Zitat von Firehold
Beitrag anzeigen
-
In der Adresszeile haben beide ein grünes Schloss, der Unterschied wird erst sichtbar, wenn man sich das Zertifikat genau ansieht. Und was meinst du wieviele deiner Webseitenbesucher das machen?
[QUOTE=nikosch]Macht doch alle was Ihr wollt mit Eurem Billigscheiß. Von mir aus sollen alle Eure Server abrauchen.[/QUOTE] -
-
Lies dir mal Punkt 2 ganz genau durch
https://www.globalsign.com/de-de/blo...te-auswaehlen/
Wenn du die Webseite im Firefox betrachtest dann steht dort neben dem Schloss Globalsign, dass steht bei mir natürlich nicht, ist aber egal.
Vergleichbar mit
Postkarte:
ohne Verschlüsselung, jeder kann mitlesen
Brief:
mit Verschlüsselung, keiner kann mitlesen
Briefumschlag von einer Firma
z.B. FedEx, DHL, UPS etc.:
man sieht sofort wer den Brief zugestellt hat, ist aber für den Inhalt irrelevant, also kann ich auch meine eigenen Briefumschläge verwenden.Kommentar
-
Grundsätzlich sind kostenpflichtige Zertifikate reine Abzocke. Es findet nur eine "gründlichere" Überprüfung statt (oder auch nicht). Manchmal mag es dafür noch Gründe geben, aber außer Banken und ähnlichen braucht das eigentlich keiner.Zitat von Firehold Beitrag anzeigen
Da hast du viel falsch gehört. Kryptosachen MÜSSEN Opensource sein, um als sicher zu gelten. Geheime Algorithmen sind immer als unsicher anzusehen, weil die Umsetzung der Algorithmen nicht überprüft werden können. Fast das ganze Netz benutzt OpenSSL und LibreSSL und das nicht ohne Grund. Daneben gibts noch ein paar kleinere Bibliotheken.Für umsonst klingt natürlich sehr verführerisch, wie sieht es denn mit dem Sicherheitsstatus aus? Habe sehr oft gehört man soll von kostenlosen / OpenSource SSLs wie OpenSSL die Finger lassen, da die Sicherheit nicht ausreichend ist.
Das ist noch sehr freundlich ausgedrückt. Heutige Kryptographie ist verdammt harter Stoff.Zitat von rkr Beitrag anzeigen
Wer will kann ja mal versuchen die aktuelle Hasfunktion Keccak (SHA3) fehlerfrei! in Code umusetzen:
http://keccak.noekeon.org/Keccak-reference-3.0.pdf
Nur bei komplett veralteten Zertifikaten. Alle halbwegs aktuellen Browser haben keine Probleme mit moderner Kryptographie, sofern das Betriebssystem dahinter nicht besonders alt ist.Zitat von Firehold Beitrag anzeigenOh das dachte ich mir, jedoch durfte ich soeben freudigerweise feststellen, dass mein Hoster LetyEncrypt einrichtungen unterstützt
Wie sieht es denn mit der Browserkompatibilität aus? Habe gehört bei manchen OpenSSL Zertifikaten kommt beim Aufruf eine Mitteilung die Seite sei nicht sicher?Windows Server gehören NICHT ins Internet!
Dildo? Dildo!Kommentar
-
Vielen Dank für all eure Informationen.
Ich habe mich aufgrund dessen vorerst wirklich für die OpenSSL Variante entschieden.
Da unser Projekt (noch) nicht firmiert ist, und wir somit auch keine Möglichkeit hätten die grüne Adressleiste zu bekommen, ist das die sinnigste Lösung.
Einen Haufen Geld für die OV Variante auszugeben nur damit einer unserer momentan noch überschaubaren Besucher beim Klick aufs TZertifikat einen namen sieht ist wirklich nicht sinnig!
Sobald das Projekt firmiert wurde und läuft wird nochmal über die grüne Adressleiste nachgedacht, aber bis dahin nicht!
Danke an alle für eurer Fachwissen!
Eine letzte kleine Frage habe ich noch für mein eigenes Interesse. Ich habe nun überall gesehen, dass die "key size" oder "bit length" 2048 bit ist, nun aber auch anbieter mit 4096 bit werben. Ist das dann wirklich ein noch höherer Sicherheitsstandard oder Augenwischerei von unwissenden?Kommentar
-
So meinte ich das auch nichtZitat von trollface
Kryptographie ist harter Stoff der mit OpenSSL noch mal besonders undurchdringlich umgesetzt wurde. OpenSSL ist einfach keine "schöne" Implementierung und daher gibt es wesentlich weniger Peer-Reviews als möglich. Um es mal ungeschont auszudrücken: Niemand will sich freiwillig durch den Mist durcharbeiten.Kommentar
Kommentar