Die Chinesen machen es möglich (schon wieder die Chinesen 😉 ). Eine neue Zertifizierungsstelle aus China erstellt kostenlose SHA256 SSL Zertifikate mit 3 Jahren Gültigkeit, ausgestellt von WoSign (unbekannt) aber Cross-Signed von StartCom (sehr bekannt).
Aus der Historie aller News über WoSign (z.B. Golem.de) entnehme ich, dass WoSign bisher nur 2 Jahre Zertifikate ausgestellt hat. Die Möglichkeit für 3 Jahre Gültigkeit scheint neu zu sein.
Die Anmeldung verlangt lediglich eine gültige eMailadresse. Validiert wird die eigene Domain entweder per eMail an z.B. hostmaster@domain.com, oder per Activation-Key-File in Form einer domain.com.html Datei, die auf http://meinedomain.com/domain.com.html hochgeladen werden muss. Das signierte Zertifikat erhält man sofort als Download in einem File meinedomain.com_sha256_en.zip, darin befinden sich das Zertifikat plus Chainfile im PEM Format.
Wichtig ist, bei der Anforderung eines Zertifikates NICHT WoSign die Generierung überlassen.
Wenn WoSign die Generierung übernimmt, fällt der PrivateKey in deren Hände. Bitte nicht tun.
Damit würde der Private-Key von WoSign erstellt, was man ganz sicher nicht haben möchte! Die Generierung eines eigenen Keys – hier im Beispiel ohne Passwort – und eines so genannten CSR Certificate Signing Request ist besonders unter Linux kinderleicht:
Private Key erstellen
SSL Private Key generieren:
cd ~ openssl genrsa -out ~/meinedomain.com.key 4096
CSR erstellen
SSL CSR Certificate Signing Request erstellen:
openssl req -new -sha256 -key ~/meinedomain.com.key -out ~/meinedomain.com.csr
Die Generierung verlangt einige Eingaben. Wichtig ist, bei der Frage nach der Common Name unbedingt deinen Domainnamen (FQDN) angeben. Ein Beispiel für schroeffu.ch wäre:
Country Name (2 letter code) [AU]:CH State or Province Name (full name) [Some-State]:Bern Locality Name (eg, city) []:Bern Organization Name (eg, company) [Internet Widgits Pty Ltd]:Schroeffu Blog Organizational Unit Name (eg, section) []:Schroeffu Private Unit Common Name (eg, YOUR name) []:schroeffu.ch Email Address []:meinemail@schroeffu.ch A challenge password []: (leer lassen) An optional company name []: (leer lassen)
Der Inhalt der neuen Datei meinedomain.com.csr kann jetzt bei WoSign in das dafür vorgesehen Feld einkopiert werden. CSR anzeigen:
cat ~/meinedomain.com.csr
Tipp: Man kann bis zu 9 Subdomains als Alias mit signieren lassen. Man sollte unbedingt nebst meinedomain.de die Subdomain www.meinedomain.de bei WoSign im entsprechenden Formular angeben.
(Danke an den Tom aus den Kommentaren von exdc.net für diesen gradiosen Tipp)
16 Kommentare
Jochen · 19. September 2015 um 08:53
Offensichtlich wollte WoSign mit dieser Aktion nur auf sich aufmerksam machen, denn seit 17.09.2015 werden die kostenlosen Zertifikate nur noch für ein 1 Jahr und auch nicht mehr mit Multidomain-Support angeboten. Wer schnell war, hat also Glück gehabt.
Gruß
Jochen
Schroeffu · 19. September 2015 um 23:36
Hallo Jochen
Hauu, eben dies habe ich vor 3 Tagen auch entdeckt. Ich bin total enttäuscht, zumal mein Artikel damit eigentlich Trash geworden ist 🙁 Ein 1 Jahres Zertifikat geht ja noch, aber ohne Alias/MultiDomain Support ist das totaler Mist.
Von Super-Brauchbar zu Nur-im-Notfall-benutzen-Schrott. Schade! Also doch wieder die kostenlosen 1 Jahres Zertifikate von http://www.startssl.com benutzen, bis Lets-Encrypt endlich durchstartet.
Grüsse Schroeffu
Watcher · 23. September 2015 um 17:38
Hallo,
ich habe den Artikel gelesen und habe mich sehr gefreut. Ich habe 2 Zertifikate ergattert. Aber sehr schade, dass das kein dauerhaftes Angebot war. Aber diese CA hat immer noch ihre Vorteile. So ist es immer noch mit sehr wenig Arbeit möglich ein Zertifikat zu erstellen. Ebenfalls ist es kein Problem ein Zertifikat für eine Subdomain auszustellen. Das ist meiner Erinnerung nach bei StartSSL deutlich aufwendiger. Und mehrere Zertifikate sind dank Zertifikat, welches man bei sich auf dem Computer zwecks Authentifizierung installieren muss.
Viele Grüße
The Watcher
Finn10111 · 23. September 2015 um 20:41
Danke für den Tipp!
Leider nur erhalte ich weder eine Bestätigungs-E-Mail noch funktioniert die Validierung per HTML Dokument. Auf dem Web- und Mail-Server sehe ich keine Verbindungsversuche. Probiert habe ich es heute und vor ein paar Tagen bereits schon einmal. Schade, hat vielleicht jemand das gleiche Problem?
Schroeffu · 29. September 2015 um 12:38
Hallo Finn,
Das Problem mit dem Nicht-Erhalten einer Bestätigungs-eMail hatte ich auch. Zuerst dachte ich, es liegt an meinem Dovecot mit TLS Only, aber daran scheint es doch nicht zu liegen weil alles klappt nur WoSign nicht. HTML Dokument Validierung hingegen hat problemlos geklappt. Am Besten nochmal versuchen damit 🙂
Tekin · 29. Oktober 2015 um 22:05
Hallo,
ich habe eben 1 Zertifikat für 3 jahre gekauft und installiert.kostet 3 jahre $3,98 USD (€3,75 EUR) per Paypal bezahlt.
Zertifikat Info: WoSign Class 1 DV Server CA G2 (nicht mehr —>> WoSign CA Free SSL Certificate G2)
Grüße Tekin
Schroeffu · 16. Februar 2016 um 12:47
Update: Derzeit gibt es wieder 3 Jahres Zertifikate von WoSign, inklusive bis 5 SubDomains kostenlos.
Senior · 29. Februar 2016 um 15:22
@ schroeffu
Wir haben einiges gemeinsam: Mein Mb-Stick tut auch noch, und mein Hoster ist auf https://letsencrypt.org/ umgestiegen, komfortabel!
Nils · 8. April 2016 um 15:11
3 Jahre gratis, läuft! Allerdings wundert mich, was Google mir in die WT geschickt hat. Habe natürlich die HTTPs Version dort hinzugefügt. Laut Wosign gilt das Zertifikat für die www Version und auch für die ohne. Allerdings sagte Google mir mit einer GWT Nachricht, dass das Zertifikat nicht für die www. Version gelten sollte / würde.
Hat jemand schon mal das gleiche Problem gehabt?
LG
Nils
Schroeffu · 8. April 2016 um 16:15
Hallo Nils,
du kannst mit jedem Browser die Details des Zertifikats anschauen, hier ein Beispiel mit Firefox > schroeffu.ch (auf das Schloss in der URL-Zeile > „Weitere Informationen“ klicken) Screenshot: http://imgur.com/2dHpmki
WoSign hat zumindest bei mir automatisch www. als Subdomain hinzugefügt. Bei dir auch?
Nils · 8. April 2016 um 16:19
Hey SCHROEFFU,
danke für den Tipp. Es werden als DNS-Name beide „Domains“ angezeigt, also einmal die WWW-Variante und auch die ohne. Somit sollte das Zertifikat ja für beide Domains gelten.
In den GWT habe ich dann die Domain einfach mit https://www.domain.com hinzugefügt. Er packt sie dann allerdings mit https://www.domain.com/ dazu (also mit Slash am Ende). Kann es daran wohl liegen? Wobei ich das auch komisch fände.
LG
Nils
Schroeffu · 8. April 2016 um 16:26
Nee, da hast du recht, das sogn. „Trailing Slash“ sollte niemals störend sein weil die Zertifikate alle ohne Slash verarbeitet werden.
GWT oder Google WT kenne ich nicht, meinst du Google Webmaster / Search Console https://www.google.com/webmasters/tools/home ?
Schroeffu · 8. April 2016 um 16:31
Haha ich Depperl, natürlich steht WT für „Webmaster Tools“ 🙂
Wenn du magst kannst du mir die Domain an info@schroeffu.ch mitteilen, dann schaue ich gerne auch mal drüber was die Ursache sein könnte. Aus der Entfernung schwer einzuschätzen, aber eigentlich mit der Anleitung müsste alles perfekts ein :- )) Alternativ einfach die diversen SSL Tests drüber rennen lassen, die geben manchmal auch Tipps für Fehlkonfigurationen aus. Z.B. https://www.ssllabs.com/ssltest/ (der Beste) aber auch https://www.sslshopper.com/ssl-checker.html oder https://ssl-trust.com/SSL-Zertifikate/check
Michael · 25. August 2017 um 19:40
Die haben wohl SSL dicht gemacht.
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
Wordpress auf 100% HTTPS-only umstellen, HTTP vollständig deaktivieren » schroeffu.blog · 1. September 2015 um 21:58
[…] ist es problemlos möglich, kostenlose und offiziell signierte Zertifikate über 3 Jahre Gültigkeit zu erhalten. Aus meiner Sicht spricht nichts mehr dagegen, meinen eigenen […]
von http nach https nach http – wic · 1. Juni 2017 um 16:27
[…] https://schroeffu.ch/2015/09/kostenlose-ssl-zertifikate-mit-3-jahren-gueltigkeit-erstellen-lassen/ […]