SSL Zertifikat selbst erstellen oder StartSSL?

  • Hallo,
    kennt sich hier jemand mit Zertifikaten aus?
    Ich würde gerne eine Domain (nur privat genutzt) auf SSL umstellen lassen, und habe mir dazu mit OpenSSL ein eigenes Zertifikat erstellt.
    Der Admin hat mir dazu geantwortet:
    Hallo,
    bist du sicher dass du ein selbst-signiertes Zertifikat für die Webseite einsetzen willst?
    Aktuelle Browser lassen Besucher gar nicht oder nur über sehr hohe Hürden bei solchen Zertifikaten zugreifen weshalb wir die Verwendung eines SSL-Zertifikates einer CA wie bspw startssl stark empfehlen.


    Was haltet ihr davon?
    Die StartSSL Zertifikate sind nur ein Jahr gültig.
    Ist ein abgelaufenes Zertifikat weniger kritisch als ein selbest erstelltes?
    Jedes Jahre ein neues einzuspielen ist mir zu aufwendig.
    Und vom fremder Rechnern möchte ich auch zugreifen können.

    Intel NUC6CAYH mit Hauppauge WinTV-dualHD auf EasyVDR 3.5

    Im Vorruhestand: ASUS M3n78-EM, Sempron 140, 2 GB RAM, WD20EARX, DD DuoFlex CT , Atric IR Rev. 4, Pearl Display, Picopsu-150-XT mit Dell DA-1, yaVDR 0.61 am Samsung UE32D5000

  • Selbst signierte Zertifikate sind je nach Gemengelage wenig bis stark nervig, immer, ich würde mir den Aufwand mit zb startssl auch für kleine Dinge stets antun. Jedes Jahr das Zertifikat wechseln musste aber auch bei allen bezahlbaren Kaufzertifikaten, kaum eins läuft länger. Das Leben als Admin ist so.

    - HTPC mit zerbasteltem Yavdr 0.6 , Origen ae X15e, MCE Remote, Asus P5N7A-VM, 1x Digibit R1, Kodi und vdr an Pana 46PZ85E
    - Diverse HTPCs im Umfeld bei Familie und Freundenm die sich vor mir fürchten, mit allen möglichen gruseligen Konfigurationen.
    Auch gern Debian, aber wehe jemand kommt mir mit Suse.

  • Wenn nur Du die Domäne nutzt reicht sicherlich ein selbst signiertes Zertifikat.


    Der Nachteil ist das kein zugreifendes System die CA kennt und diese dort erst importieren musst, d.h. man muss dem Zertifikat immer erst vertrauen bevor ein Zugriff erfolgen kann.
    Das muss man in der Regel aber nur beim ersten Zugriff tun.


    Falls auf die Domain aber Kunden oder andere Personen zugreifen müssen/sollen würde ich dringend zu einem SSL Zertikat mit einer öffentlichen CA greifen wie z.B. StartSSL.
    Als Kunde würde ich einem selbst signierten Zertifikat nicht trauen und die Seite erst gar nicht besuchen.


    Falls das Zertifikat abgelaufen ist wird der Zugriff vom Browser oder Email Programm blockiert und benötigt immer eine händische Bestätigung das Du das wirklich tun möchtest.

    Gruß
    Frodo