StartCom stellt ab 2018 keine Zertifikate mehr aus …

In den vergangenen Jahren habe auch ich von StartCom die kostenlosen SSL Zertifikate genutzt – das Ende wurde jedoch schon Anfang des Jahres (leider) eingeläutet.

Nachdem seit Anfang 2017 bereits Mozilla im Browser Firefox den Zertifikaten von StartCom (und WoSign) nicht mehr vertraut wurden, zog einige Zeit später auch Google im Browser Chrome nach und entfernte auch in diesem die Rootzertifikate (RootCA’s) von StartCom, damit auch diesen nicht mehr vertraut wird. Mittlerweile vertraut auch Apple den Zertifikaten nicht mehr, welche nach dem 01.12.2016 ausgestellt wurden.

Grund hierzu waren Richtlinienvertröße bei den Zertifizierungsstellen.

Nun zog die Firma StartCom endgültig den Stecker und stellt ab 01.01.2018 keine Zertifikate mehr aus.

Die bisher ausgestellten Zertifikate behalten zunächst noch Ihre Gültigkeit, Verlängerungen werden ab Januar 2018 nicht mehr ausgeführt. Ab 2020 verlieren jedoch auch bis dann noch vorhandene Zertifikate die Gültigkeit.

Eine mögliche Alternative dazu wäre Let’s Encrypt

Link zur Abkündigung von StartCom

 

Viel Spass noch beim testen…

Firebox – ssl_error_weak_server_ephemeral_dh_key

Vor einigen Wochen hat (u.a.) Firefox damit begonnen, die alten unsicheren SSL3 Protokolle zu sperren.

Diese nutzen einen schwachen, kurzlebigen Diffie-Hellman-Schlüssel im Handshake.

Allerdings sind bzw. waren damit Man-In-The-Middle-Attacken möglich. Die Verbindung ist daher nicht mehr sicher!

Nun greifen eben einige Browser durch – allerdings verwenden auch einige interne Server noch solch ein altes Protokoll.

Problematischer wird es eher bei einigen Routern wie z.B. die Speedport-Serie der Telekom oder einige FritzBox’en von AVM.

Greift man nun mit FireFox auf eine solche Seite zu, erhält man nur noch folgenden Fehler angezeigt:

ssl_error_weak_server_ephemeral_dh_key_firefox

Das einfachste hierzu wäre (dauerhaft) natürlich ein Zertifikatswechsel und die Nutzung eines sicheren Protokolls – darauf hat man hier jedoch kein direkten Einfluss…

Will man den Server trotzdem nutzen, gibt es einen Workaround.

Öffne FireFox und gebe in die Adresszeile folgendes ein.

about:config

Bestätige nun die Sicherheitsabfrage

Anschließend muss nachfolgende Zeile im Suchfeld eingefügt werden.

security.ssl3.dhe_rsa_aes_256_sha

Mit einem Doppelklick wird der Wert auf >>false<< umgestellt.

Wiederhole das ganze auch für nachfolgende Zeile.

security.ssl3.dhe_rsa_aes_128_sha

Anschließend sollte der Zugriff wieder klappen.

Dies ist jedoch nur ein Workaround – das ursprüngliche Problem der unsicheren Verschlüsselung besteht weiterhin, also Vorsicht!

Viel Spass beim testen …

Verlängern eines StartSSL™ Free (Class 1) SSL Zertifikat


Achtung!

StartCom stellt ab 01.01.2018 keine SSL Zertifikate mehr aus!

Das in diesem Artikel beschriebene Verfahren ist somit hinfällig!

Weitere Infos unter https://www.small-blog.de/startcom-stellt-ab-2018-keine-zertifikate-mehr-aus/


 

-= Diese Beschreibung wurde im Dez. 2014 sowie im Dez. 2015 und im Nov. 2016 erweitert bzw. aktualisiert =-

Du nutzt ein kostenloses SSL Zertifikat von StartSSL.com ?

Das einjährige Zertifikat läuft (mal wieder 😉 ) in kurzer Zeit ab?

=> Hinweis: Nach dem derzeitigen Stand verlängert sich das Zertifikat um 3 Jahre (statt 1) und es lassen sich bis zu 10 (ja zehn!) Subdomains konfigurieren.

Kein Problem – mit folgender Anleitung lässt es sich verlängern und muss nicht neu erstellt werden.

 

  1. Das SSL Zertifikat von startssl.com ist ein kostenfreies Class 1 Zertifikat, welches jedes Jahr erneuert werden muss. 2 Wochen vor Ablauf wird man per Mail informiert. Aber es genügt leider nicht, nur das SSL Zertifikat zu verlängern – auch die E-Mail Validierung muss als erstes vorgenommen werden.
    (=> www.startssl.com => „Login“ => „Client Certificate Login“ => „Validations Wizard“ => „Email Validation“).
  2. Gib deine Mailadresse an
  3. Anschließend schickt euch StartSSL eine Mail mit einem Code, welcher auf dieser nachfolgenden Seite eingegeben werden muss.
  4. Ebenso muss auch das S/MIME Authentifizierungszertifikat erneuert werden. Solltest du dies nicht (rechtzeitig) erneuern, kannst du dich mit diesem Account nicht mehr einloggen. Neben deiner Mailadresse musst du auch noch unten den Punkt „Genereted by WebServer
  5. Die Webseite stellt nun eine Frage, welche unbedingt mit „JA“ beantwortet werden muss. Dann wird das Zertifikat im Browser installiert.
  6. Bitte auch der Hinweis – sichert das Browserzertifikat.
  7. Nun kommt das eigentliche SSL Zertifikat des Server’s dran, dies zu erneuern. Erstelle hierzu auf dem Server, auf welchem das derzeitige SSL Zertifikat aktiv ist, eine Zertifikatsanforderung (in meinem aktuellen Beispiel ist es ein SBS2008). Um dies durchzuführen, müssen folgende Schritte durchgeführt werden:
    – öffne die Windows SBS Console
    – klicke auf „Vertrauensw. Zertifikat hinzufügen“
    – wähle aus, das du ein Zertifikat erneuern möchtest (müsste die erste Option sein, wenn ich mich nicht täusche)
    – anschließend wird eine Zertifikatsanforderung erzeugt und angezeigt, welche du in eine Datei abspeichern kannst (und solltest).
    Hinweis: bei anderen Systemen (z.B. IIS, Apache, etc.) ist eine andere Vorgehensweise erforderlich – diese müsst ihr bitte selbst in Erfahrung bringen (oder Dr. Google fragen 😉 )
  8. Bevor nun das SSL Zertifikat angefordert werden kann, muss zunächst noch die „Domain Validation“ ausgeführt werden.  Wechsle hierzu auf „Validation Wizard“ -> Domain Validation -> deine root-Domäne angeben (keine Subdomain!) -> Mailadresse auswählen (meist die postmaster Adresse) -> Mail abwarten und -> Verification Code hinterlegen.domval01 domval02 domval03 domval04
  9. Ist die Anforderung wie oben erzeugt (meistens in eine Datei exportiert), kann das eigentliche Zertifikat beantragt werden.
  10. Die Subdomain in der ersten Zeile ist immer der Hauptbezug auf das Zertifikat. Unten muss dann noch der Punkt „Generated by Myself“ angeklickt werden und der generierte CRS reinkopiert werden. An dieser Stellte MEMO an mich selbst – du hast die autodiscover-DOM vergessen!!!
  11. Nach der Bestätigung kann man direkt die erzeugten, neuen Zertifikate herunterladen.
  12. Diesmal geht die Generierung sehr fix. Im Zipfile sind neben dem IIS Daten auch für z.B. einen Apache Daten hinterlegt.
  13. zip01
  14. Importiere nun zunächst das Zwischenzertifika „1_Intermediate.crt“
  15. Anschließend kann das eigentliche Zertifikat (wie in meinem Falle) im Exchange hinterlegt werden.
  16. Nun ist dein kostenfreies SSL Zertifikat erneuert – diesmal gleich um 3 weitere Jahre 😉

 

Enjoy it 😉