SSL Zertifikat von Confixx weckt Misstrauen

[droptix]

Ich habe einen vServer mit Confixx. Für meine Domain xyz.de habe ich eine Subdomain abc eingerichtet, die SSL erzwingt und somit beim Verbinden auf https://abc.xyz.de umleitet.

Aber selbst nachdem ich im Internet Explorer und auch im Firefox das Zertifikat installiert/importiert habe, erscheint eine Hinweismeldung:

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

[...]

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.

[...]

Sicherheitsfehler: Domainnamen stimmen nicht überein

Sie haben versucht, eine Verbindung mit "abc.xyz.de" aufzubauen. Allerdings gehört das "vorgezeigte " Sicherheitszertifikat "confixx".

[...]

Man muss also jedes Mal bestätigen, die Seite anschauen zu dürfen... was extrem störend ist und Misstrauen bei den Besuchern hervorruft. Kann man den Herausgeber des Zertifikats ändern, so dass es mit dem Domainnamen abc.xyz.de übereinstimmt?

P.S. Noch günstiger wäre es, wenn sich das nur für die Subdomain realisieren ließe, weil wenn man das global ändert, gibt's Probleme mit der nächsten (Sub) Domain, richtig?

[aspettl]

Du willst Besuchern ein Confixx-Zertifikat unterschieben? Das ist doch normal nur für die Konfigurationsoberfläche gedacht (weshalb da die Warnmeldung nicht schlimm ist).

Jedes Zertifikat ist für genau einen Domainnamen. Pro Zertifikat benötigst du eine eigene IP-Adresse.
Wichtig ist, dass zum Domainnamen auch Subdomains zählen - außer man erstellt das Zertifikat mit einer Wildcard: *.xyz.de

Importieren muss der User es natürlich trotzdem, weil selbsterstellt (wie das von Confixx auch). Wenn man es richtig macht, kommen aber dann immerhin keine Warnungen mehr.

Gruß
Aaron

[droptix]

Du willst Besuchern ein Confixx-Zertifikat unterschieben? Das ist doch normal nur für die Konfigurationsoberfläche gedacht (weshalb da die Warnmeldung nicht schlimm ist).

Ich nutze das Zertifikat momentan nur für eigene Zwecke, etwa um Admin-/Loginbereiche von Webanwendungen abzusichern. Daher ist es noch aushaltbar, wenn das nur mich betrifft. Allerdings wäre es auch schön, abgesicherte Bereiche für Nutzer zu haben.

Aber egal - die Browserhinweise und die nochmalige Bestätigung nerven einfach total.

Jedes Zertifikat ist für genau einen Domainnamen. Pro Zertifikat benötigst du eine eigene IP-Adresse.
Wichtig ist, dass zum Domainnamen auch Subdomains zählen - außer man erstellt das Zertifikat mit einer Wildcard: *.xyz.de

Wieso brauch ich für jedes Zertifikat (also für jede Domain) eine eigene IP-Adresse? Ich habe einen vServer und für jede Domain einen vHost, richtig? Also teilen sich alle Domains dieselbe IP-Adresse.

Ich habe aber root-Rechte, also kann ich mir doch theoretisch ein eigenes SSL-Zertifikat erstellen, welches genau auf eine bestimmte Domain passt -> geht das auch praktisch? Oder hängt es dann immernoch an der IP-Adresse?

[HELLinG3R]

Hängt immernoch an der IP (genauer an dem Port!), da der HTTP-Header, welcher den angefragten Hostnamen enthält, mitverschlüsselt wird.
Dadurch ist, wenn der Apache den VHost zuweisen muss, noch nicht klar, welcher host denn nun verantworltich ist - daher nimmt er den default vhost für diesen Port.