FAQ SSL Zertifikate

Warum sind SSL-Zertifikate bei SSLPOINT so g├╝nstig ?

SSLPOINT bietet g├╝nstige SSL Zertifikate aller namhaften Zertifizierungsstellen (Comodo, GeoTrust, Thawte und Symantec) an. Da wir diese in sehr hohen St├╝ckzahlen bei der Vergabestelle einkaufen, erhalten wir sehr attraktive Konditionen und geben diese an Sie weiter.

Deshalb ist die Bestellung eines SSL-Zertifikates bei SSLPOINT bis zu 75% g├╝nstiger als eine direkte Beantragung bei der Zertifizierungsstelle.

Was ist SSL ?

Das Secure Sockets Layer (SSL) (und Transport Layer Security (TLS)) ist das heutzutage meistgenutzte Sicherheitsprotokoll. Es ist im Wesentlichen ein Protokoll, das einen sicheren Kanal zwischen zwei Computern bereitstellt, die ├╝ber das Internet oder ein internes Netzwerk arbeiten.

Heute sehen wir SSL typischerweise im Einsatz, wenn ein Webbrowser sich sicher mit einem Webserver ├╝ber das unsichere Internet verbinden muss. Technisch ist SSL ein transparentes Protokoll, das zum Aufbau einer sicheren Sitzung nur wenig Interaktion durch den Endbenutzer ben├Âtigt.

Im Falle eines Browsers werden die Benutzer zum Beispiel auf die Anwesenheit von SSL hingewiesen, wenn der Browser ein Sicherheitsschloss anzeigt, oder im Falle von Erweiterter Validierung SSL die Adresszeile sowohl ein Sicherheitsschloss als auch eine gr├╝ne Zeile anzeigt.

Was ist ein Wildcard Zertifikat ?

Wildcard-Zertifikate sch├╝tzen beliebig viele Subdomains einer Domain (z.B. ftp.example.com, mail.example.com, www.example.com). Da Sie statt vieler einzelner Zertifikate nur ein einzelnes Wildcard-Zertifikat ben├Âtigen, ist das Wildcard-Zertifikat f├╝r viele Organisationen eine kosteneffektive und effiziente L├Âsung.

F├╝r Wildcard-Zertifikate geben Sie bitte Ihren Allgemeinen Namen (Common Name) nach dem Schema *.example.com an, dies sch├╝tzt z.B. mail.example.com, www.example.com und www2.example.com.

Kann ich mehrere Domainnamen mit einem Zertifikat sch├╝tzen ?

Ein SSL-Zertifikat wird f├╝r einen Domainnamen (Fully Qualified Domain Name / FQDN) ausgestellt und kann nicht f├╝r andere Domainnamen verwendet werden. Das bedeutet, dass ein SSL-Zertifikat, das f├╝r ssl.domain.comausgestellt wurde, bei der Sub-Domain shop.domain.com eine Fehlermeldung erzeugt.

Single-Domain SSL-Zertifikate von GlobalSign, Comodo und GeoTrust sch├╝tzen bei Bestellung von www.example.com auch den Hostnamen example.com ohne zus├Ątzliche Kosten. Erstellen Sie daf├╝r einen CSR f├╝r den Hostnamen www.example.com.

Sollten Sie mehrere Sub-Domains unter einer Haupt-Domain sch├╝tzen wollen, k├Ânnen Sie ein Wildcard SSL-Zertifikat nutzen. Ein Wildcard SSL-Zertifikat sch├╝tzt alle Sub-Domains (z.B. *.example.com) Ihres Domainnamens.

Einige Zertifizierungsstellen bieten auch SSL-Zertifikate mit SAN/UC-Unterst├╝tzung (Subject Alternative Names bzw. Unified Communications) an. Damit k├Ânnen auch unterschiedliche Hostnamen mit nur einem SSl-Zertifikat gesichert werden, z.B. www.meinefirma.de + shop.example.com + mail.xyz.de etc.

Je nach Produkt sind bereits drei oder f├╝nf Hostnamen pro Zertifikat inkludiert.

K├Ânnen interne Hostnamen verwendet werden ?

Nein, in einem SSL-Zertifikat sind keine internen Hostnamen (z.B. server.local oder mein-mailserver) mehr m├Âglich.

Im Juli 2012 haben sich die Vergabestellen dazu entschieden, die Unterst├╝tzung von internen Hostnamen per 01.11.2015 einzustellen. Zertifikate mit internen Hostnamen wurden – unabh├Ąngig von der gew├Ąhlten Laufzeit – nur mit einer Laufzeit bis l├Ąngstens 01.11.2015 ausgestellt.

Bei Multi-Domain Zertifikaten muss der interne Hostname bis zu diesem Zeitpunkt auf einen Fully Qualified Domain Name (FQDN, z.B. mail.example.net) umgestellt oder aus dem Zertifikat gel├Âscht werden, damit das Zertifikat auch nach dem 01.11.2015 genutzt werden kann. Diese ├änderung kann kostenlos ├╝ber das Kundenmen├╝ mittels einer Neuausstellung des Zertifikates vorgenommen werden.

Weitere Informationen zum Auslaufen von internen Hostnamen finden Sie unter folgendem Link des CA/Browser Forums (PDF in Englisch): https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf

Wie funktioniert der Validierungs-Prozess ?

Zertifikate mit Domain-Validierung
Bei SSL-Zertifikaten mit Domain-Validierung sendet die Zertifizierungsstelle ein EMail mit einem Validierungs-Link an die EMail-Adresse des Domaininhabers.

An folgende EMail-Adressen kann das Validierungs-EMail versandt werden:
* EMail-Adresse gem├Ą├č WHOIS-Eintrag
* Generische EMail-Adresse (z.B. admin@, administrator@, hostmaster@, webmaster@, postmaster@)

Zus├Ątzliche Validierungsmethoden (nur f├╝r Comodo SSL-Zertifikate):
* Validierung via Datei (eine definierte Datei muss in das Hauptverzeichnis der Domain hochgeladen werden)
* Validierung via DNS-Eintrag (ein definierter DNS CNAME-Eintrag muss gesetzt werden)

Die Validierungsmethode k├Ânnen Sie nach ├ťbermittlung des CSR im Kundenmen├╝ einstellen bzw. ├Ąndern.

Zertifikate mit Unternehmens-Validierung und Erweiterter Validierung
Zus├Ątzlich zur Validierung des Domaininabers (siehe oben) erfolgt eine Pr├╝fung des Firmennamens, sowie der Adresse ├╝ber ├Âffentliche Datenbanken (z.B. Handelsregister oder DUNS-Verzeichnis). Weiters erfolgt die Kontaktaufnahme per Telefon – die Telefonnummer muss dabei in einer ├Âffentlichen Datenbank eingetragen sein.

Gerne unterst├╝tzt SSLPOINT Sie w├Ąhrend des gesamten Validierungs-Prozesses.

Wie lange dauert die Ausstellung eines SSL-Zertifikates ?

SSL-Zertifikate mit Domain-Pr├╝fung werden in der Regel innerhalb weniger Minuten ausgestellt. Wichtig ist dabei, dass die WHOIS-Eintr├Ąge aktuell sind.

Zertifikate mit Unternehmens-Pr├╝fung oder Erweiterter Validierung werden von der Vergabestelle anhand von Unternehmensunterlagen (u.a. Handelsregisterauszug) manuell gepr├╝ft. Die Ausstellung dauert ca. 5-10 Werktage.

Wie kann ich mein bestehendes Zertifikat verl├Ąngern ?

Eine Verl├Ąngerung eines bestehenden Zertifikates ist analog einer neuen Bestellung:

* Bitte bestellen Sie das gew├╝nschte Zertifikat online ├╝ber unsere Seite
* Bitte ├╝bermitteln Sie einen CSR f├╝r Ihren Hostnamen
* Nach erfolgreicher Validierung wird ein neues Zertifikat (mit neuer Laufzeit) ausgestellt
* Dieses neue Zertifikat muss auf Ihren Ger├Ąten installiert werden

Als Bonus verl├Ąngert die Vergabestelle das neue Zertifikat um bis zu 60 Tage.
Sie k├Ânnen dieses somit auch bereits vor dem urspr├╝nglichen Ablaufdatum ausstellen lassen, ohne ungenutzte Tage zu verlieren.

Hinweis:
Wir empfehlen, eine m├Âglichst lange Laufzeit zu w├Ąhlen, um den zeitaufwendigen Validierungs- und Installationsprozess zu vermeiden.

Welche Browser werden unterst├╝tzt ?

Die von uns angebotenen SSL-Zertifikate werden von IE 5.01+, Netscape 4.7+, Mozilla 1+, AOL 5+, Firefox, Safari und vielen weiteren Windows, Macintosh, Android basierenden Browsern unterst├╝tzt und erreichen damit eine Browserakzeptanz von ├╝ber 99%.

Was bedeutet Browserakzeptanz ?

Browserakzeptanz ist der gesch├Ątzte Prozentsatz an Browsern, die das Zertifikat ohne Fehlermeldung akzeptieren. Je geringer die Browserakzeptanz, desto geringer wird das Vertrauen der Besucher in die Sicherheit Ihrer Seite sein. F├╝r eine kommerziell betriebene Seite ist daher eine m├Âglichst hohe Browserakzeptanz essentiell wichtig.

Die von uns angebotenen SSL-Zertifikate werden von allen g├Ąngigen Browsern unterst├╝tzt und erreichen damit eine Browserakzeptanz von ├╝ber 99%.

Wie erstelle ich einen Certificate Signing Request (CSR) ?

Die folgenden Links f├╝hren zu den Anleitungen der Zertifizierungsstellen, um einen CSR f├╝r unterschiedliche Server, Administrationsmen├╝s und Anwendungen zu erstellen. Diese Anleitungen werden direkt von den Zertifizierungsstellen bereit gestellt – der Link ├Âffnet sich in einem neuen Fenster:

GlobalSign CSR Anleitung
Comodo CSR Anleitung
DigiCert CSR Anleitung

Sie k├Ânnen auch unser Online CSR Tool verwenden, um einen neuen Privaten Schl├╝ssel und einen dazu passenden CSR zu erstellen (NICHT f├╝r IIS/Exchange !).

Sollten Sie Unterst├╝tzung ben├Âtigen, steht Ihnen unser Support jederzeit gerne zur Verf├╝gung.

Was ist ein Certificate Signing Request (CSR) ?

CSR ist die Abk├╝rzung f├╝r “Certificate Signing Request” (englisch f├╝r “Zertifikatsanforderung”). Der CSR ist die Vorstufe eines SSL-Zertifikats und wird ben├Âtigt, um ein SSL-Zertifikat bei einer Zertifizierungsstelle zu beantragen.

Um einen CSR zu erzeugen, muss ein Schl├╝sselpaar f├╝r Ihren Server erstellt werden, bestehend aus einem privaten Schl├╝ssel (Private Key) und dem CSR.

Der CSR enth├Ąlt dabei Informationen zum Antragssteller und den Hostnamen, der verschl├╝sselt werden soll, z.B.:

  • Common Name (Hostname, der im Zertifikat enthalten sein soll)
  • Adressangaben (Land, Bundesland und Stadt)
  • Firmen- / Organisationsname
  • Organisationseinheit (z.B. “IT”)

Weiters enth├Ąlt der CSR den ├Âffentlichen Schl├╝ssel.

Der private Schl├╝ssel wird niemals an uns oder die Vergabestelle ├╝bermittelt und bleibt somit geheim. Das Zertifikat ist sp├Ąter untrennbar mit dem privaten Schl├╝ssel verbunden.

Wo finde ich den Privaten Schl├╝ssel / Private Key ?

Der Private Schl├╝ssel (Private Key) wird i.d.R. gemeinsam mit dem Certificate Signing Request (CSR) erstellt.

Falls Sie den CSR z.B. mit unserem CSR Online Tool erstellt haben, wurde der Private Schl├╝ssel gemeinsam mit dem CSR angezeigt:

CSR Tool Screenshot (DE)

Der Private Schl├╝ssel wird niemals an SSLPOINT oder die Vergabestelle ├╝bermittelt – er ist uns somit nicht bekannt !

Falls der Private Schl├╝ssel nicht gespeichert wurde, muss ein neuer Privater Schl├╝ssel + CSR erstellt und das Zertifikat damit neu ausgestellt werden. Die Neuausstellung k├Ânnen Sie (kostenlos) ├╝ber unser Kundenmen├╝ vornehmen.

Ben├Âtige ich Zwischenzertifikate (Br├╝ckenzertifikate aka Intermediate CA Certificates) ?

Um Ihr SSL Zertifikat korrekt zu installieren, ben├Âtigen Sie ein sogenanntes Zwischenzertifikat, damit die Zertifikatskette vollst├Ąndig ausgegeben wird.

Sie k├Ânnen diese hier als Bundle f├╝r Ihr Produkt herunterladen:

Globalsign

AlphaSSL / AlphaSSL Wildcard Download

Comodo

Comodo Positive SSL / Positive SSL Wildcard / Positive SSL Multi-Domain Download
Comodo Essential SSL / Essential SSL Wildcard Download
Comodo UCC (DV) Download
Comodo Instant SSL / Instant SSL Pro Download
Comodo Premium SSL / Premium SSL Wildcard Download
Comodo UCC (OV) Download
Comodo EV Trial / EV SSL Download

RapidSSL

RapidSSL / RapidSSL Wildcard Download

GeoTrust

GeoTrust QuickSSL Premium Download
GeoTrust TrueBusiness ID / TrueBusiness ID SAN / TrueBusiness ID Wildcard Download
GeoTrust TrueBusiness ID EV / GeoTrust TrueBusiness ID EV SAN Download

thawte

thawte SSL123 Download
thawte SSL Web Server / SSL Webserver Wildcard Download
thawte SSL Web Server EV Download

Wie kann ich meine Installation ├╝berpr├╝fen ?

Mit nachfolgendem Tool k├Ânnen Sie die korrekte Installation Ihres SSL-Zertifikates ├╝berpr├╝fen:
Symantec SSL Check

Was ist ein Code Signing Zertifikat ?

Code Signing Zertifikate sind digitale Zertifikate, die es Entwicklern und Software-Developern erm├Âglichen, ihre Applets, Plug-ins, Macros und sonstigen ausf├╝hrbaren Dateien vor der Ver├Âffentlichung mit einer unverwechselbaren digitalen Signatur zu versehen.

Die digitale Signatur umfasst Informationen zur Identit├Ąt des Autors und best├Ątigt, dass der Code nach der Ver├Âffentlichung nicht ver├Ąndert oder manipuliert wurde.

Wie funktioniert der Validierungsprozess f├╝r Code Signing ?

Code Signing Zertifikate sind digitale Zertifikate mit Identit├Ątspr├╝fung..
Die Vergabestelle pr├╝ft den Antrag daher nach strikt vorgegebenen Richtlinien.

Eingetragenes Unternehmen oder Organisation (z.B. GmbH, OG, Verein, etc.):
1) Verifizierung des Unternehmensnamens
2) Verifizierung der Adresse
3) Verifizierung der Telefonnummer

Für die Validierung verwenden die Zertifizierungsstellen die Wirtschaftsdatenbank Dun&Bradstreet (DUNS®):
DUNS® Nummer anfordern
DUNS® Eintrag aktualisieren

Wichtig: Der Zertifikatsantrag muss mit dem Eintrag exakt ├╝bereinstimmen (Unternehmensname, Adresse, Telefonnummer).

Einzelpersonen (z.B. nicht protokollierte Einzelfirma, individueller Entwickler, etc.):
1) Verifizierung des Namens
2) Verifizierung der Adresse
3) Verifizierung der Telefonnummer

Falls das Zertifikat für einen Gewerbetreibenden beantragt wird, empfehlen wir einen Eintrag in der Dun&Bradstreet Wirtschaftsdatenbank (DUNS®):
DUNS® Nummer anfordern
DUNS® Eintrag aktualisieren

Falls kein DUNS┬« Eintrag m├Âglich oder gew├╝nscht ist, m├╝ssen entsprechende Dokumente f├╝r die Validierung vorgelegt werden.
Diese Dokumente m├╝ssen von einem Rechtsanwalt oder Notar beglaubigt werden.

Weitere Informationen zu dieser Validierungsmethode (Face-to-Face Verification) finden Sie in diesem Dokument (nur in Englisch verf├╝gbar):
COMODO Face-to-Face Verification Instructions

Die Ausstellung eines Code Signing Zertifikates dauert in der Regel 2-5 Werktage.

Wer kann ein Code Signing Zertifikat beantragen ?

Code Signing Zertifikate k├Ânnen sowohl von eingetragenen Unternahmen, als auch individuellen Software-Entwicklern beantragt werden.

SSLPOINT bietet daf├╝r eine breite Palette an Code Signing Zertifikaten von unterschiedlichen Vergabestellen an:

Code Signing f├╝r eingetragene Unternehmen
GlobalSign EV Code Signing Zertifikat
Comodo Code Signing Zertifikat
Thawte Code Signing Zertifikat (Organization)
Symantec Code Signing Zertifikat

Code Signing f├╝r Einzelpersonen
Comodo Code Signing Zertifikat

Siehe auch:
├ťbersicht Code Signing Zertifikate (GlobalSign, Comodo, thawte, Symantec)

Was ist bei der Beantragung eines Code Signing Zertifikates zu beachten ?

Bitte beachten Sie folgende Punkte bei der Beantragung eines Code Signing Zertifikates:

Verwenden Sie eine aktuelle Version des Firefox Browsers
Bitte verwenden Sie f├╝r Konfiguration Ihres Zertifikates eine aktuelle Version des Firefox Browsers. Dieser unterst├╝tzt die automatische Erstellung eines Private Keys und Certificate Signing Requests. Nach erfolgreicher Ausstellung kann das Zertifikat in wenigen Schritten exportiert werden.

Verwenden Sie Ihren offiziellen Namen
Bitte stellen Sie sicher, dass die offizielle Bezeichnung Ihrer Firma als Antragsteller angegeben wird. Bei im Handelsregister eingetragenen Unternehmen ist dies der exakte Firmenwortlaut. Bei nicht protokollierten Einzelunternehmen ist dies der Vor- und Familienname gem├Ą├č Reisepass.

Verwenden Sie eine E-Mail-Adresse, deren Domain auf Ihr Unternehmen registriert ist
Die Vergabestelle ├╝berpr├╝ft anhand des WHOIS-Eintrages, ob die verwendete Domain auf den Antragsteller registriert ist. Bitte deaktivieren Sie w├Ąhrend des Validierungsprozesses ggf. die Option “WHOIS-Privacy”. Sie k├Ânnen diese
nach Ausstellung jederzeit wieder aktivieren.

Verwenden Sie eine offizielle Telefonnummer
Bitte achten Sie darauf, dass Ihre Telefonnummer in einem ├Âffentlichen Verzeichnis (z.B. ├Âffentliches Telefonbuch) aufscheint. An diese Telefonnummer erfolgt von Seite der Vergabestelle im Rahmen der Validierung ein kurzer Anruf.

Wo kann ich mein Code Signing Zertifikat herunterladen ?

Nach Ausstellung durch die Vergabestelle erhalten Sie von dieser ein EMail mit einem Link, um das Code Signing Zertifikat zu erhalten.

Bitte folgen Sie diesem Link, um das Zertifikat zu installieren.

Code Signing Zertifikat aus Firefox exportieren

Bitte folgen Sie diesen Schritten, um Ihr Code Signing Zertifikat nach erfolgter Ausstellung zu exportieren:

1) ├ľffnen Sie den Firefox Browser, den Sie w├Ąhrend der Konfiguration verwendet haben
2) Bitte klicken Sie auf -> Einstellungen -> Erweitert -> Zertifikate -> Ihre Zertifikate
3) W├Ąhlen Sie Ihr Code Signing Zertifikat aus und klicken Sie auf “Sichern”
4) Sie k├Ânnen Ihr Zertifikat nun als PKCS12 (PFX) Datei f├╝r die Verwendung mit anderen Anwendungen exportieren

Hinweis: Sollte Ihre Anwendung eine andere Dateiendung (z.B. .pfx) ben├Âtigen, ├Ąndern Sie bitte die Dateiendung entsprechend.

Version v59 f├╝r Windows weist einen Bug auf – mit dieser Version erstelle Zertifikate k├Ânnen nicht importiert werden.
Als tempor├Ąre L├Âsung installieren Sie f├╝r den Export des Zertifikates bitte die Firefox Version v60 beta: Download Firefox v60 beta15