Ich konnte es doch nicht lassen. Seit gestern Abend ist mein Blog auch über eine sichere SSL-Verbindung erreichbar (Test). Dafür war allerdings einiges an Vorarbeit notwendig:

• Eigene IP braucht der Blog
  Da auf meinem Server auch noch andere Seiten laufen, welche bereits partiell durch SSL gesichert sind, braucht mein Blog mit seiner eigenen Domain am besten eine separate IP-Adresse, sonst beißt sich das mit der IP/Port Konstellation im IIS. Also bei HostEurope ein eigenes IP-Netz beantragt, was für meine 2 zusätzlichen IP-Adressen einmalig 25€ gekostet hat.
  
• BlogEngine.NET aufbohren
  Wer hier bei mir schon mal den einen oder anderen Kommentar hinterlassen hat, wird gesehen haben, dass bei der Kommentarübersicht via Gravatar.com die Benutzerbilder (sofern dort hinterlegt) geladen werden. Eigentlich sehr nützlich aber in der Standardversion werden diese Gravatare  über eine unsichere Verbindung geladen was einem die sichere Verbindung zerstört. Also im Quellcode der BlogEngine.NET die Url “gravatar.com” durch “secure.gravatar.com” austauschen und die Bilder werden ebenfalls über SSL geladen.
  
• Alle weiteren Medien absichern
  Das gleiche was für die die Gravatar-Bildchen gilt, gilt natürlich auch für alle anderen Medien (Bilder, Videos, etc.). Diese dürfen ebenfalls nur über eine SSL Verbindung geladen werden damit der Browser eine komplett gesicherte Verbindung herstellen kann und keine Warnungen anzeigt. Bei den Bildern war das einfach, der ImageService liegt auf meinem eigenen Server und unterstützt bereits SSL. YouTube geht nach meinen Recherchen leider überhaupt nicht und bei vimeo muss man sich den alten Integrationscode ausgeben lassen und dort “vimeo.com” durch “secure.vimeo.com” ersetzen.

Alles in allem ein bisschen Bastelarbeit, aber das Ergebnis ist dann doch erfreulich:

In den älteren Beiträgen (alles ab Seite 3) muss ich noch die Bilderadressen korrigieren, aber die Startseite sowie die einzelnen Seiten wie Software, “Über mich” und “Impressum” sind komplett valide.

Ich habe die Gelegenheit auch gleich genutzt um mein Blogdesign etwas aufzupeppen. Dazu habe ich es komplett neu erstellt, weshalb hier und da noch ein paar grafische Unschönheiten auftauchen können. Falls Fehler auftreten sollten, bitte direkt melden, die sind nicht gewollt oder vorgesehen.

Da ich nun frischgebackener Wildcard SSL-Zertifikatsbesitzer bin wollte ich dies nun direkt mal mit einigen meinen Seiten ausprobieren.

Als Server nutze ich einen Windows Server 2003R2 und zum servieren der Webseiten den Microsoft IIS (Internet Information Services) 6. Dieser streikt im GUI-Modus allerdings wenn man mehr als eine IP:Port Kombination für gesicherte Verbindungen verwenden möchte. Im Technet habe ich aber glücklicherweise eine Anleitung gefunden, die den Umgang und vor allem die Einrichtung von Wildcard Zertifikaten auf einem Windows Server erklärt.

Im Prinzip ist das relativ simpel: Man öffnet eine neue Eingabenaufforderung auf dem Server (Benutzer muss über Administratorrechte verfügen!) und navigiert in den Ordner C:\Inetpub\AdminScripts. Dort führt man dann den folgenden Befehl aus:

cscript.exe adsutil.vbs set /w3svc/<site identifier>/SecureBindings ":443:<host header>"

Der Platzhalter "<site identifier>” muss durch die ID der jeweiligen Webseite ersetzt werden. Diese wird im IIS in der Webseitenauflistung angezeigt (s. Screenshot).

Für “<host header>” muss die jeweilige Subdomain eingesetzt werden, also zum Beispiel images.devs-on.net wenn das Zertifikat für *.devs-on.net ausgestellt wurde. Und ja, richtig vermutet, dies muss für jede Seite wiederholt werden, die über SSL erreicht werden soll.

Wie gestern bereits angekündigt habe ich am gleichen Tag noch meine Dokumente zur Verfizierung bei StartSSL eingereicht. Eine Stunde später hat auch schon das Handy gebimmelt und ein Mitarbeiter hat mich auf englisch nach meinem Geburtsdatum und Geburtsort gefragt. Ein paar Minuten später war ich dann nach der Zahlung von ~40€ Gebühr via PayPal Class 2 Verified, womit ich nun ganz ohne weitere Kosten SSL, Wildcard-SSL und CodeSigning Zertifikate erstellen kann. Letzteres geht nur einmal, was ja auch verständlich ist da man für die gleiche Person keine zwei Zertifikate braucht. Allerdings sollte man beim beantragen des Zertifikates sorgfältig sein. Wer den privaten Schlüssel verliert oder das Zertifikat sonst wie vermurkst muss dieses Revoken lassen was geschlagene 25$ kostet.

An alle Opera-Nutzer: Mich würde mal interessieren wie schnell Opera seine Stammzertifikate auf den neuesten Stand bringt. Wie gestern bereits geschrieben, unterstützt Opera nun auch StartSSL. Daher bitte mal die folgende Seite aufrufen: SSL Test
Wenn dort keine Sicherheitswarnung erscheint, hat sich der Zertifikatsspeicher selbstständig aktualisiert, ansonsten sollte es spätestens mit dem nächsten Operaupdate valide sein.

Ich habe ja schon mit dem Gedanken gespielt meinem Blog ein SSL Zertifikat zu verpassen. Allerdings ist dies ohne manuelles gefrickel an der Blogengine nicht möglich, da dafür eine komplett gesicherte SSL Verbindung alle Inhalte über einen verschlüsselten Kanal geladen werden müssen. Das würde bei mir spätestens an den Gravataren der Kommentare scheitern.

Vor einiger Zeit habe ich schonmal etwas über die Zertifizierungsstelle StartSSL geschrieben. Bei dieser ist es möglich kostenlose SSL Zertifikate zu beziehen.

Dennis hat letzte Woche das Thema aufgegriffen und sich mit den Angeboten von StartSSL näher auseinander gesetzt (1,2,3,4). Dies hat auch wieder mein Interesse geweckt. Allerdings nur so lange bis ich gemerkt habe, dass Opera die Zertifikate von StartSSL nicht unterstützt.
Heute habe ich aber im Opera-Blog gelesen, dass das Rootzertifikat von StartSSL endlich Standardmäßig in Opera integriert wird.

Da mein bisheriges SSL Zertifikat in knapp 2 Monaten ausläuft werde ich nun die Gelegenheit ergreifen und mich bei StartSSL verifizieren. Für knapp 40€ erhält man dort neben SSL-Zertifikaten aller Art (Wildcard, Multiple Domain) auch Zertifikate für die CodeSignatur mit welcher sich Anwendungen für Windows signieren lassen, um z.B. die Meldung über einen “Unbekannten Herausgeber” bei UAC-Abfragen durch einen freundlicheren Dialog mit seinem eigenen Namen zu ersetzen. Damit ist StartSSL der günstigste Anbieter für CodeSigning-Zertifikate, welche von Windows als Vertrauenswürdig anerkannt werden.

Ich werde nun alle notwendigen Dokumente zusammensuchen und hoffen, dass diese ausreichend sind um meine Identität zu bestätigen. Wenn ich an das Verifizierungsdrama von vor 2 Jahren bei Comodo denke wird mir jetzt noch schlecht.

Nun, kostenlose SSL Zertifikate sind eigentlich nichts neues. Man kann sich sogar selber welche Ausstellen oder bei Organisationen wie CACert und Co beantragen. Es gibt nur ein Problem dabei: Das Rootzertifikat welches zum Ausstellen verwendet wurde, muss sich im Zertifikatsspeicher des Betriebssystems und/oder des Browsers befinden, damit das eigentliche Zertifikat als gültig anerkannt wird.

Ist das nicht der Fall, wird der Benutzer im Browser recht eindeutig darauf hingewiesen, dass es ein Problem mit dem Zertifikat gibt:

Sinnlos ist die Meldung natürlich nicht, da man hier in erster Linie vor Webseiten mit betrügerischen Inhalten warnt. Negativ ist aber, dass bis jetzt Zertifikate von Autorisierten Herausgebern wie zum Beispiel von VeriSign oder Thawte nicht grade billig- und für kleinere Softwareautoren nicht erschwinglich sind.

Nun zu dem Punkt auf den ich eigentlich hinaus wollte. Seit dem 26.09. hat Microsoft die in Windows Standardmäßig installierten Rootzertifikate um das der Firma StartCom erweitert welche kostenlos über die Website StartSSL SSL Zertifikate der Klasse 1 Vertreibt. Mit diesen Zertifikaten lassen sich sogar E-Mails und Dokumente signieren.

Neben den kostenlosen Zertifikaten werden dort auch Class 2 und Extended Validation (EV) SSL Zertifikate zu sehr moderaten Preisen angeboten. Für kleinere Unternehmen auch sehr empfehlenswert.