Skip to Content.
Sympa Menu

cacert-de - Re: https fuer domain.com und www.domain.com

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: https fuer domain.com und www.domain.com


Chronological Thread 
  • From: Andre Klärner <kandre AT ak-online.be>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: https fuer domain.com und www.domain.com
  • Date: Mon, 30 May 2011 00:29:06 +0200

Hallo Martin,

On Sun, May 29, 2011 at 08:47:50PM +0200, Martin Schoenbeck wrote:
> Am 29.05.2011 02:42, schrieb Mario Lipinski:
> >IE6 mit WinXP unterstützt das glaube ich z.B. nicht, von daher dauert
> >das wohl noch 5-10 Jahre, bis das für den produktiven Einsatz taugt.
> Meines Wissen hängt das am BS, nicht am Browser. Geht also auch mit
> neueren IE unter XP nicht. Mit Firefox geht das, weil der einen
> eigenen Zertifikatsspeicher hat.

Nach meinen Erfahrungen liegt es an der im jeweiligen Browser verwendeten
HTTP-Engine. Leider fällt auch der Firefox 2.x (andere hab ich nicht
getestet) auch ab und zu auf die Engine von Windows XP zurück, und versteht
plötzlich kein SNI mehr, obwohl der Request vorher und nachher
funktionieren.

Die einzige wirkliche Variante, das gängig zu machen ist ein
Universal-Zertifikat mit Haupt-Domain im CN und alles auf der selben IP
gehosteten Domains im SubjectAltName (evtl. mit Wildcard für
*.hosting.my.domain.tld) und einzelne Zertifikate die 100% korrekt sind für
die einzelnen gehosteten Domains im vHost. Dann fällt der alte IE auf das
universelle Zertifikat herein, und alle besseren Browser auf das richtige
für die jeweilige Domain. Und sobald 100% der User mit SNI ankommen, kann
man das universal Zertifikat einstellen.

Ich denke aber, wir müssen keine 5-10 Jahre mehr warten, denn Windows 7 hat
sich weit verbreitet, und alte XP und 2000er Rechner werden immer seltener.

Meiner Erfahrung nach wird und 2000 nur noch in großen Firmen mit
veralteter Software zum Verhängnis, die ganzen großen Firmen werden immer
schneller auf Windows 7+ umsteigen.

Gruß, Andre

-- 
Andre Klärner

Telefon: 0351/79633546
Mobil:   0172/9838653

Anschrift:
Prohliser Allee 43
01239 Dresden

Diese E-Mail ist mittels S/MIME signiert worden.

Für S/MIME sind die Root-Zertifiakate der CAcert.org zu installieren
(unter http://www.cacert.org/index.php?id=3 zu finden), damit mein
Zertifikat als vertrauenswürdig eingestuft wird.
CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf
Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. 

Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen
Sie bitte doppelt die Korrektheit dieser Mail.

Attachment: smime.p7s
Description: S/MIME cryptographic signature




Archive powered by MHonArc 2.6.16.

Top of Page