SSL Zertifikat

[humpi 11]

Hi all,

 

wir haben auf einem Webserver (IIS 5.0) https Seiten. Dafür haben wir ein selbsterstelltes Zertifikat . Beim Aufruf einer https Seite braucht der IE ca. 20 Sekunden bis er mir die Warnung anzeigt, das dieses Zertifikat von einer nicht vertrauenswürdigen Firma ausgestellt wurde. Opera und Firefox bringen diese Meldung sofort.

Gibt es eine Möglichkeit, diese Abfrage beim IE ohne Eingriff beim Clienten zu beschleunigen?

Ein öffentliches Zertifikat scheidet wegen Sparen aus. ;-)

[grizzly999 11]

Weiss es jetzt nicht, versuche mich mal schlau zu machen.

 

Aber zum Thema tuer/sparen. Ein Kunde von mir hat neulich für seinen Webserver öffentliche Zertifikate gekauft. Bei TC Trust Center unter 150€/jahr (ich glaube 120€). Das ist wirklich nicht teuer..... finde ich.

 

 

grizzly999

[humpi 11]

Hi grizzly999,

 

danke schon mal.

Bei uns ist Investionsstop. Vielleicht ändern sich die Zeiten wieder und man bekommt eine saubere Lösung hin. Wäre mir auch lieber.

[holgi_man 10]

Hallo erstmal

 

" Dafür haben wir ein selbsterstelltes Zertifikat ."

 

Ist eigentlich eine gängige sache wenn der Zertifizierungssstelle von beiden seiten vertraut wird.

 

Muß aber im IE unter Inhalte Zertifikate händisch hinzugefügt werden.

 

mit den freundlichsten

 

holgi :)

[humpi 11]

Hi,

danke für die Antwort.

Problem ist aber noch die Zeit der Anzeige (IE 20sek., Opera 1sek.) und ich kann unter den Einstellungen des Browsers nichts konfigurieren, da auf die Seite von überall zugegriffen werden kann (also nicht nur intern).

[Operator 10]

Hi humpi,

 

bei mir kommen die 20 Sekunden nicht mehr, wenn ich das Root-Zertifikat auf dem PC installiere, der den IE nutzt.

Dann klappt das Zugriff auch schnell.

 

Kurzanleitung für Windows CA:

Am Root-Cert-Server öffnest Du die Zertifikate Konsole (vom Computerkonto) und exportierst dann das Stammzertifikat aus dem Ordner "Eigene Zertifikate" in eine Datei. Diese kannst Du mit einem Doppelklick auf dem Client installieren und er vertraut allen von dort ausgegebenen Zertifikaten.

 

Gruß

Andre

[humpi 11]

Hi,

langsam kommt Licht ins Dunkle. Es ist also normal für den IE, 20 Sekunden für das "Prüfen" des Zertifikates (eigenes oder gekauftes) zu brauchen. Was ist da anders als bei anderen Browsern?

Weiterhin heisst das, wenn der Client das Zertifikat nicht importiert, dauert es immer so lange.

In unserem Falle ist es eine Verkaufsseite, die der Client aus dem Internet nur einmal aufruft. Also wird dort das Zertifikat wahrscheinlich nicht importiert.

Fazit: Ich komm um die 20 Sekunden nicht rum, richtig?

[Operator 10]

Die 20 Sekunden bekommst du weg, wenn das Zertifikat der Root-Zertifizierungsstelle auf dem Client installiert wird. Nicht das Cert des Webservers.

Bei deiner eigenen CA-Infrastruktur also die allererste Zertifizierungsstelle, die sich selbstzertifiziert hat.

 

Gruß

Andre

[humpi 11]

Hi Operator,

gibt es da gute Artikel, damit ich erstmal die Grundlagen der Zertifizierung aufarbeiten kann.

Ich glaube das Licht am Ende des Tunnels war der entgegenkommende Zug. ;-)

 

Danke erstmal für die Hilfe.

[grizzly999 11]

Die 20 Sekunden bekommst du weg, wenn das Zertifikat der Root-Zertifizierungsstelle auf dem Client installiert wird. Nicht das Cert des Webservers.

Bei deiner eigenen CA-Infrastruktur also die allererste Zertifizierungsstelle, die sich selbstzertifiziert hat.

 

Gruß

Andre

Nein, die bekomme ich damit nicht weg, denn die Überprüfung des CDPs schlägt trotzdem fehl. könnte gehen, wenn man in den Internetoptionen/Erweitert/ dort unter Sicherheit den Haken bei "Auf zurückgezogene Serverzertifikate überprüfen (Neustart erforderlich)" rausnimmt.

 

grizzly999

[humpi 11]

Hi,

ist bei mir deaktiviert, braucht trotzdem seine Zeit.

Ich denke, der einzig prakikable Weg ist über ein "richtiges" Zertifikat. Ich kann ja von hier auch nicht die IE´s der User beeinflussen.

 

Danke trotzdem.

[dippas 10]

Aber zum Thema teuer/sparen. Ein Kunde von mir hat neulich für seinen Webserver öffentliche Zertifikate gekauft. Bei TC Trust Center unter 150€/jahr (ich glaube 120€). Das ist wirklich nicht teuer..... finde ich.

 

Bei der Telekom gibts fürs gleiche Geld ein öffentliches Zertifikat. Die Folgejahre sind dann aber billiger.

 

Auch wir setzen ein Telekom-Zertifikat ein. Solche "echten" Zertifikate haben den schmeichelhaften Vorteil, dass jeder aktuelle Browser diese ohne Murren, nachfragen etc. akzeptiert. Beispiel IE: mal auf "Stammzertifikatupdate" innerhalb von Windowsupdate geachtet?

 

Eine Installation ist nicht notwendig, da der Browser die Zertifizierungsstelle kennt und dieser vertraut. Macht sich gut im Internetcafe oder wenn man generell an fremden Rechnern sitzt. Da hat man vielleicht gar keine Rechte zu irgendwas ;-)

 

grüße

 

dippas

[humpi 11]

Hi,

danke erstmal für die rege Beteiligung.

Ich möchte aber mehr über den Ablauf erfahren. Prüft der IE das Zertifikat anders als z.B. Opera?

Vielleicht kennt jemand einen guten Artikel zu diesem Thema.

[overlord 10]

Hallo humpi,

ich schalte mich mal auf.

Kann nur soviel sagen, dass mich der IE bzgl. SSL-Certs auch ziemlich nervt. Keiner macht so viel Probs wie dieser tolle Browser....(Letztens sogar mal ein DNS-Fehler, weil das Cert abgelaufen war...klar!)

 

Die lange Antwortzeit kann ich allerdings net bestätigen. Hab auch eigentlich nur Certs aufm Indianer statt aufm IIS...

[humpi 11]

Hi,

für unsere Webprogrammierer zählt nur der IIS und der IE. Das Zertifikat haben wir uns selber gebastelt. Ist dadurch natürlich nicht öffentlich registriert. Das da eine Warnung kommt, damit kann ich leben. Aber das das beim IE 20 Sekunden dauert, nervt doch schon. Besonders weil es eine Verkaufsseite ist. Da der Indianer nur http Seiten liefert, habe ich dort noch keine Erfahrungen mit Zertifikaten. Ausser das er immer läuft. ;-)