Digitale Zertifikate dienen zur Verschlüsselung der Verbindung resp. zur Authentisierung eines Servers oder eines User Agents. Und da das also mit Sicherheit zu tun hat, so ist es wohl besser, wenn bei der Ausstellung des Zertifikates auch alles sicher zu und hergeht.
Einer der grossen Hersteller von Zertifikaten (welcher den öffentlichen Schlüssel, der zur Gegenprüfung benötigt wird bereits in den meisten grossen Webbrowsern installiert hat) ist Verisign.
Was will das nun bedeuten, dass während dem Beantragungsprozess eines Zertifikates auf der Website von Verisign selbst eine Fehlermeldung kommt, dass das Zertifikat nicht korrekt sei (resp. nicht zur aufgerufenen Domäne gehört)?
Erklärbar (wegen dem www) ja, aber eigentlich sehr doof…. resp. wer weiss denn wie man Zertifikate korrekt einsetzt.
PS: Danke an Mathias
Verisign kann's selber nicht
V
Name virtual hosts und SSL sind eben etwas schwierig. Name vhosts werden ja am Server aufgrund des eingehenden Host: headers im HTTP Protokoll unterschieden. Der SSL Handshake wo das Zertifikat ausgeliefert wird, findet dummerweise beim Verbindungsaufbau statt, bevor Daten übertragen werden. Unterschiedliche Zertifikate lassen sich also nur pro IP und Port ausliefern, aber nicht pro Hostname.
Es gibt Lösungsansätze: In einem Zusatzfeld des SSL-Handshakes wird der Hostname mitgeschickt. Doch das ist noch kein offizieller Standard, und wird entsprechend weder von Browsern noch von Servern unterstützt.
Einfacher sind Zertifikate für mehrere Hostnamen oder Domainwildcard (*.namics.com). Das wird schon recht gut unterstützt. Aber gerade Mobilclients können das oft noch nicht. Hier ist die Schwierigkeit mehr, das richtige Zertifikat zu bestellen. Und was wenn ein neuer Name hinzukommt? Könnte teuer werden.
Hallo Odi und danke für die detaillierte Lösung… war mir / ist uns bekannt. Ich fand es nur spassig, dass Verisign es selbst vermasselt 😉