server bei mir zuhause und da läuft Debian mit Apache und FTP. Ich wollte die Verbindung mit SSL verschlüsseln, also habe ich eine Root CA erstellt und mir Zertifikate für die Domain und FTP generiert und selbst signiert.

Ich habe bei Apache jetzt gelesen das man bei NamedVirtualHost (also mehrere Domains unter einer IP Adresse) nur ein Zertifikat nutzen kann da dies eine technische Problematik bei SSL ist.

Jetzt sind meine Fragen:

1) Wenn ich ein Zertifikat für www.domain.tld erstelle, gilt dies dann auch für alle Wildcard Domains also ftp.domain.tld oder test.domain.tld ?
2) Wie machen das Webhoster wenn sie Zertifikate anbieten? Die haben doch sicher über hunderte Domains + Webpakete auf einer IP Adresse und werden wohl kaum einem Kunden eine IP Adresse geben wegen einem Zertifikat?

Danke

Gruß,
AquinasX

 

[Revolution]

Ich habe bei Apache jetzt gelesen das man bei NamedVirtualHost (also mehrere Domains unter einer IP Adresse) nur ein Zertifikat nutzen kann da dies eine technische Problematik bei SSL ist.

Quelle? Das stimmt so nicht.

1) Wenn ich ein Zertifikat für www.domain.tld erstelle, gilt dies dann auch für alle Wildcard Domains also ftp.domain.tld oder test.domain.tld ?

nop nur für die Hauptdomain da die subdomain ja auf einen ganz anderen Server zeigen könnte.

 

[AquinasX]

Namensbasierte virtuelle Hosts können aufgrund der Natur des SSL-Protokolls nicht mit SSL-gesicherten Servern verwendet werden.

http://httpd.apache.org/docs/current/vhosts/name-based.html

 

[Revolution]

Ok ich muss meine aussage zurück ziehen scheinbar ist das wirklich so. Ist mir aber in 10 Jahren nie wirklich bewusst geworden.

EDIT:

Allerdings scheint es Workaround zu geben

http://wiki.easycow.de/index.php/Namebased_SSL_Apache
und
http://www.zdnet.de/41527996/so-unterstuetzt-apache-ssl-sites-mit-einer-ip-adresse/

Ich wusste ich hab das schon mal gemacht... es geht also doch

 

[knuF]

SSL Zertifikate bekommst teilweise schon ab 20 €, allerdings auch weit über 1000 €.

http://www.geotrust.com/de/ssl/
https://www.df.eu/de/ssl-zertifikate/?et_cid=4&et_lid=3572&et_sub=ssl%20zertifikat
http://www.psw.net/ssl-zertifikate.cfm
http://www.verisign.de/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html

 

[Daaron]

Ich habe bei Apache jetzt gelesen das man bei NamedVirtualHost (also mehrere Domains unter einer IP Adresse) nur ein Zertifikat nutzen kann da dies eine technische Problematik bei SSL ist.

Über SNI kann eine IP auch mehrere SSL-Domains mit verschiedenen Zertifikaten hosten. Serverseitig ist das leicht, jeder leidlich aktuelle LAMP-Server bringt die Voraussetzungen automatisch mit.
Clientseitig sieht es da schon gaaaaanz anders aus. Nicht jeder Client unterstützt das nötige TLS. So würden z.B. folgende Besucher einen SSL-Fehler bekommen:
- Android 2.x mit Andoid-Browser. 3rd-Party - Browser wie Fennec sollten gehen
- jeglicher IE unter WinXP (und niedriger). Aktuelle 3rd-Party - Browser funktionieren
- Lynx

1) Wenn ich ein Zertifikat für www.domain.tld erstelle, gilt dies dann auch für alle Wildcard Domains also ftp.domain.tld oder test.domain.tld ?
2) Wie machen das Webhoster wenn sie Zertifikate anbieten? Die haben doch sicher über hunderte Domains + Webpakete auf einer IP Adresse und werden wohl kaum einem Kunden eine IP Adresse geben wegen einem Zertifikat?

Es gibt verschiedene Zertifikat-Klassen. In der einfachsten, Class 1, hast du nur eine Domain mit einer Subdomain. Höhere Klassen können mehr, ein Zertifikat der Klasse 3 kann z.B. mehrere Domains mit massig Subs zertifizieren.

Für den Heimgebrauch reichen aber eh Snakeoil-Zertifikate. Man will ja nur verschlüsseln. Effektiv sind selbstsignierte Snakeoil-Zertifikate sogar sicherer, da man nicht von Dritten (den CA's) abhängig ist. Wenn eine CA mal wieder gehackt wird könnten sonstwelche Zertifikate rumschwirren.

SSL Zertifikate bekommst teilweise schon ab 20 €, allerdings auch weit über 1000 €.

bei startssl.com gibts n Class 1 mit einem Jahr Laufzeit für lau.

 

[AquinasX]

Hallo,

danke für die Antworten erstmal.

Ich habe mich jetzt mit dem SNI auseinander gesetzt und das scheint wohl bei meiner Apache Version mit OpenSSL zu laufen. Soweit so gut. Das Android 2.x oder IE unter XP nicht funktioniert ist nicht so tragisch, ist eh privat Gebrauch und zum ausprobieren ^^.

Leider habe ich noch einpaar Probleme die mir nicht so klar sind, vielleicht kann mir da noch einer helfen.

Ich habe jetzt

NameVirtualHost *:433
Listen 433

eingestellt und für eine Subdomain ein Zertifikat und Private Key erstellt.

In einer vhost Datei für diese Subdomain, nennen wir sie sub.domain.tld, existiert

<VirtualHost *:80> .... </VirtualHost>

und jetzt auch

<VirtualHost *:443> ... SSLEngine on, Key und Cert File.... </VirtualHost>

Das funktioniert auch so ganz gut, die Verbindung steht, ich kriege im Browser die Warnung das dem Zertifikat nicht getraut wird - ist ja auch klar da es selbst signiert ist.

Allerdings rufe ich jetzt eine andere Subdomain auf z.B. sub2.domain.tld dann kommt die Warnung ebenfalls obwohl für diese Subdomain kein Zertifikat erstellt wurde. Im Zertifikat steht als CN ja sub.domain.tld ich greif aber auf sub2.domain.tld drauf.

Wo steckt hier denn der Schuh? Kann man irgendwie das so einstellen, das für Domains für die keinen VirtualHost mit SSL konfiguriert ist die Seite einfach nicht erreichbar sein soll?


Danke!


Gruß,
Aquinasx

 

[Daaron]

Das ist relativ normales Verhalten.
Durch "NameVirtualHost *:433 Listen 433" horcht dein Apache immer auch auf dem SSL-Port, egal ob du direkt die IP aufrufst oder eine Domain/Subdomain, der keine SSL-Page zugeordnet ist. Im Endeffekt wird er dich an die erste komplett in SSL eingerichtete Webseite weiter schicken, wenn du https://keine-ssl-domain.tld anfragst

Ich glaube, da müsste man die Direktiven für Listen anders lösen, spezieller für diesen einen Named VHost, der auch auf SSL hören soll.