StartSSL
StartSSL der Firma StartCom Ltd. (Start Commercial Limited) bietet X.509 Zertifikate für Clients und Server. Class-1 Zertifikate ohne Identitätsprüfung sind kostenlos und haben eine Gültigkeit von einem Jahr. Das Zertifikat der Root-CA von StartSSL ist in gängigen Browsern und E-Mail-Clients enthalten, so dass sie sofort gültig sind - im Gegensatz zu denen von CAcert.
Tipps und Tricks
Domain
Wenn ein Zertifikat für www.example.com erstellt wird, ist das ebenfalls gültig für example.com (mehrere Einträge mit "DNS-Name"). Vorteil: Man kann das gleiche Zertifikat für beide Domains nutzen, z.B. indem man in Apache einen Alias einrichtet:
ServerName www.example.com ServerAlias example.com
Serverzertifikate und Firefox
Bei neuen Serverzertifikaten dauert es ein paar Stunden, bis Firefox die akzeptiert. Siehe Certificate OCSP Validation Failure in Firefox.
Nachteile Class-1
- Man kann nur ein Zertifikat pro Domain erstellen, das für die Domain selbst und die www Subdomain gilt. Weitere Subdomains sind nicht möglich.
- Der Rückruf eines Zertifikats kostet 25 US$. Ohne Rückruf kann man keine neues Zertifikat ausstellen.