Abo
  • Services:
Anzeige
Mit Wosign gibt es jetzt eine weitere Möglichkeit, kostenlos TLS-Zertifikate zu erhalten.
Mit Wosign gibt es jetzt eine weitere Möglichkeit, kostenlos TLS-Zertifikate zu erhalten. (Bild: Wosign)

Wosign: Kostenlose TLS-Zertifikate aus China

Mit Wosign gibt es jetzt eine weitere Möglichkeit, kostenlos TLS-Zertifikate zu erhalten.
Mit Wosign gibt es jetzt eine weitere Möglichkeit, kostenlos TLS-Zertifikate zu erhalten. (Bild: Wosign)

Eine neue Zertifizierungsstelle aus China bietet für zwei Jahre gültige kostenlose TLS-Zertifikate an. Dabei gibt es allerdings noch einen kleinen Haken in Sachen Signaturalgorithmus.

Anzeige

Während vor einigen Jahren Zertifikate für verschlüsselte HTTPS-Webseiten noch als teuer galten, ist der neue Trend, dass diese immer häufiger kostenlos verfügbar sind. Mit Wosign gibt es jetzt eine weitere Zertifizierungsstelle, die kostenlose Zertifikate ausstellt. Wosign ist in Shenzhen in China beheimatet, was sicher bei einigen Menschen für Vorbehalte sorgen dürfte. Doch aus technischer Sicht sind solche Vorbehalte unbegründet.

Schon bisher kann man kostenlose TLS-Zertifikate von der israelischen Firma StartSSL erhalten. Diese haben allerdings einige Nachteile. Sie haben nur eine Gültigkeit von einem Jahr, was häufige Zertifikatswechsel erfordert. Während die Zertifikate von StartSSL früher an jeden ausgegeben wurden, ist inzwischen auf der Webseite zu lesen, dass die kostenlosen Zertifikate nur für nichtkommerzielle Zwecke genutzt werden dürfen. Aus dem Umfeld von Mozilla und der EFF ist eine weitere kostenlose Zertifizierungsstelle geplant: Let's encrypt soll im Sommer dieses Jahres starten.

Interface in chinesischer Sprache

Mit Wosign gibt es nun ein weiteres Angebot für kostenlose Zertifikate. Allerdings dürfte die Bestellung bei vielen für Kopfzerbrechen sorgen, denn das Interface ist zur Zeit ausschließlich in Mandarin verfügbar. Es gibt jedoch eine inoffizielle englischsprachige Anleitung mit Screenshots im Blog von Freerk Ohling. Mit Hilfe dieser Anleitung und Google Translate gelingt es auch ohne Sprachkenntnisse, sich ein Zertifikat zu bestellen.

Die Bestellungen werden manuell bearbeitet, es kann einige Stunden dauern, bis das Zertifikat letztendlich verfügbar ist. Bedenken sollte man, dass die OCSP-Server zur Gültigkeitsprüfung in China stehen. Daher sind die OCSP-Prüfungen, die manche Browser beim Laden einer Seite durchführen, relativ langsam. Es empfiehlt sich daher, auf jeden Fall OCSP Stapling zu nutzen, um Ladezeitverzögerungen durch langsame OCSP-Antworten zu verhindern.

Neben der Gültigkeit von zwei Jahren gibt es einen weiteren kleinen Vorteil von Wosign gegenüber StartSSL: Man kann auch Zertifikate erstellen, die nur für einzelne Subdomains gelten. Bei StartSSL sind alle Zertifikate grundsätzlichen auch für die Hauptdomain gültig. In einigen Fällen ist dies nicht erwünscht.

Wosign ist nicht direkt in den Webbrowsern integriert. Stattdessen ist das Zertifikat von Wosign selbst wiederum von StartSSL signiert. Somit werden die Wosign-Zertifikate von allen modernen Browsern akzeptiert. Einen Nachteil hat das Ganze allerdings: Das Zwischenzertifikat von Wosign hat zur Zeit eine Signatur mit dem Hash-Algorithmus SHA-1. Dieser gilt schon länger als problematisch, und im vergangenen Jahr hat Google angekündigt, im Chrome-Browser vor entsprechenden Zertifikaten in verschiedenen Stufen zu warnen. Wosign hat jedoch bereits ein neues Zwischenzertifikat bei StartSSL beantragt, somit dürfte sich dieses Problem in Kürze erledigt haben.

Zertifikate aus China keine Neuheit

Für die größten Vorbehalte dürfte wohl sorgen, dass Wosign in China betrieben wird. Allerdings: Zu neuen Sicherheitsproblemen wird das wohl nicht führen. Schon jetzt akzeptieren die großen Browser Zertifikate der Zertifizierungsstelle CNNIC (China Internet Network Information Center), einer Organisation, die dem chinesischen Informationsministerium unterstellt ist.

Wosign bietet, wie einige andere Zertifizierungsstellen auch, die Möglichkeit, sich den privaten Schlüssel auf dem Server erstellen zu lassen. Davon ist generell dringend abzuraten - völlig unabhängig davon, für wie vertrauenswürdig man eine Zertifizierungsstelle hält. Vielmehr sollte man auf dem lokalen Rechner ein sogenanntes Certificate Signing Request (CSR) erzeugen und über diesen Weg ein Zertifikat anfordern.

Key Pinning schützt vor kompromittierten Zertifizierungsstellen

Für welche Zertifizierungsstelle sich ein Webseitenbetreiber entscheidet, ist aus Sicherheitsgründen im Grunde egal. Denn auch jede andere Zertifizierungsstelle kann gefälschte Zertifikate für eine Seite ausstellen. Teilweise verhindern kann man solche Angriffe durch böswillige Zertifizierungsstellen, indem man HTTP Public Key Pinning einsetzt.

Nachtrag vom 13. Februar 2015, 12:11 Uhr

Inzwischen gibt es von Wosign neue Zwischenzertifikate, die mit SHA256 signiert sind. Somit gibt es keine Probleme mit aktuellen Browsern. Weiterhin ist das Interface zur Bestellung von Zertifikaten jetzt auch auf Englisch verfügbar.


eye home zur Startseite
Frank 13. Feb 2015

Der TLS-Handshake benötigt zusätzliches Datenvolumen, vor allem aber zusätzliche...

patrik.stutz 13. Feb 2015

Einfache Lösung: Alle CAs standardmässig aus den Browsern entfernen. Wenn der User einer...

RipClaw 08. Feb 2015

Kann ich bestätigen. Neulich hatte ein Kunde das Problem das der Mailversand über seinen...



Anzeige

Stellenmarkt
  1. Rhenus Assets & Services GmbH & Co. KG, Holzwickede
  2. Bosch Sensortec GmbH, Reutlingen
  3. MBtech Group GmbH & Co. KGaA, Neu-Ulm, Lindau
  4. über SCHLAGHECK RADTKE OLDIGES executive consultants GmbH, München


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  2. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. SWEET32

    Kurze Verschlüsselungsblöcke sorgen für Kollisionen

  2. Mobilfunk

    Telekom bietet Apple Music wohl als Streamingoption an

  3. Android 7.0

    Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  4. DSLR

    Canon EOS 5D Mark IV mit 30,4 Megapixeln und 4K-Video

  5. Touchscreen-Ausfälle

    iPhone 6 und 6 Plus womöglich mit Konstruktionsfehler

  6. Honor 8

    Dual-Kamera-Smartphone kostet ab 400 Euro in Deutschland

  7. Eigengebote

    BGH verurteilt Preistreiber zu hohem Schadenersatz

  8. IDE

    Kdevelop 5.0 nutzt Clang für Sprachunterstützung

  9. Hybridluftschiff

    Airlander 10 landet auf der Nase

  10. Verschlüsselung

    Regierung will nun doch keine Backdoors



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Warenzustellung Schweizer Post testet autonome Lieferroboter
  2. Lockheed Martin Roboter Spider repariert Luftschiffe
  3. Kinderroboter Myon Einauge lernt, Einauge hat Körper

  1. Re: Legal?

    leed | 09:49

  2. Re: Irgendwas machen die Leute falsch

    unbuntu | 09:49

  3. Re: Canon <> Ferrari - eher Passat Alltrack

    ThomasDresden | 09:48

  4. Und die nächste tolle Bezeichnung: Bitter64

    DebugErr | 09:47

  5. Re: Da stellt sich eine Frage an Google

    ThaKilla | 09:47


  1. 09:31

  2. 09:15

  3. 08:51

  4. 07:55

  5. 07:27

  6. 19:21

  7. 17:12

  8. 16:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel