Welche Datei des selbst erstellen Zertifikat benötige ich für StartSSL

[DRIV3R]

Hallo Leute,

ich hab mal eine Frage. Ich habe heute das DSM 5.0 4458 Update 2 installiert wegen Heartbleed.
Nun möchte ich mir gerne bei StartSSL ein neues Zertifikat machen lassen, auch wenn ein revoke leider was kostet. Aber die Sicherheit ist es mir Wert.
Nun habe ich mir laut Wiki die ganzen Zertifikat Dateien erstellt, brauche für die Generierung des StartSSL Zertifikat ja aber nur eine oder zwei Dateien.
Ich würde das gerne über eigenen "private key" und "certificate request (csr)" machen.
Wenn ich bei StartSSL nun ein Zertifikat beantrage, kann ich ja die Generierung des "private keys" überspringen.
Im nächsten Schritt heißt es dann: Kopieren Sie den Inhalt vom "certificate request" in die Textbox.

1. Nur welche der vielen Dateien, die ich per wiki erstellt habe, wollten die haben?
2. Und muss ich die auch per StartSSL Toolbox decrypten, oder einfach nur aus der entsprechenden Datei per Copy & Paste einfügen?

Wer kann mir helfen?
Tausend Dank

Gruß
Timo

 

[Frogman]

Hier findest Du eine detaillierte Anleitung.

 

[DRIV3R]

Mehr als perfekt.
Vielen Dank.

Spricht deiner Meinung nach etwas für oder gegen 1024 bzw. 2048?
Im Wiki wird ja der Befehl mit 1024 Bit Länge, und bei heise mit 2048 Bit Länge generiert.

Ich bin da nicht so tief im Thema. Hat das eventuell Geschwindigkeits Vor-/ Nachteile?

EDIT
Schon erledigt. StartSSL nimmt nur 2048
EDIT

 

[Nebukadnezzar]

Moin,

mal eine wahrscheinlich naive Frag: welche potentiellen Security Probleme habe ich denn, wenn ich nicht ein neues Zertifikat generiere ?

Ich habe vor wenigen Wochen ein 1-järhiges Zertifikat bei StartSSl erstellt und in meine Synology importiert.
Aufgrund von Heartbleed habe ich nun meine Synology auf das update 2 aktualisiert.
Nun wollte ich ein neues Zertifikat erstellen, aber ein Revoke kostet immerhin $25
Ist das wirklich notwendig und welche möglichen Probleme bekomme ich mit meinem existierenden Zertifikat ?

Danke!

 

[DRIV3R]

Naja,

es ist ja so. Selbst wenn der Bug jetzt zum größtenteils gefixed wurde, ist es ja während des Bug´s möglich gewesen, deine Schlüssel auszulesen. So wie deine Passwörter.
Deshalb soll man ja auch seine Passwörter ändern. Denn sowohl deine Passwörter, wie auch deine SSL Schlüssel sind möglicherweise von wem auch immer ausgelesen. Und mit dem bekannten SSL Schlüssel ist es dann auch nach Bugfix möglich, "mitzulesen".
Ich denke schon, dass die Chance bei Privatleuten relativ klein ist. Aber um kein Risiko einzugehen, würde ich nicht nur die Passwörter wechseln, sondern auch ein neues SSL Zertifikat verwenden.

Ich hab es auch Kostengründen so gemacht:
Da ein revoke bei StartSSL ja für eine Subdomain, die schon ein SSL Zertifikat von StartSSL hat, kostenpflichtig ist, hab ich mir einfach eine neue Subdomain angelegt,
und dafür dann sozusagen ein zweites Zertifikat angelegt. Das "alte" nutze ich nicht mehr. So bleibt es kostenfrei.

Gruß
Timo

EDIT:
Die einzige Mühe die man sich dann machen muss, ist die Clients auf die "neue" Subdomain einzurichten.

 

[Nebukadnezzar]

Danke!
Das mit den Passwörtern ist mir natürlich klar und da bin ich auch schon fleißig am Ändern (was recht umfangreich ist )

Nur das mit dem Zertifikat habe ich nicht verstanden. Das Zertifikat habe ich mir nur zugelegt, um die Zugriffe von Außen problemfrei zu gestalten - sprich ohne die lästige Zertifikatsfehlermeldung.
Ich muss mich da wohl noch ein wenig einlesend, denn inwiefern das Auslesen des Zertifikats ein Sicherheitsproblem für mich darstellt, verstehe ich nicht.

 

[DRIV3R]

Ja ist alles ein wenig verwirrend.
Der SSL Schlüssel ist ja dafür da, dass die Daten zwischen deiner DS und dir, wenn du zum Beispiel an nem öffentlichen WLAN bist, verschlüsselt werden.
Damit kann dann niemand mitlesen, weder Passwörter, noch die Daten, die du überträgst. Ist ja SSL verschlüsselt.
Nun gab es den Bug, womit ja trotz SSL die Daten abgefischt, bzw. mitgelesen werden konnten. Wobei man sagen muss, dass dazu auch eine gewissen kriminelle Energie nötig ist. Der leibe Nachbar wird das wohl kaum machen.

Jetzt stell dir den schlimmsten Fall vor. Alle deine Passwörter wurden mitgelesen und auch der Schlüssel, mit den die gesamte Datenübertragung verschlüsselt wurde, ist auch bekannt.
Jetzt ist der Bug geschlossen, es ist also nicht mehr möglich, an deinen SSL Schlüssel zu kommen
Aber:
Der Schlüssel ist ja nun bekannt, durch den vorherigen Bug.
Jetzt nimmt man also den bekannten SSL Schlüssel und kann damit weiter fleissig deinen Datentransfer mitlesen, auch wenn der Bug zu ist.

Sagen wir mal frei übersetzt durch den Bug konnte ich mir eine Kopie deines Haustürschlüssels machen.
Nun ist der Bug zu, ich kann mir keine Kopie mehr machen. Aber:
Ich hab deinen Schlüssel ja schon. Und damit geh ich jetzt munter ein und aus bei dir.

Bedeutet also das es nicht reicht, nur die Möglichkeit sich einen Schlüssel zu machen gefixt werden muss, sondern auch das Schloss getauscht werden muss.

Gruß
Timo

 

[Nebukadnezzar]

JETZT habe ich es verstanden ... super und herzlichen Dank.
Also werde ich mein Zertifikat auch aktualisieren !

Nochmals Danke!