Kostenloses oder Kostenpflichtiges SSL-Zertifikat?

  • Ich verwende auch hauptsächlich Let's Encrypt, weil es kostenlos ist.

    Aber das muss jeder selbst entscheiden, ob er er Geld ausgeben möchte. Solche Zertifikate ist glaub ich jährlich zum bezahlen oder?

    Für meine Seiten reicht es vollkommen.

  • Ich hab Cloudflare xD Da kann man zwar leider nicht die Zertifikate direkt bekommen sondern muss die cloudflare server als proxy akzeptieren dafür bekommmt man aber vie mehr sicherheitsoptionen

    Die Kommunikation ist dennoch unverschlüsselt zwischen CF und Ziel

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Hi,

    Abhängig davon wie groß das Unternehmen ist sollte in ein SSL Zertifikat investiert werden.

    Wie Syntafin bereits geschrieben hat, reicht für private Projekte oder auch kleine Unternehmungen, ein letsencrypt bzw. ZeroSSL mehr als vollkommen aus.


    Unternehmen in welchen tatsächlich mit Kundendaten gearbeitet wird ( SocialMedia Plattformen, Banken, Versicherungen, ... ) sollten spätestens in ein größeres Zertifikat investiert werden.

    LetsEncrypt prüft letzten endes nur den Besitz der Domain und den dazugehörigen Webspace.

    Größere Zertifikate prüfen Organisationen, auf deren Gültigkeit, und das nächste größere sogar die Gesellschafter bzw. den Geschäftsführer inkl. Organisation und den Domainbesitzt.

    Der riesen Nachteil bei den kostenfreien SSL Zertifikaten ist die Haftung.

    Die Zertifikate verwenden die selbe verschlüsselung, sollten die Zertifikate aber einen Fehler haben oder doch nicht "sicher" sein und ein Schaden entstehen, so übernehmen die Aussteller hierfür keine Haftung, was bei den großen Zertifikaten sehr wohl der Fall ist.

  • Hallo,

    Von der technischen Seite gibt es keine Vorteile. Die Zertifikate werden mit dem selben Algorithmus generiert.

    Für den Betreiber, welcher auch die Kosten mit einem solchigen Zertifikat hat, sieht die Sache allerdings anders aus.

    Denn, der Vorteil liegt im großen Teil an der Haftung im Schadensfall für den Betreiber der Plattform.

    Wenn Kundendaten an die Öffentlichkeit dringen, und dies auf eine Schwachstelle im Zertifikat zurückzuführen ist, so übernehmen kostenfreie Anbieter, hier keinerlei Haftung. Kostenpflichtige Anbieter haben hier teilweise Schadenssummen mit abgedeckt.

    Für den Benutzer macht es aus technischer Sicht ebenfalls keinen Unterschied, da eben die selbige Technologie verwendet wird.

    Allerdings kann man als Benutzer das Zertifikat prüfen, und sehen wer dieses Ausgestellt hat. Wenn man dieser Pflicht nachkommt und sieht, dass das Zertifikat ein kostenfreies ist, ist es durchaus möglich, dass Kunden Ihre Daten nicht so gerne eingeben.


    Leider ist die SSL-Verschlüsselung falsch an die Masse kommuniziert, denn nur weil ein/e Webseite / Projekt / Programm eine auf SSL basierte Verschlüsselung verwendet, heißt dies nicht, dass die Verbindung sicher ist.

    Es heißt lediglich, dass mit dem Server kommuniziert wird, auf welchen das Zertifikat ausgestellt wurde. Wenn sich allerdings jemand eine Domain registriert und diese mittels letsencrypt ein Zertifikat ausstellen lässt, heißt dies nur, dass die Verbindung zum jeweiligen Server verschlüsselt ist. Es ist kein garant dafür, dass dieser die Daten nicht zweckentfremdet.

    Wenn man als Benutzer mit einem Server kommuniziert, bei welcher nicht nur die Domain Verifiziert ist ( level 1 ) sondern auch die Organisation ( level 2 ) verifiziert wurde, und noch besser auch die Geschäftseigentüber / Inhaber / Gesellschafter ( level 3 ) hat man im Schadensfall jedenfalls die Möglichkeit sich an diese jeweilige Organisation / Personen zu wenden.

    Und eben genau bei letsEncrypt / ZeroSSL wird eben nur das level 1 Zertifikat generiert.

    lG

  • Günstige fangen bei 50€ an für reine Domainvalidierung (das was zB auch Let's Encrypt und ZeroSSL machen).

    EV Zertifikat waren glaube so 500€ Minimum im Jahr, erfordern aber auch ein Gewerbe.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • kann man einstellen, wie man das haben möchte. der cloudflare proxy akzeptiert auch ein vollkommen selbst sigibiertes zertifikat, dann sind die daten wenigstens verschlüsselt. und durch cloudflare bleibt die wahre server ip geheim. und was nicht bekannt ist, kann nicht angegriffen werden.

    Ja, dann ist man aber nicht sicher vor MitM und DNS Manipulationen, da das Origin Zertifikat sonst was sein kann.

    Und spätestens wenn du gedenkst Mails zu versenden, ist der sogenannte Schutz der IP eh hinfällig, die ist nämlich dann auffindbar da sonst keine Zustellung erfolgt.

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

  • Ja, dann ist man aber nicht sicher vor MitM und DNS Manipulationen, da das Origin Zertifikat sonst was sein kann.

    Und spätestens wenn du gedenkst Mails zu versenden, ist der sogenannte Schutz der IP eh hinfällig, die ist nämlich dann auffindbar da sonst keine Zustellung erfolgt.

    Das stimmt natürlich. da müsste man sich einen vertrauenswürdigen smtp server suchen

  • Seit dem Start von Let's Encrypt gibt es für den Großteil der Fälle kaum noch sinnvolle Situationen, weshalb man LE nicht einsetzen sollte. Allerdings sind mir gerade im Unternehmensbereich folgende Argumente immer wieder über den Weg gekommen:

    • Zertifikate, die nicht Web-Traffic oder Mail absichern, sondern etwas anderes.
    • Umgebungen, in denen längere Gültigkeiten notwendig sind
    • Umgebungen, die teilweise nur mit lokalen Netzwerken arbeiten oder nur sehr stark selektiert ins Internet zugreifen

    In dem Unternehmen, in dem ich arbeite, verwenden wir eine eigene CA, die von jedem Gerät, das wir ausgeben als vertrauenswürdig angesehen sind. Der Vorteil ist, dass man sehr granular konfigurieren kann, schnell lokale Testumgebugnen aufsetzen kann und nicht von Dritten abhängig ist, was die Regeln vom Vertrauensentzug für Zertifikate angeht (dies führt jedoch in vielen Fällen da, dass von den Regeln des CA/Browser Forum nach unten abgewichen wird, bei uns werden deise jedoch beibehalten, zeitlich jedoch etwas verlängert, um Wochenenden und Feiertage abzufangen).

  • Moin,

    mich würde es mal interessieren ob es doch noch einige gibt die ein Kostenpflichtiges SSL-Zertifikat bei ihrer Seite einsetzen oder ob die meisten überwiegend nur auf Kostenlose Zertifikate wie zum Beispiel "Let's Encrypt" einsetzen. Gerne mal begründen warum :/

    Ich nutze ein kostenpflichtiges SSL, denn ich möchte mich von der Masse abgrenzen und es kostet mich so um die 30 Euro im Jahr.

    Bin mir Recht sicher, dass es auch hilft, oder in der Zukunft zum Tragen kommt, wenn es darum geht, wer wo in den SERP steht.

    .

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!