Ein kostenloses SSL-Zertifikat für eine Subdomain erhalten [geschlossen]

7

Ich habe eine Subdomain von no-ip.org. Ich möchte ein kostenloses SSL-Zertifikat für meine Domain erhalten. Ist dies überhaupt für eine Subdomain möglich und wenn ja, welche Optionen habe ich?

Sab
quelle
Können Sie klarstellen, was Sie unter einer "Subdomain" verstehen? Meinen Sie so etwas wie "example.com", das für Sie registriert ist und Ihnen gehört? Oder meinst du so etwas wie "moose.example.com", wo jemand anderes "example.com" besitzt und du "moose" verwenden kannst, ohne tatsächlich etwas zu besitzen? In diesem Fall können Sie kostenlose SSL-Zertifikate erhalten. Wenn letzteres der Fall ist, können Sie sie wahrscheinlich nicht um jeden Preis bekommen. (Da Sie nichts besitzen und SSL-Zertifikate den Besitz beweisen.)
David Schwartz
es ist das letztere.
Sab
Dann müssen Sie eine "echte" Domain erhalten und einen CNAMEEintrag verwenden, um sie auf die "geliehene" Domain zu verweisen. Dann können Sie ein kostenloses SSL-Zertifikat für die "echte" Domain erhalten - da Sie nachweisen können, dass Sie es besitzen.
David Schwartz
Tatsächlich stellt StartCom unter diesen Umständen ein Zertifikat aus, solange der Domaininhaber ein Autorisierungsschreiben einreicht , das er überprüfen kann.
David Schwartz
@DavidSchwartz Und wie genau soll ein Anbieter wie dyn.com einen solchen Brief für Sie ausfüllen? (Auch StartCom wird dies nicht für das Level1 [kostenlos] -Zertifikat tun)
Michael

Antworten:

10

Es gibt mindestens drei Optionen für die Verwendung eines Zertifikats mit einem Web- oder Mailserver:

Option 0: Beziehen Sie ein Zertifikat von Let's Encrypt

Let's Encrypt ist möglicherweise eine Möglichkeit für Sie, kostenlose, vom Browser vertrauenswürdige SSL-Zertifikate zu erhalten. Dies ist eine neue Option, da diese Frage gestellt wurde.

Let's Encrypt funktioniert etwas anders als andere Zertifizierungsstellen. Sie installieren einen kleinen Agenten auf Ihrem Server, der Ihr Zertifikat alle paar Monate automatisch erneuert.

Ich kann nicht genau sagen, ob diese Option noch funktioniert, da es einige GitHub-Probleme gibt, die eine Änderung diskutieren, damit No-IP-Domänen mit ihrem Dienst arbeiten können:

Auch wenn dies heute nicht funktioniert, behalten Sie es im Auge, denn es scheint, dass es bald fertig sein wird.

Option 1: Erhalten Sie ein SSL-Zertifikat, das von einer Zertifizierungsstelle (CA) signiert wurde.

Der Vorteil der Verwendung eines von einer Zertifizierungsstelle signierten Zertifikats besteht darin, dass Ihre Besucher Ihrem Zertifikat automatisch vertrauen. Betriebssysteme und Webbrowser werden mit einer Liste vertrauenswürdiger Stammzertifikate geliefert. Standardmäßig gelten nur Zertifikate, die von diesen vertrauenswürdigen Zertifikaten signiert wurden.

Der Nachteil ist, dass die meisten Zertifizierungsstellen, die in den wichtigsten Betriebssystemen und Browsern enthalten sind, Geld für ihre Dienste verlangen.

Zertifizierungsstellen bieten Zertifikate für Subdomains an. Im Allgemeinen verfügen sie jedoch über einen einfachen Überprüfungsprozess, um zu beweisen, dass Sie die Kontrolle über diese Subdomain haben. Unterschiedliche Zertifizierungsstellen haben möglicherweise unterschiedliche Richtlinien für die Ausstellung von Zertifikaten für Subdomains von no-ip.org und anderen dynamischen DNS-Anbietern.

Eine kleine Liste potenzieller Zertifizierungsstellen, die Sie möglicherweise untersuchen, sind:

Option 2: Beziehen Sie ein SSL-Zertifikat von einem Web-of-Trust-Anbieter

Der einzige mir bekannte Web-of-Trust-Anbieter ist CAcert.org . Dies ist eine Zertifizierungsstelle, die kostenlose SSL-Zertifikate bereitstellt. Die Zertifikate überprüfen jedoch nichts über Ihre Domain, bis genügend andere CAcert.org-Benutzer Ihre Identität überprüft haben. Sobald Sie genügend "Sicherheitspunkte" gesammelt haben, können Sie Ihrem Zertifikat einen Namen hinzufügen und haben längere Ablaufdaten.

Ich glaube jedoch nicht, dass das Stammzertifikat von CAcert.org standardmäßig in den meisten Browsern enthalten ist. Ihre Besucher müssen dieses Stammzertifikat installieren, sonst erhalten sie die Warnung "Scary Certificate":

Nicht vertrauenswürdiger Zertifikatfehler

Option 3: Generieren Sie ein selbstsigniertes Zertifikat

Wenn Sie ein Zertifikat wirklich nicht kaufen können, können Sie ein selbstsigniertes Zertifikat erstellen. Dies erfordert keine Zertifizierungsstelle, aber andere Computer vertrauen Ihrem Zertifikat nicht automatisch. Gäste, die eine Website besuchen, die durch ein selbstsigniertes Zertifikat gesichert ist, erhalten die Warnung "Scary Certificate".

Abhängig von Ihrem System gibt es verschiedene Möglichkeiten, dies zu tun. Wenn Sie OpenSSL verwenden, können Sie die Anweisungen von Akadia.com verwenden :

# Generate a private key
openssl genrsa -des3 -out server.key 1024

# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr

# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Sie würden dann server.cstauf einem Webserver Ihrer Wahl installieren .

Stephen Jennings
quelle
Gibt es also keine kostenlosen SSL-Zertifikate für Subdomains
Sab
@ Sab: Die Selbstsignierung eines Zertifikats ist kostenlos, wird jedoch von Browsern standardmäßig nicht als vertrauenswürdig eingestuft. Dies ist ein Kompromiss, den Sie eingehen müssen. Eine Zertifizierungsstelle, deren Stammzertifikat in Browsern enthalten ist, ist teuer. Mir ist nicht bekannt, wer diese Kosten trägt, ohne den Kunden diesen Service in Rechnung zu stellen.
Stephen Jennings
Okay. Ich denke, ich muss einen anderen Weg finden.
Sab
Grundsätzlich müssen wir eine Zertifizierungsstelle bezahlen, um im Internet sichtbar zu sein ... Werden Browser-Anbieter von Zertifizierungsstellen bezahlt, um das Vertrauen in nicht CA-zertifizierte Zertifikate zu verweigern? Warum sollten Browser sonst kein Option 2-Stammzertifikat akzeptieren?
Shautieh
@Shautieh Die Aufnahme in die Stammzertifizierungsstellenliste eines Browsers bietet enorme Leistung, da eine unsichere oder böswillige Zertifizierungsstelle die Sicherheit aller Websites gefährdet . Daher müssen die Browser-Anbieter eine wichtige Entscheidung treffen: Welchen Zertifizierungsstellen sollte jeder vertrauen? Laut diesem Ticket hat CAcert kein Audit bestanden , sodass der Antrag auf Aufnahme in Mozilla abgelehnt wurde. Dies ist Mozillas Inklusionspolitik , um zu sehen, wie ernst sie diese Entscheidung nehmen.
Stephen Jennings
1

Bei Comodo SSL erhalten Sie 90 Tage lang ein kostenloses Zertifikat für Subdomains. Dies ist die einzige, die ich gefunden habe und die von einer allgegenwärtig vertrauenswürdigen Zertifizierungsstelle bereitgestellt wird, die kostenlos und für Subdomains gültig ist. Ich habe es persönlich mit meiner kostenlosen Domain von no-ip verwendet. Leider ist es nur 90 Tage gültig, danach sind es 100 USD / Jahr (oder weniger für eine mehrjährige Verpflichtung).

drs
quelle
1
Wenn ich diesen Ansatz versuche, wird mir mitgeteilt, dass für die Domain über meiner bereits ein Konto vorhanden ist (z. B. versuche ich, eine CSR für michael.example.com zu senden, die ich besitze, und es wird mir mitgeteilt, dass für example.com bereits ein Konto vorhanden ist , die ich NICHT besitze.)
Michael