Neben Let’s Encrypt bietet auch WoSign kostenlose SAN-Zertifikate für beispielsweise Exchange Server an. Vorteil von WoSign: Die Zertifikate sind bis zu 3 Jahre gültig:
WoSign ist eine chinesische CA, dessen Root-Zertifikat in allen gängigen Browsern und Betriebssystemen findet. Als Beispiel hier einmal Windows:
Damit sind die WoSign Zertifikate auf den meisten Geräten vertrauenswürdig. Da ich auf der Suche nach einem günstigen Zertifikat für mich privat war, habe ich Let’s Encrypt, sowie auch WoSign getestet. Wosign hat mir besser gefallen, da ich hier nicht alle 3 Monate das Zertifikat austauschen muss.
Vom Beantragen bis zur Ausstellung des Zertifikats vergingen nur ein paar Minuten. Für die private oder kleine Umgebung also durchaus zu empfehlen.
Hier können Zertifikate beantragt werden:
Hier hatte ich einmal beschrieben, wie eine Zertifikatsanforderung für öffentliche CAs mit Exchange 2013 (auch gültig für Exchange 2016) erstellt werden können:
Ich nutze das WoSign Zertifikat allerdings nicht direkt am Exchange Server sondern an der Sophos UTM WAF, auch hier gab es keine Probleme. Einfach alle DNS-Namen im CSR angeben und dann die Virtual Webserver en Namen auf dem Zertifikat entsprechend zuordnen:
Die komplette Anleitung für die Sophos WAF gibt es hier:
Auch Qualys SSL Labs haben an dem Zertifikat nichts zu bemängeln, WoSign stellt Zertifikate mit SHA256 aus:
Ich werde mir auch noch einmal die Let’s Encrypt Clients für Windows anschauen, ich bin gespannt ob die mittlerweile etwas besser laufen.
Für alle die sich die Integration von Let’s Encrypt in der Sophos UTM ebenfalls wünschen, gibt es hier ein Feature Request:
Die Integration wäre meiner Meinung nach sehr hilfreich, ich habe da also ebenfalls 3 Votes abgegeben.
Zum Schluss noch ein wichtiger Hinweis: WoSign bietet an, das Zertifikat auch ohne entsprechenden CSR auszustellen. Das hört sich zwar einfach an, aber faktisch ist WoSign somit im Besitz des privaten Schlüssels und könnte theoretisch damit die Kommunikation entschlüsseln. Wer den CSR selbst einreicht, verhindert dieses Risiko, da der private Schlüssel auf dem eigenen Server bleibt.
Update 11.01.17: Apple hat die StartSSL und Woosign aus den vertrauenswürdigen CAs entfernt. Somit lassen sich diese Zertifikate nicht mehr mit Apple Geräten verwenden. Bei Let’s Encrypt gibt es weiterhin kostenlose Zertifikate.