GrandAdmiralThrawn
XP Nazi
|
Hallo!
Da ich auf dem Gebiet keine besonderen Erfahrungen habe und doch "kosteneffektiv" anschaffen wollen würde, hier meine Frage:
Wir suchen ein günstiges SSL Zertifikat, das primär für Java Codesigning eingesetzt werden soll. d.h. Oracle Java sollte unserem Zertifikat bzw. der Chain / dessen CA vertrauen.
Sekundär wurde aber auch gefragt, ob wir nicht ein Zertifikat anschaffen sollten, das für "alles" verwendbar ist, also sowohl HTTPS als auch Codesigning, falls sowas geht.
Jetzt seh ich rein für Codesigning schon Mal Preise von um die $300-$500 pro Jahr, was ich schon recht extrem finde.
Wichtig wäre halt, daß vor allem Java, aber ggf. auch sonstige Applikationen dem Zert trauen. Eine CRL brauchts natürlich auch noch, sonst geht bei Java Webstart scheints nix mehr.
Hat da vielleicht jemand ein paar gute Vorschläge?
Danke!
|
Smut
takeover & ether
|
Ansich solltest das Code Signing für SSL verwenden können nur umgekehrt geht es nicht. Ich würde aber dringend davon abraten! Generell würde ich Zertifikate nur an einem Server aufbringen und *.vermeiden (die liegen dann auf jedem device das SSL braucht). Wenn dir der Key abhanden kommt hast den Mega aufwand + die Wahrscheinlichkeit dass er abhanden kommt nimmt natürlich auch zu.
|
COLOSSUS
AdministratorGNUltra
|
Ich weisz nicht, wie das in der Praxis ist - ob du mit einem X.509-Zertifikat zum Code-Signing in der Regel auch einen TLS-Server authentifizieren kannst - aber vom Standard bzw. den technischen Eigenschaften eines solchen Zertifikats her ist das nicht der Fall. Darueber bestimmt das Extended Key Usage-Attribut in der X.509-Struktur. startssl.com bietet auch Signierdienste fuer Code Signing an (und viel billiger als dort wird es nicht werden), ab welcher Oracle JRE Release das CA-Cert im Trust Store ist, weisz ich aber nicht. Ich wuerde auf jeden Fall fuer TLS und zum Code Signing zwei getrennte Schluesselpaare verwenden. Wer Schluesselpaare auf zig Endpunkten braucht und diese nicht automatisch managed macht etwas grundfalsch. Den Rat, deshalb auf Wildcard-Zertifikate mit *.example.org als SAN oder CN zu verzichten, kann ich sicher nicht unterschreiben.
|
GrandAdmiralThrawn
XP Nazi
|
Ein Kollege hat mich noch auf [ KSoftware] aufmerksam gemacht, die Comodo Codesigning Zerts handeln. Die sind ja auch ned wirklich teuer. Zur Not pfeifen wir einfach auf ein "sauberes" Zert für'n Webserver, und machen das weiterhin self-signed, das Codesigning ist der wichtige Teil. Danke für den Hinweis mit Startssl! Hatte ich auch anderorts im Forum schon gesehen. Dann haben wir schon Mal zwei Optionen.
|
hctuB
Bloody Newbie
|
start ssl und java haut noch immer nicht hin soweit ich weis. Aber du kannst ja checken welche root certs im trusted store sind stackoverflowdann kannst du den Anbieter auswählen
Bearbeitet von hctuB am 15.07.2014, 11:31
|
GrandAdmiralThrawn
XP Nazi
|
Was es halt auch noch gibt sind günstige Zwischenhändler, die man so nicht erfasst, wie KSoftware. Und die erst Mal finden.
Startssl ist wohl leider wirklich vom Tisch, is im cacert Keystore von Java 1.7u60 nicht zu finden.
|
MjrSEIDL
OC Addicted
|
https://www.startssl.com/?app=12dort gibts gratis root zertifikate... die sind zwar nur ein jahr gültig... aber so what... macht mans halt neu obs fürs codesinging auch gehen... kA
|
Dimitri
PerformanceFreak
|
Godaddy ... Wird auch fast von allen Devices vertraut.
|
hctuB
Bloody Newbie
|
Go daddy ist halt nicht wirklich günstig
|
davebastard
Vinyl-Sammler
|
sind doch für firmen eher peanuts. ich hätte thawte vorgeschlagen
|
Crash Override
BOfH
|
|
GrandAdmiralThrawn
XP Nazi
|
Wir sind aber leider keine Firma, sondern ein eher kleineres Universitätsinstitut. Die Preise bei iCertificate gehen wohl noch, sofern dieser Händler vertrauenswürdiger wäre als KSoftware. Das Comodo habens ja auch drin.
|
COLOSSUS
AdministratorGNUltra
|
Ueber welchen Reseller du dein Zertifikat signieren laesst, ist am Ende des Tages so gut wie voellig schnurz. "Vertrauenswuerdig" und "nicht vertrauenswuerdig" gibt es da nicht, so lange am Ende die CA ihre Unterschrift draufsetzt, und davon wuerde ich bei einem eingetragenen Handelsunternehmen einfach mal ausgehen - wenn nicht, ist das wohl auch ein Fall fuer den Zahlungsdienstleister. Ich wuerde gnadenlos den billigsten nehmen, der die CA im Portfolio hat, von der du eine Signatur haben willst.
Ein CSR beinhaltet keinerlei sensitive Daten, und das Schluesselpaar erstellt man ohnehin selbst.
|
mat
AdministratorLegends never die
|
Für Code Signing (ebenfalls bei Java) habe ich vor Kurzem dieses Angebot verwendet. Ist ein Reseller von Comodo, als kann vom technischen Standpunkt her nichts schief gehen. Die Ausstellung war zwar etwas langatmiger als bei Verisign und Co - es war zB ein (kostenloser) Herold-Eintrag zur Verifizierung nötig -, aber der Preis ist dafür unschlagbar. Btw: Ein Nachteil von StartSSL ist definitiv bei Java-Applets, die auf https zugreifen müssen/ausgeliefert werden (kommt natürlich auf die Deployment-Methode an). Java verfügt nicht über das StartSSL-Rootzertifikat und gibt eine unangenehme Fehlermeldung aus.
|
Smut
takeover & ether
|
Wer Schluesselpaare auf zig Endpunkten braucht und diese nicht automatisch managed macht etwas grundfalsch. Den Rat, deshalb auf Wildcard-Zertifikate mit *.example.org als SAN oder CN zu verzichten, kann ich sicher nicht unterschreiben. das hab ich aber so auch nicht gesagt. sie sind absolut notwendig und sinnvoll. Ein Kollege hat mich noch auf [KSoftware] aufmerksam gemacht, die Comodo Codesigning Zerts handeln. Die sind ja auch ned wirklich teuer.
Zur Not pfeifen wir einfach auf ein "sauberes" Zert für'n Webserver, und machen das weiterhin self-signed, das Codesigning ist der wichtige Teil.
Danke für den Hinweis mit Startssl! Hatte ich auch anderorts im Forum schon gesehen. Dann haben wir schon Mal zwei Optionen. braucht ihr das code-siging für die JRE settings oder für software die ihr entwickelt? bekommt es der kunde oder nur inhouse? ihr könnt jedes beliebige zertifikat in den den java keystore importieren.
Bearbeitet von Smut am 16.07.2014, 10:30
|