🥇 FAQ für SSL- und Code Signing Zertifikate | SSLPOINT

FAQ SSL Zertifikate

Warum sind SSL-Zertifikate bei SSLPOINT so günstig?

SSLPOINT bietet günstige SSL Zertifikate aller namhaften Zertifizierungsstellen (Comodo, GeoTrust, Thawte und Symantec) an. Da wir diese in sehr hohen Stückzahlen bei der Vergabestelle einkaufen, erhalten wir sehr attraktive Konditionen und geben diese an Sie weiter.

Deshalb ist die Bestellung eines SSL-Zertifikates bei SSLPOINT bis zu 75% günstiger als eine direkte Beantragung bei der Zertifizierungsstelle.

Was ist SSL/TLS?

Das Secure Sockets Layer (SSL) (und Transport Layer Security (TLS)) ist das heutzutage meistgenutzte Sicherheitsprotokoll. Es ist im Wesentlichen ein Protokoll, das einen sicheren Kanal zwischen zwei Computern bereitstellt, die über das Internet oder ein internes Netzwerk arbeiten.

Heute sehen wir SSL typischerweise im Einsatz, wenn ein Webbrowser sich sicher mit einem Webserver über das unsichere Internet verbinden muss. Technisch ist SSL ein transparentes Protokoll, das zum Aufbau einer sicheren Sitzung nur wenig Interaktion durch den Endbenutzer benötigt.

Im Falle eines Browsers werden die Benutzer zum Beispiel auf die Anwesenheit von SSL hingewiesen, wenn der Browser ein Sicherheitsschloss anzeigt, oder im Falle von Erweiterter Validierung SSL die Adresszeile sowohl ein Sicherheitsschloss als auch eine grüne Zeile anzeigt.

Was ist ein Wildcard Zertifikat?

Wildcard-Zertifikate schützen beliebig viele Subdomains einer Domain (z.B. ftp.example.com, mail.example.com, www.example.com). Da Sie statt vieler einzelner Zertifikate nur ein einzelnes Wildcard-Zertifikat benötigen, ist das Wildcard-Zertifikat für viele Organisationen eine kosteneffektive und effiziente Lösung.

Für Wildcard-Zertifikate geben Sie bitte Ihren Allgemeinen Namen (Common Name) nach dem Schema *.example.com an, dies schützt z.B. mail.example.com, www.example.com und www2.example.com.

Kann ich mehrere Domainnamen mit einem Zertifikat schützen?

Ein SSL-Zertifikat wird für einen Domainnamen (Fully Qualified Domain Name / FQDN) ausgestellt und kann nicht für andere Domainnamen verwendet werden. Das bedeutet, dass ein SSL-Zertifikat, das für ssl.domain.comausgestellt wurde, bei der Sub-Domain shop.domain.com eine Fehlermeldung erzeugt.

Single-Domain SSL-Zertifikate von GlobalSign, Comodo und GeoTrust schützen bei Bestellung von www.example.com auch den Hostnamen example.com ohne zusätzliche Kosten. Erstellen Sie dafür einen CSR für den Hostnamen www.example.com.

Sollten Sie mehrere Sub-Domains unter einer Haupt-Domain schützen wollen, können Sie ein Wildcard SSL-Zertifikat nutzen. Ein Wildcard SSL-Zertifikat schützt alle Sub-Domains (z.B. *.example.com) Ihres Domainnamens.

Einige Zertifizierungsstellen bieten auch SSL-Zertifikate mit SAN/UC-Unterstützung (Subject Alternative Names bzw. Unified Communications) an. Damit können auch unterschiedliche Hostnamen mit nur einem SSl-Zertifikat gesichert werden, z.B. www.meinefirma.de + shop.example.com + mail.xyz.de etc.

Je nach Produkt sind bereits drei oder fünf Hostnamen pro Zertifikat inkludiert.

Können interne Hostnamen verwendet werden?

Nein, in einem SSL-Zertifikat sind keine internen Hostnamen (z.B. server.local oder mein-mailserver) mehr möglich.

Im Juli 2012 haben sich die Vergabestellen dazu entschieden, die Unterstützung von internen Hostnamen per 01.11.2015 einzustellen. Zertifikate mit internen Hostnamen wurden – unabhängig von der gewählten Laufzeit – nur mit einer Laufzeit bis längstens 01.11.2015 ausgestellt.

Bei Multi-Domain Zertifikaten muss der interne Hostname bis zu diesem Zeitpunkt auf einen Fully Qualified Domain Name (FQDN, z.B. mail.example.net) umgestellt oder aus dem Zertifikat gelöscht werden, damit das Zertifikat auch nach dem 01.11.2015 genutzt werden kann. Diese Änderung kann kostenlos über das Kundenmenü mittels einer Neuausstellung des Zertifikates vorgenommen werden.

Weitere Informationen zum Auslaufen von internen Hostnamen finden Sie unter folgendem Link des CA/Browser Forums (PDF in Englisch): https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf

Wie funktioniert der Validierungs-Prozess?

Zertifikate mit Domain-Validierung
Bei SSL-Zertifikaten mit Domain-Validierung sendet die Zertifizierungsstelle ein EMail mit einem Validierungs-Link an die EMail-Adresse des Domaininhabers.

An folgende EMail-Adressen kann das Validierungs-EMail versandt werden:
* EMail-Adresse gemäß WHOIS-Eintrag
* Generische EMail-Adresse (z.B. admin@, administrator@, hostmaster@, webmaster@, postmaster@)

Zusätzliche Validierungsmethoden (nur für Comodo SSL-Zertifikate):
* Validierung via Datei (eine definierte Datei muss in das Hauptverzeichnis der Domain hochgeladen werden)
* Validierung via DNS-Eintrag (ein definierter DNS CNAME-Eintrag muss gesetzt werden)

Die Validierungsmethode können Sie nach Übermittlung des CSR im Kundenmenü einstellen bzw. ändern.

Zertifikate mit Unternehmens-Validierung und Erweiterter Validierung
Zusätzlich zur Validierung des Domaininabers (siehe oben) erfolgt eine Prüfung des Firmennamens, sowie der Adresse über öffentliche Datenbanken (z.B. Handelsregister oder DUNS-Verzeichnis). Weiters erfolgt die Kontaktaufnahme per Telefon – die Telefonnummer muss dabei in einer öffentlichen Datenbank eingetragen sein.

Gerne unterstützt SSLPOINT Sie während des gesamten Validierungs-Prozesses.

Wie lange dauert die Ausstellung eines SSL-Zertifikates?

SSL-Zertifikate mit Domain-Prüfung werden in der Regel innerhalb weniger Minuten ausgestellt. Wichtig ist dabei, dass die WHOIS-Einträge aktuell sind.

Zertifikate mit Unternehmens-Prüfung oder Erweiterter Validierung werden von der Vergabestelle anhand von Unternehmensunterlagen (u.a. Handelsregisterauszug) manuell geprüft. Die Ausstellung dauert ca. 5-10 Werktage.

Wie kann ich mein bestehendes Zertifikat verlängern?

Eine Verlängerung eines bestehenden Zertifikates ist analog einer neuen Bestellung:

* Bitte bestellen Sie das gewünschte Zertifikat online über unsere Seite
* Bitte übermitteln Sie einen CSR für Ihren Hostnamen
* Nach erfolgreicher Validierung wird ein neues Zertifikat (mit neuer Laufzeit) ausgestellt
* Dieses neue Zertifikat muss auf Ihren Geräten installiert werden

Als Bonus fügt die Vergabestelle bis zu 30 Tage beim neuen Zertifikat hinzu (maximale Gesamt-Laufzeit: 397 Tage).
Sie können Ihr Zertifikat somit bereits vor dem ursprünglichen Ablaufdatum ausstellen lassen, ohne ungenutzte Tage zu verlieren.

Welche Browser werden unterstützt?

Die von uns angebotenen SSL-Zertifikate werden von IE 5.01+, Netscape 4.7+, Mozilla 1+, AOL 5+, Firefox, Safari und vielen weiteren Windows, Macintosh, Android basierenden Browsern unterstützt und erreichen damit eine Browserakzeptanz von über 99%.

Was bedeutet Browserakzeptanz?

Browserakzeptanz ist der geschätzte Prozentsatz an Browsern, die das Zertifikat ohne Fehlermeldung akzeptieren. Je geringer die Browserakzeptanz, desto geringer wird das Vertrauen der Besucher in die Sicherheit Ihrer Seite sein. Für eine kommerziell betriebene Seite ist daher eine möglichst hohe Browserakzeptanz essentiell wichtig.

Die von uns angebotenen SSL-Zertifikate werden von allen gängigen Browsern unterstützt und erreichen damit eine Browserakzeptanz von über 99%.

Was ist ein Certificate Signing Request (CSR)?

CSR ist die Abkürzung für “Certificate Signing Request” (englisch für “Zertifikatsanforderung”). Der CSR ist die Vorstufe eines SSL-Zertifikats und wird benötigt, um ein SSL-Zertifikat bei einer Zertifizierungsstelle zu beantragen.

Um einen CSR zu erzeugen, muss ein Schlüsselpaar für Ihren Server erstellt werden, bestehend aus einem privaten Schlüssel (Private Key) und dem CSR.

Der CSR enthält dabei Informationen zum Antragssteller und den Hostnamen, der verschlüsselt werden soll, z.B.:

  • Common Name (Hostname, der im Zertifikat enthalten sein soll)
  • Adressangaben (Land, Bundesland und Stadt)
  • Firmen- / Organisationsname
  • Organisationseinheit (z.B. “IT”)

Weiters enthält der CSR den öffentlichen Schlüssel.

Der private Schlüssel wird niemals an uns oder die Vergabestelle übermittelt und bleibt somit geheim. Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden.

Wie erstelle ich einen Certificate Signing Request (CSR)?

Die folgenden Links führen zu den Anleitungen der Zertifizierungsstellen, um einen CSR für unterschiedliche Server, Administrationsmenüs und Anwendungen zu erstellen. Diese Anleitungen werden direkt von den Zertifizierungsstellen bereit gestellt – der Link öffnet sich in einem neuen Fenster:

GlobalSign CSR Anleitung
Comodo CSR Anleitung
DigiCert CSR Anleitung

Sie können auch unser Online CSR Tool verwenden, um einen neuen Privaten Schlüssel und einen dazu passenden CSR zu erstellen (NICHT für IIS/Exchange !).

Sollten Sie Unterstützung benötigen, steht Ihnen unser Support jederzeit gerne zur Verfügung.

Wo finde ich den Privaten Schlüssel / Private Key?

Der Private Schlüssel (Private Key) wird i.d.R. gemeinsam mit dem Certificate Signing Request (CSR) erstellt.

Falls Sie den CSR z.B. mit unserem CSR Online Tool erstellt haben, wurde der Private Schlüssel gemeinsam mit dem CSR angezeigt:

CSR Tool Screenshot (DE)

Der Private Schlüssel wird niemals an SSLPOINT oder die Vergabestelle übermittelt – er ist uns somit nicht bekannt !

Falls der Private Schlüssel nicht gespeichert wurde, muss ein neuer Privater Schlüssel + CSR erstellt und das Zertifikat damit neu ausgestellt werden. Die Neuausstellung können Sie (kostenlos) über unser Kundenmenü vornehmen.

Benötige ich Zwischenzertifikate (Brückenzertifikate aka Intermediate CA Certificates)?

Um Ihr SSL Zertifikat korrekt zu installieren, benötigen Sie ein sogenanntes Zwischenzertifikat, damit die Zertifikatskette vollständig ausgegeben wird.

Sie können diese hier als Bundle für Ihr Produkt herunterladen:

Globalsign

AlphaSSL / AlphaSSL Wildcard Download

Comodo

Comodo Positive SSL / Positive SSL Wildcard / Positive SSL Multi-Domain Download
Comodo Essential SSL / Essential SSL Wildcard Download
Comodo UCC (DV) Download
Comodo Instant SSL / Instant SSL Pro Download
Comodo Premium SSL / Premium SSL Wildcard Download
Comodo UCC (OV) Download
Comodo EV Trial / EV SSL Download

RapidSSL

RapidSSL / RapidSSL Wildcard Download

GeoTrust

GeoTrust QuickSSL Premium Download
GeoTrust TrueBusiness ID / TrueBusiness ID SAN / TrueBusiness ID Wildcard Download
GeoTrust TrueBusiness ID EV / GeoTrust TrueBusiness ID EV SAN Download

thawte

thawte SSL123 Download
thawte SSL Web Server / SSL Webserver Wildcard Download
thawte SSL Web Server EV Download

Wie kann ich meine Installation überprüfen?

Mit nachfolgendem Tool können Sie die korrekte Installation Ihres SSL-Zertifikates überprüfen:
Qualys – SSL Server Test

Was ist ein Code Signing Zertifikat?

Code Signing Zertifikate sind digitale Zertifikate, die es Entwicklern und Software-Developern ermöglichen, ihre Applets, Plug-ins, Macros und sonstigen ausführbaren Dateien vor der Veröffentlichung mit einer unverwechselbaren digitalen Signatur zu versehen.

Die digitale Signatur umfasst Informationen zur Identität des Autors und bestätigt, dass der Code nach der Veröffentlichung nicht verändert oder manipuliert wurde.

Wie funktioniert der Validierungsprozess für Code Signing?

Code Signing Zertifikate sind digitale Zertifikate mit Identitätsprüfung..
Die Vergabestelle prüft den Antrag daher nach strikt vorgegebenen Richtlinien.

Eingetragenes Unternehmen oder Organisation (z.B. GmbH, OG, Verein, etc.):
1) Verifizierung des Unternehmensnamens
2) Verifizierung der Adresse
3) Verifizierung der Telefonnummer (GlobalSign, Sectigo, Digicert Zertifikate)

Für die Validierung verwenden die Zertifizierungsstellen die Wirtschaftsdatenbank Dun&Bradstreet (DUNS®):
DUNS® Nummer anfordern oder Daten ändern

Wichtig: Der Zertifikatsantrag muss mit dem Eintrag exakt übereinstimmen (Unternehmensname, Adresse, Telefonnummer).

Einzelpersonen (z.B. nicht protokollierte Einzelfirma, individueller Entwickler, etc.):
1) Verifizierung des Namens
2) Verifizierung der Adresse
3) Verifizierung der Telefonnummer (GlobalSign, Sectigo, Digicert Zertifikate)

Falls das Zertifikat für einen Gewerbetreibenden beantragt wird, empfehlen wir einen Eintrag in der Dun&Bradstreet Wirtschaftsdatenbank (DUNS®):
DUNS® Nummer anfordern oder Daten ändern

Falls kein DUNS® Eintrag möglich oder gewünscht ist, müssen entsprechende Dokumente für die Validierung vorgelegt werden.
Diese Dokumente müssen von einem Rechtsanwalt oder Notar beglaubigt werden.

Die Ausstellung eines Code Signing Zertifikates dauert in der Regel 2-5 Werktage.

Wer kann ein Code Signing Zertifikat beantragen?

Code Signing Zertifikate können sowohl von eingetragenen Unternahmen, als auch individuellen Software-Entwicklern beantragt werden.

SSLPOINT bietet dafür eine breite Palette an Code Signing Zertifikaten von unterschiedlichen Vergabestellen an:

Code Signing für eingetragene Unternehmen
Certum Code Signing Zertifikat (empfohlen)
GlobalSign EV Code Signing Zertifikat
Comodo Code Signing Zertifikat

Code Signing für Einzelpersonen
Certum Code Signing Zertifikat (empfohlen)
Certum Code Signing Zertifikat in the Cloud
Comodo Code Signing Zertifikat

Siehe auch:
Übersicht Code Signing Zertifikate (GlobalSign, Comodo, thawte, Symantec)

Was ist bei der Beantragung eines Code Signing Zertifikates zu beachten?

Bitte beachten Sie folgende Punkte bei der Beantragung eines Code Signing Zertifikates:

Erstellen Sie einen gültigen Certificate Signing Request (CSR)
Bitte erstellen Sie einen gültigen CSR (Mindesschlüssellänge: 3072-bit). Als Common Name und Organization geben Sie bitte den Namen des Antragstellers ein.

Verwenden Sie Ihren offiziellen Namen
Bitte stellen Sie sicher, dass die offizielle Bezeichnung Ihrer Firma als Antragsteller angegeben wird. Bei im Handelsregister eingetragenen Unternehmen ist dies der exakte Firmenwortlaut. Bei nicht protokollierten Einzelunternehmen ist dies der Vor- und Familienname gemäß Reisepass.

Verwenden Sie eine E-Mail-Adresse, deren Domain auf Ihr Unternehmen registriert ist
Die Vergabestelle überprüft anhand des WHOIS-Eintrages, ob die verwendete Domain auf den Antragsteller registriert ist. Bitte deaktivieren Sie während des Validierungsprozesses ggf. die Option “WHOIS-Privacy”. Sie können diese
nach Ausstellung jederzeit wieder aktivieren.

Verwenden Sie eine offizielle Telefonnummer
Bitte achten Sie darauf, dass Ihre Telefonnummer in einem öffentlichen Verzeichnis (z.B. öffentliches Telefonbuch) aufscheint. An diese Telefonnummer erfolgt von Seite der Vergabestelle im Rahmen der Validierung ein kurzer Anruf.

Konvertierung in das PKCS12/PFX Format

Konvertierung mit OpenSSL
Sie können das Zertifikat jederzeit mit der kostenlosen, quelloffenen Software OpenSSL konvertieren. Diese steht für zahlreiche Plattformen zur Verfügung. Pakete für Windows finden Sie unter: https://wiki.openssl.org/index.php/Binaries, z.B. vor-kompilierte Pakete von Indy: https://indy.fulgan.com/SSL/

Bitte verwenden Sie folgenden Befehl, um das Zertifkat in das PFX-Format zu konvertieren:
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile CACert.crt

Platzhalter:
certificate.pfx: Neues Zertifikat (PFX-Format)
private.key: Privater Schlüssel
certificate.crt: Zertifikat (PEM)
CACert.crt: Zwischenzertifikate (PEM)