Informationen zu Zertifikaten

Welchen Zweck erfüllt ein Zertifikat?

Der Einsatz eines Zertifikates für Ihren Server ermöglicht Ihnen eine sichere Verbindung zu Ihrem Server bestehend aus zwei Komponenten:

1. die Verbindung zwischen Server und Endgerät wird zu Ihrer Sicherheit verschlüsselt (besonders wichtig bei der Übertragung von Passwörtern o.ä.)
2. das ausgestellte Zertifikat erlaubt die Prüfung der Identität des Verbindungspartners und verhindert damit Man-in-the-Middle-Angriffe

Alle angebotenen Zertifikate bieten eine 256-Bit-Verschlüsselung bei 2048 Bit maximaler Schlüssellänge und werden von allen gängigen Browsern und Endgeräten unterstützt.

Laufzeit von Zertifikaten

Zertifikate haben eine Laufzeit von maximal 13 Monaten bzw. 398 Tagen.

Technisch gesehen können Zertifikate mit beliebigen Laufzeiten erstellt werden, das CA/Browser Forum, ein Branchengremium bestehend aus Zertifizierungsstellen (CAs) sowie den Herstellern von Webbrowsern und Betriebssystemen, hat jedoch entschieden, dass die maximale Gültigkeit von Zertifikaten auf ein Jahr bzw. 398 Tage reduziert wird. Vor dem 01.07.2020 betrug die maximale Gültigkeit für Domain Validated (DV) und Organization Validated (OV) Zertifikate 2 Jahre. Extended Validation (EV) Zertifikate waren schon immer auf eine Laufzeit von maximal zwei Jahren (27 Monate) beschränkt.

Welche Zertifikate kann ich bei managedhosting.de bestellen?

Organisationsvalidierte Zertifikate (Klasse 3)

• Einzelserver Zertifikat name.domain.tld - 1 Jahr
• Wildcardzertifikat *.domain.tld - 1 Jahr

Organisationsvalidierte Zertifikate - PCI Compliant (Klasse 3)

• e-Commerce SSL Zertifikat name.domain.tld - 1 Jahr

Zertifikate mit erweiterter Validierung (EV)

• Extended Validated SSL name.domain.tld - 1 Jahr

E-Mail validierte Zertifikate (Klasse 2)

• Domain only SSL Zertifikat name.domain.tld - 1 Jahr
• Domain only SSL Zertifikat *.domain.tld - 1 Jahr

Was ist ein sogenanntes "Klasse 3 Zertifikat"?

Zertifikate von anerkannten Zertifizierungsstellen gewährleisten neben der Verschlüsselung für Zertifikate der Klasse 3 auch die Identität des Zertifikatinhabers. Mit einen Klick auf das Schloss-Symbol beim Browser können die überprüften Inhaberdaten des Zertifikats angezeigt und z.B. mit dem Impressum der Website verglichen werden. Zertifikate der Klasse 2 enthalten keine Angaben zur Identität des Inhabers, werden also bei der Ausstellung nur per E-Mail oder Token von der CA überprüft. Der Antragsteller muss bei Klasse 2 Zertifikaten nachweisen, dass er Kontrolle übder die Domain hat (E-Mail, DNS) für die das Zertifikat ausgestellt werden soll.

• Zertifikate der Klasse 1 werden für Personen ausgestellt, die eine gültige E-Mail-Adresse nachweisen können. Zertifikate der Klasse 1 eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei nicht kommerziellen Transaktionen, für die kein Identitätsnachweis erforderlich ist. Anwendungsfälle sind die Verschlüsselung persönlicher E-Mails oder die Signatur selbst erstellter Dokumente. Für Organisationen sind Zertifikate der Klasse 1 i. d. R. nicht verfügbar.
• Zertifikate der Klasse 2 werden für Personen und Geräte ausgestellt. Persönliche Zertifikate eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis auf Grundlage von Informationen in der validierenden Datenbank ausreicht. Gerätezertifikate der Klasse 2 eignen sich für die Geräteauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit. Als Nachweis kann eine Bestätigungs-E-Mail, ein Eintrag im DNS oder eine Prüfsummendatei auf einem öffentlich per http:// erreichbaren FQDN.
• Zertifikate der Klasse 3 werden für Personen, Organisationen, Server, Geräte und Administratoren für Zertifizierungsstellen und Stammzertifizierungsstellen (Root Authorities, RAs) ausgestellt. Persönliche Zertifikate der Klasse 3 eignen sich für digitale Signaturen, Verschlüsselung und die Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis erforderlich ist. Serverzertifikate der Klasse 3 eignen sich für die Serverauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit.

Warum verwenden wir Zertifikate von Sectigo (ehemals Comodo)?

Über 99,3 Prozent der Browser vertrauen auf Sectigo-Zertifikate. Auch Zertifikate sind eine Vertrauenssache. Nur Stammzertifikate von etablierten Zertifikat- Herausgebern wie z.B. Comodo sind auf allen gängigen Browsern und zahlreichen anderen Anwendungen vorinstalliert, so dass die Zertifikate ohne manuelle Bestätigung durch den Benutzer vom Browser automatisch als vertrauenswürdig erkannt werden.

Wozu dient ein EV-Zertifikat?

Ein "Extended Validation" (EV)-Zertifikat  bietet eine maximale Identitätsgarantie, die von aktuellen Browsern in der Adresszeile grün angezeigt wird. "Extended Validated" bedeutet so viel wie "erweiterte Überprüfung" und steht für die höchst mögliche Identitätsüberprüfung, wie sie nach internationalen Standard z.Z. bei Zertifikaten möglich ist. Dieser Sicherheitsstandard wird von den Browsern der jüngsten Generation besonders honoriert: Sie wechseln i.d.R. die Farbein der Adresszeile auf Grün und zeigen den Firmenamen an. Der Besucher einer Website kann so auf einen Blick die Identität der Website feststellen und sich auf deren Richtigkeit verlassen. Die Richtlinien zur Vergabe von EV-Zertifikaten können Sie auf der Webseite des CAB-Forums herunterladen: https://cabforum.org/wp-content/uploads/CA-Browser-Forum-EV-Guidelines-1.8.0.pdf.

Intermediate-Zertifikate

Für die Installation des Zertifikates benötigen Sie folgende Komponenten:

• den Private Key
• das Zertifikat
• das bzw. die Intermediate Zertifikat(e)

Wenn die Zwischenzertifikate von der ausstellenden CA nicht mit dem eigentlichen Zertifikat ausgeliefert wurden (was normalerweise der Fall ist), bietet die jeweilige Zertifizierungsstelle eine Möglichkeit an, die nötigen Intermediate-Zertifikate herunterzuladen. Bei managedhosting.de kommen hauptsächlich Zertifikate von Sectigo (ehemals COMODO) oder GeoTrust zum Einsatz.

• Sectigo (ehemals COMODO)
• Geotrust
• Symantec
• SwissSign
• GlobalSign/AlphaSSL
• CERTUM
• RapidSSL
• Thawte
• DigiCert

Weiterführende Informationen

• https://de.wikipedia.org/wiki/Transport_Layer_Security
• https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat
• https://de.wikipedia.org/wiki/S/MIME

Let's Encrypt

Let’s Encrypt ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.
Die von Let's Encrypt ausgestellten Zertifikate können für alle gängigen Verfahren wie https, tls, imaps, pop3s etc. eingesetzt werden..
managedhosting.de unterstützt die Verwendung von durch Let's Encrypt ausgestellten Zertifikaten in allen Standardprodukten und Dienstleistungen. CertBot zur automatisierten Ausstellung und Verwaltung von Let's Encrypt Zertifikaten ist auf allen Systemen standardmäßig vorinstalliert. Neben CertBot gibt es noch etliche andere Clients, die je anch Anforderung verwendet werden können.

Zertifikatsformate

Erneuerung und Ablauferinnerung

Von uns ausgestellte Zertifikate werden, gleich welcher Art sie sind, auch von uns überwacht. 
Die Erneuerung von allen Zertifikaten mit Ausnahme von Let's Encrypt bedarf der Zustimmung und Beauftragung durch den Endkunden. Entsprechende Erinnerungen werden von uns bzw. der CA rechtzeitig vor Ablauf verschickt: 60 Tage, 30 Tage, 4 Wochen, 14 Tage, 7 Tage.
Für von Kunden angelieferte (nicht von uns ausgestellte) Zertifikate können wir aktuell keine standardmäßige Überwachung anbieten. Eine individuelle Benachrichtigung z. Bsp. per CertWatch kann jederzeit beauftragt werden. Jedoch werden wir nicht automatisch aktiv.