Die Chinesen machen es möglich (schon wieder die Chinesen 😉 ). Eine neue Zertifizierungsstelle aus China erstellt kostenlose SHA256 SSL Zertifikate mit 3 Jahren Gültigkeit, ausgestellt von WoSign (unbekannt) aber Cross-Signed von StartCom (sehr bekannt).

Aus der Historie aller News über WoSign (z.B. Golem.de) entnehme ich, dass WoSign bisher nur 2 Jahre Zertifikate ausgestellt hat. Die Möglichkeit für 3 Jahre Gültigkeit scheint neu zu sein.

Die Anmeldung verlangt lediglich eine gültige eMailadresse. Validiert wird die eigene Domain entweder per eMail an z.B. hostmaster@domain.com, oder per Activation-Key-File in Form einer domain.com.html Datei, die auf http://meinedomain.com/domain.com.html hochgeladen werden muss. Das signierte Zertifikat erhält man sofort als Download in einem File meinedomain.com_sha256_en.zip, darin befinden sich das Zertifikat plus Chainfile im PEM Format.

Wichtig ist, bei der Anforderung eines Zertifikates NICHT WoSign die Generierung überlassen.

Wenn WoSign die Generierung übernimmt, fällt der PrivateKey in deren Hände. Bitte nicht tun.

Damit würde der Private-Key von WoSign erstellt, was man ganz sicher nicht haben möchte! Die Generierung eines eigenen Keys – hier im Beispiel ohne Passwort – und eines so genannten CSR Certificate Signing Request ist besonders unter Linux kinderleicht:

Private Key erstellen

SSL Private Key generieren:

cd ~
openssl genrsa -out ~/meinedomain.com.key 4096

CSR erstellen

SSL CSR Certificate Signing Request erstellen:

openssl req -new -sha256 -key ~/meinedomain.com.key -out ~/meinedomain.com.csr

Die Generierung verlangt einige Eingaben. Wichtig ist, bei der Frage nach der Common Name unbedingt deinen Domainnamen (FQDN) angeben. Ein Beispiel für schroeffu.ch wäre:

Country Name (2 letter code) [AU]:CH
State or Province Name (full name) [Some-State]:Bern
Locality Name (eg, city) []:Bern
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Schroeffu Blog
Organizational Unit Name (eg, section) []:Schroeffu Private Unit
Common Name (eg, YOUR name) []:schroeffu.ch
Email Address []:meinemail@schroeffu.ch

A challenge password []: (leer lassen)
An optional company name []: (leer lassen)

Der Inhalt der neuen Datei meinedomain.com.csr kann jetzt bei WoSign in das dafür vorgesehen Feld einkopiert werden. CSR anzeigen:

cat ~/meinedomain.com.csr

Tipp: Man kann bis zu 9 Subdomains als Alias mit signieren lassen. Man sollte unbedingt nebst meinedomain.de die Subdomain www.meinedomain.de bei WoSign im entsprechenden Formular angeben.

(Danke an den Tom aus den Kommentaren von exdc.net für diesen gradiosen Tipp)

Kategorien: LinuxtheWeb

Schroeffu

Der Autor ist Schweizer, verheiratet und seit November 2015 zu seiner liebevollen Frau nach Braunschweig, Deutschland, ausgewandert. Mit im Gepäck: Die Familienplanung, jede Menge Plüsch-Pinguine und die Tastatur zum bloggen. Es wird täglich spannender!

16 Kommentare

Jochen · 19. September 2015 um 08:53

Offensichtlich wollte WoSign mit dieser Aktion nur auf sich aufmerksam machen, denn seit 17.09.2015 werden die kostenlosen Zertifikate nur noch für ein 1 Jahr und auch nicht mehr mit Multidomain-Support angeboten. Wer schnell war, hat also Glück gehabt.

Gruß
Jochen

    Schroeffu · 19. September 2015 um 23:36

    Hallo Jochen

    Hauu, eben dies habe ich vor 3 Tagen auch entdeckt. Ich bin total enttäuscht, zumal mein Artikel damit eigentlich Trash geworden ist 🙁 Ein 1 Jahres Zertifikat geht ja noch, aber ohne Alias/MultiDomain Support ist das totaler Mist.

    Von Super-Brauchbar zu Nur-im-Notfall-benutzen-Schrott. Schade! Also doch wieder die kostenlosen 1 Jahres Zertifikate von http://www.startssl.com benutzen, bis Lets-Encrypt endlich durchstartet.

    Grüsse Schroeffu

    Watcher · 23. September 2015 um 17:38

    Hallo,

    ich habe den Artikel gelesen und habe mich sehr gefreut. Ich habe 2 Zertifikate ergattert. Aber sehr schade, dass das kein dauerhaftes Angebot war. Aber diese CA hat immer noch ihre Vorteile. So ist es immer noch mit sehr wenig Arbeit möglich ein Zertifikat zu erstellen. Ebenfalls ist es kein Problem ein Zertifikat für eine Subdomain auszustellen. Das ist meiner Erinnerung nach bei StartSSL deutlich aufwendiger. Und mehrere Zertifikate sind dank Zertifikat, welches man bei sich auf dem Computer zwecks Authentifizierung installieren muss.

    Viele Grüße
    The Watcher

Finn10111 · 23. September 2015 um 20:41

Danke für den Tipp!

Leider nur erhalte ich weder eine Bestätigungs-E-Mail noch funktioniert die Validierung per HTML Dokument. Auf dem Web- und Mail-Server sehe ich keine Verbindungsversuche. Probiert habe ich es heute und vor ein paar Tagen bereits schon einmal. Schade, hat vielleicht jemand das gleiche Problem?

    Schroeffu · 29. September 2015 um 12:38

    Hallo Finn,

    Das Problem mit dem Nicht-Erhalten einer Bestätigungs-eMail hatte ich auch. Zuerst dachte ich, es liegt an meinem Dovecot mit TLS Only, aber daran scheint es doch nicht zu liegen weil alles klappt nur WoSign nicht. HTML Dokument Validierung hingegen hat problemlos geklappt. Am Besten nochmal versuchen damit 🙂

Tekin · 29. Oktober 2015 um 22:05

Hallo,
ich habe eben 1 Zertifikat für 3 jahre gekauft und installiert.kostet 3 jahre $3,98 USD (€3,75 EUR) per Paypal bezahlt.
Zertifikat Info: WoSign Class 1 DV Server CA G2 (nicht mehr —>> WoSign CA Free SSL Certificate G2)

Grüße Tekin

Schroeffu · 16. Februar 2016 um 12:47

Update: Derzeit gibt es wieder 3 Jahres Zertifikate von WoSign, inklusive bis 5 SubDomains kostenlos.

Senior · 29. Februar 2016 um 15:22

@ schroeffu
Wir haben einiges gemeinsam: Mein Mb-Stick tut auch noch, und mein Hoster ist auf https://letsencrypt.org/ umgestiegen, komfortabel!

Nils · 8. April 2016 um 15:11

3 Jahre gratis, läuft! Allerdings wundert mich, was Google mir in die WT geschickt hat. Habe natürlich die HTTPs Version dort hinzugefügt. Laut Wosign gilt das Zertifikat für die www Version und auch für die ohne. Allerdings sagte Google mir mit einer GWT Nachricht, dass das Zertifikat nicht für die www. Version gelten sollte / würde.

Hat jemand schon mal das gleiche Problem gehabt?

LG
Nils

    Schroeffu · 8. April 2016 um 16:15

    Hallo Nils,
    du kannst mit jedem Browser die Details des Zertifikats anschauen, hier ein Beispiel mit Firefox > schroeffu.ch (auf das Schloss in der URL-Zeile > „Weitere Informationen“ klicken) Screenshot: http://imgur.com/2dHpmki

    WoSign hat zumindest bei mir automatisch www. als Subdomain hinzugefügt. Bei dir auch?

      Nils · 8. April 2016 um 16:19

      Hey SCHROEFFU,

      danke für den Tipp. Es werden als DNS-Name beide „Domains“ angezeigt, also einmal die WWW-Variante und auch die ohne. Somit sollte das Zertifikat ja für beide Domains gelten.

      In den GWT habe ich dann die Domain einfach mit https://www.domain.com hinzugefügt. Er packt sie dann allerdings mit https://www.domain.com/ dazu (also mit Slash am Ende). Kann es daran wohl liegen? Wobei ich das auch komisch fände.

      LG
      Nils

Michael · 25. August 2017 um 19:40

Die haben wohl SSL dicht gemacht.

Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.

Wordpress auf 100% HTTPS-only umstellen, HTTP vollständig deaktivieren » schroeffu.blog · 1. September 2015 um 21:58

[…] ist es problemlos möglich, kostenlose und offiziell signierte Zertifikate über 3 Jahre Gültigkeit zu erhalten. Aus meiner Sicht spricht nichts mehr dagegen, meinen eigenen […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.