Photo Station Zertifikat SSL

[zeus1976]

Hallo Zusammen,

Ich möchte meine Photo Station auf HTTPS umstellen. Jetzt möchte ich ein offizielles Zertifkat bestellen, aber hier stellen sich bei mir einigen Fragen.

Konstellation:
- Cablecom Anschluss mit dynamische IP Adresse
- eigener Domain z.B. haus.ch
- habe einen Dyndns Eintrag (z.B haus.dyndns.org)

Jetzt ist es so, wenn man auf die Domaine zugreift, wird man automatisch (per CNAME) auf das Dyndns weitergeleitet, damit die Photo Station sehen kann.

Frage an Euch:
- Kann ich ein Zertfikat überhaupt mit dieser Konstellation bestellen?
- Soll das Zertifikat auf "haus.dyndns.org" oder auf "haus.ch" ausgestellt werden?
- Was für ein Zertifikat soll ich bestellen? (nur die Verbindung soll sicherer sein)
- Wo finde ich einen günstigen Anbieter?

Vielen Dank für Eure Hilfe.

Gruss

 

[Frogman]

Kann ich ein Zertfikat überhaupt mit dieser Konstellation bestellen?

Ja, kannst Du. SSL-Zertifikate kannst Du nur für Domains/Subdomains bekommen, die auch Dir gehören, d.h. Du musst eines für haus.ch bzw. eine Subdomain subdomain.haus.ch besorgen (die Subdomain kann im einfachsten Fall 'www' sein, d.h. 'www.haus.ch'). Eines für eine DDNS geht nicht! Willst Du aber auch nicht, denn wenn in der Adresszeile des Browser Deine Domain stehen soll, dann brauchst Du auch genau dafür das Zertifikat. Ein SSL-Zertifikat für eine Subdomain gibt es auch kostenlos für ein Jahr bspw. bei StartSSL (dieses Zertifikat entält neben der beantragten Subdomain auch die Nennung der Domain, d.h. es gilt sowohl für subdomain.haus.ch wie auch für haus.ch). Ansonsten bezahlst Du bei den diversen Anbietern wie bspw. GlobalSign eine Gebühr ab ca. 30 EUR/Jahr für ein Class1-Zertifikat. Es gibt daneben auch Class2-, 3- oder 4-Zertifikate, deren Unterschied aber nicht direkt die Sicherheit der Verschlüsselung betreffen (Class1 wird für eine Domain ausgestellt, Class2 geht nur an Institutionen und beinhaltet zusätzlich eine benannte Person im Zertifikat mit erweiterten Überprüfungen, Class3 und 4 erfordert dann nochmals strengere Prüfungen bei der Vergabe, d.h. je höher die Klasse, desto höher die Vertrauenswürdigkeit durch strengere Überprüfungen des Antragstellers - was aber den Preis erheblich in die Höhe treibt). Du als Privatperson solltest dementsprechend nur ein Class1-Zertifikat besorgen, das reicht.

 

[zeus1976]

Ja, kannst Du. SSL-Zertifikate kannst Du nur für Domains/Subdomains bekommen, die auch Dir gehören, d.h. Du musst eines für haus.ch bzw. eine Subdomain subdomain.haus.ch besorgen (die Subdomain kann im einfachsten Fall 'www' sein, d.h. 'www.haus.ch'). Eines für eine DDNS geht nicht! Willst Du aber auch nicht, denn wenn in der Adresszeile des Browser Deine Domain stehen soll, dann brauchst Du auch genau dafür das Zertifikat. Ein SSL-Zertifikat für eine Subdomain gibt es auch kostenlos für ein Jahr bspw. bei StartSSL (dieses Zertifikat entält neben der beantragten Subdomain auch die Nennung der Domain, d.h. es gilt sowohl für subdomain.haus.ch wie auch für haus.ch). Ansonsten bezahlst Du bei den diversen Anbietern wie bspw. GlobalSign eine Gebühr ab ca. 30 EUR/Jahr für ein Class1-Zertifikat. Es gibt daneben auch Class2-, 3- oder 4-Zertifikate, deren Unterschied aber nicht direkt die Sicherheit der Verschlüsselung betreffen (Class1 wird für eine Domain ausgestellt, Class2 geht nur an Institutionen und beinhaltet zusätzlich eine benannte Person im Zertifikat mit erweiterten Überprüfungen, Class3 und 4 erfordert dann nochmals strengere Prüfungen bei der Vergabe, d.h. je höher die Klasse, desto höher die Vertrauenswürdigkeit durch strengere Überprüfungen des Antragstellers - was aber den Preis erheblich in die Höhe treibt). Du als Privatperson solltest dementsprechend nur ein Class1-Zertifikat besorgen, das reicht.

Danke für Deine Antwort. Dachte ich mir fast.

Aber in diesem Fall werde ich das Problem nur lösen, wenn ich eine fixe IP Adresse habe und diese an meine Domaine verknüpfen kann oder gibt es eine Lösung für Dyndns?

Danke für Deine Hilfe.

Gruss

 

[jahlives]

Aber in diesem Fall werde ich das Problem nur lösen, wenn ich eine fixe IP Adresse habe und diese an meine Domaine verknüpfen kann oder gibt es eine Lösung für Dyndns?

jein Du könntest in der DNS Zone von haus.ch einen sogenannten CNAME Record machen und diesen auf deinen dyndns Namen zeigen lassen. Allerdings geht das nur für subdomain.haus.ch und nicht für haus.ch selber

 

[Frogman]

Nein, wie Du es denkst ist es grob schon ganz richtig. Über die DDNS im CNAME-Record deiner Subdomain (bspw. www.haus.ch) landet man bei Aufruf von http://www.haus.ch direkt auf Deiner DS (Portweiterleitung im Router vorausgesetzt). Da die DS dann ein Serverzertifikat auf 'www.haus.ch' ausliefert, wird die Verbindung als vertrauenswürdig eingestuft.

 

[zeus1976]

Danke für die Antwort.

Gibt es keine Probleme, wenn ich z.B

- upload.haus.ch -> Zertifikat erstelle Level 1
- Einen CNAME bei upload.haus.ch -> haus.dyndns.org mache

Gibt die Konstellation kein Problem mit dem Zertifikat?

Danke und Gruss

 

[Frogman]

Nein, kein Problem - das Zertifikat muss dann auf 'upload.haus.ch' ausgestellt werden. Die DDNS 'haus.dyndns.org' im CNAME sorgt ja nur dafür, dass man bei Deinem Anschluss landet.

 

[zeus1976]

Nein, wie Du es denkst ist es grob schon ganz richtig. Über die DDNS im CNAME-Record deiner Subdomain (bspw. www.haus.ch) landet man bei Aufruf von http://www.haus.ch direkt auf Deiner DS (Portweiterleitung im Router vorausgesetzt). Da die DS dann ein Serverzertifikat auf 'www.haus.ch' ausliefert, wird die Verbindung als vertrauenswürdig eingestuft.

Danke für die schnelle Antwort und Hilfe.

Gruss