WoSign – kostenlose SSL Zertifikate für 2 Jahre

WoSign bietet kostenlose SSL-Zertifikate für 2 Jahre an. Dies erweist sich als gute Alternative für die kostenlosen Zertifikate der Firma StartSSL. Diese Zertifikate waren auf 1 Jahr und einen nicht kommerziellen Einsatz limitiert.

WoSign ist ein chinesischer Anbieter, aber keine Angst, dies hat keinen Einfluss auf die Verschlüsselung :D! Die WoSign Zwischenzertifiakte sind mittlerweile auch SHA256 signiert und somit mit allen modernen Browsern kompatibel.

CSR und KEY erstellen

Prinziepell ist es möglich den CSR (Certificate Signing Request) und den Key auf der Webseite generieren zu lassen. Davon rate ich aber dringent ab. Der Privat Key heist nicht umsonst so und sollte nur dem Besitzer selbst bekannt sein.

Die benötigten Dateien erstellen wir auf der Konsole wie folgt:

# Domainnamen setzen
DOMAINNAME=meinedomain.tld

# Verzeichnis erstellen
mkdir $DOMAINNAME

# Dateien erzeugen
openssl req -new -newkey rsa:2048 -nodes -keyout $DOMAINNAME/$DOMAINNAME.key -out $DOMAINNAME/$DOMAINNAME.csr

Anschliessend erscheint folgender Dialog:

Generating a 2048 bit RSA private key
..................................+++
......................+++
writing new private key to 'meinedomain.tld/meinedomain.tld.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:meinedomain.tld
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Der „Common Name“ ist der Name der Domain auf die das Zertifikat ausgestellt werden soll. Daher ist besonders darauf achten, dass dort die richtigen angaben gemacht werden.

Anschliessend passen wir noch die Rechte entsprechend an.

chmod 600 $DOMAINNAME/*

Kostenloses SSL Zertifikat bestellen

Nachdem wir uns alle benötigten Zertifikat-Dateien erstellt haben können wir nun das Zertifikat auf der Webseite von WoSign bestellen. Der Bestell-Dialog ist mittlerweile auch in englischer Sprache möglich, dies erleichtert die Sache schon mal um einiges.

WoSign - Bestellung Free SSL Zertifikat
WoSign – Bestellung Free SSL Zertifikat
  • Als erstes besuchen wir die Seite https://buy.wosign.com/free/
  • Im oberen Feld geben wir die Domain(s) an für die das Zertifikat ausgestellt werden soll. Geben wir dort z.B. „meinedomain.tld“ ein, gilt das Zertifikat automatisch auch für „www.meinedomain.tld“
  • Die Felder Period, Language und Algorithm können auf den Standardwerten bleiben.
  • Dann müssen wir unsere Domain validieren. Dazu können wir uns entweder eine E-Mail an eine administrative Adresse senden lassen oder eine Datei auf unseren Webspace laden.
  • Im dritten Schritt wählen wir die Option „Generated by myself“ und fügen den Inhalt unser erstellen CSR Datei ein.
  • Anschliessend füllen wir die Felder E-Mail und Passwort aus und erstellen damit ein WoSign-Konto.

Nach dem Absenden des Formulars erhalten wir eine Bestätigungsmail. In dieser Mail wird der vorraussichtliche Termin der Bereitstellung für das SSL-Zertifikat genannt. Bei mir war dies aber entgegen der angekündigten Wartezeit von 2 Tagen bereits innerhalb von 3 Stunden erledigt.

Irgendwann bekommt man dann einen Link per E-Mail mitgeteilt. Dort gibt es dann die Möglichkeit das Zertifikat herrunterzuladen.

Wir man das Zerfifikat nun zum Beispiel in nginx richtig einbindet kann man in meinem Artikel NGINX – sichere SSL/TLS Konfiguration nachlesen.

SSLLabs SSL Zertifikat Testbericht
SSLLabs SSL Zertifikat Testbericht

Wenn das Zertifikat richtig eingebunden wurde sollte der Test bei SSLLabs folgende Resultate liefern.

Das Zertifikat kann auch für andere Zwecke verwendet werden. z.B. können wir damit die Verbindung zum Mailserver (Postfix, Dovecot), die Verbindungen zum FTP-Server oder auch das Panel von Plesk absichern.

7 Kommentare

  1. Hallo,

    ich habe mir gestern ein Zertifikat von WoSign erstellen lassen.

    In diesem Zertifikat sind mehrere Domainnamen hinterlegt, auch welche, die vor drei Tagen erst registriert wurden. Also noch niemanden bekannt sind.

    Heute Morgen habe ich das Zertifikat auf meinem Webserver eingebunden. 10 Minuten nach dem Testaufruf einer der neuen Domains via https, um zu testen ob das Zertifikat funktioniert, begann eine Welle von Anfragen auf meinen Server niederzuprasseln.

    Es waren alles POST- und GET-Requests mit allen möglichen Variablen in der URL.
    Ein Loginformular wurde mit PHP-Befehlen als Benutzername.

    Es waren ca. 4500 Anfragen an den Server innerhalb von zwei Minuten, in welchem nach bestimmten Dateinamen auf dem Webordner gesucht wurde.
    Nach zwei Minuten haben fail2ban und diverse andere Tools auf meinem Server alarmgeschlagen und die jeweiligen IP-Adressen gebannt, sonst wären es wohl noch mehr Anfragen gewesen.

    Ich will niemanden etwas unterstellen, aber die Anfragen gingen nur an die Domainnamen, welche in dem Zertifikat hinterlegt wurden.

    In den Whoisdaten der IP-Adressen, von den die Anfragen kamen, ist folgende Firma eingetragen:

    123.125.160.213, 123.125.160.214, 123.125.160.215, 123.125.160.216, 123.125.160.217
    China Unicom Beijing province network

    218.30.117.72
    Beijing Telecom corporation CHINA

    Deshalb rate ich von diesen Chinesischen Zertifikaten dringend ab,
    da die meisten Nutzer die solch ein “kostenloses” Zertifikat verwenden wo

    1. Hallo Frank,

      aus Erfahrung weis ich, dass Bots aller Art zu jeder Zeit versuchen irgendwelche Lücken auf Webseiten zu finden oder automatisiert Kommentare in Blocks abliefern. Auch sind Brutforce-Attacken SSH wirklich keine Seltenheit. Die Angreifer kommen oft aus China aber auch aus anderen Ländern. 4500 Besuche innerhalb von 2 Minuten würde ich da nicht mal kritisch sehen, bei einer gut frequentierten Seite ist das eher der Standard.

      Ob das von Dir geschilderte Problem nun direkt auf das Zertifikat zurückzuführen ist kann ich nicht beantworten und möchte ich auch nicht werten. Für mich klingt die aber eher unwahrscheinlich.

      Als Server-Admin muss man damit rechnen, dass Dienste die man öffentlich anbietet auch missbraucht werden können. Die sicherste Methode sich dagegen zu wehren ist das Netzwerkkabel trennen :D

      Wenn Dich diese Aufrufe stören kann Du diese auch ganz einfach mit iptables blocken.

      iptables -A INPUT -s 123.125.160.213 -j DROP

      oder gleich die gesamte Range

      iptables -A INPUT -s 123.125.160.0/24 -j DROP

  2. Leider stimmt folgende Aussage nicht: „…. gilt das Zertifikat automatisch auch für “www.meinedomain.tld”“.

    Ich habe jetzt ein Zertifikat, was nur auf meine Hauptdomain ausgestellt ist und nicht für „www.“ gilt.
    Natürlich habe ich das genau nach dieser Anleitung gemacht.

    Wie gehe ich jetzt vor? Nochmal ein 2. Zertifikat anfordern? Muss ich das alte vorher wiederrufen? Wo geht das?

    1. Tjo, so ist das mit den Free-Anbietern :D
      Derzeit ist es wieder so, das nur www.* inclusive ist, auch ist die Laufzeit auf 1 Jahr begrenzt.
      Statt sich stur auf ein Tutorial zu verlassen sollte man auch genau lesen was bei den externen Anbietern geschreiben steht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.