Bei StartSSL / StartCom kann man günstig SSL-Zertfikate erhalten (sehr einfache sogar kostenlos), um TLS-Transportverschlüsselung abzusichern – zum Beispiel Websites (»https://«), Mailserver, XMPP-Server – oder E-Mails mittels S/MIME Ende-zu-Ende zu verschlüsseln.

Eine Besonderheit dort ist, daß man nicht wie fast überall üblich ein Nutzerkonto mit Nutzernamen und Kennwort erhält, sondern daß man sich mit einem von StartSSL ausgestellten SSL-Zertifikat authentisiert.

Dieses SSL-Zertifikat ist jedoch nur ein (bei Class 1) oder zwei Jahre (bei Class 2) gültig. Es muß also kurz vor Ablauf dieser Zeit ein neues von StartSSL ausgestellt werden. Man bekommt zwei Wochen vor Ablauf eine Hinweis-E-Mail.

(Hat man das Client-Zertifikat nicht rechtzeitig verlängert – es ist also abgelaufen – oder das Client-Zertifikat »verloren«, so muß man ein Nutzerkonto mit einer anderen E-Mail-Adresse anlegen und sich dann per E-Mail an den StartSSL-Certmaster wenden.)

Neues Client-Zertifikat ausstellen lassen

  1. Man meldet sich mit dem alten, noch gültigen Client-Zertifikat im Control Panel an (»Authenticate«).
  2. Im »Validations Wizard« wird »Email Address Validation« gewählt und die gewünscht E-Mail-Adresse angenommen.
  3. An die E-Mail-Adresse schickt StartSSL einen Verifikationscode, den man auf der Website angeben muß.
  4. Danach geht man in den »Certificats Wizard« und wählt »S/MIME and Authentication Certificate«.
  5. Wurde das Zertifikat erzeugt, wird es im Zertifikatsspeicher des Webbrowsers abgelegt. Aus dem sollte man es zur Sicherheit exportieren (mit einem Kennwort versehen und/oder verschlüsselt abspeichern).

Nun kann man sich aus dem Control Panel abmelden.

Problem bei Anmeldung mit neuem Client-Zertifikat in Firefox

Möchte man sich nun mit dem neu ausgestellten Client-Zertifikat im Control Panel anmelden, gibt es in Mozilla Firefox und Iceweasel ein Problem: Man kann sich nicht anmelden, es erscheint die Fehlermeldung:

Secure Connection Failed

An error occurred during a connection to auth.startssl.com. Peer does not recognize and trust the CA that issued your certificate. (Error code: ssl_error_unknown_ca_alert)

  • The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
  • Please contact the website owners to inform them of this problem.

Mit dem alten, noch gültigen Client-Zertifikat kann man sich aber anmelden.

Um sich mit dem neuen Client-Zertifikat anmelden zu können, müssen die StartSSL-Zertifikate für »Software Security Devices« unter »Authorities« aus dem Zertifikatsspeicher des Webbrowsers gelöscht werden:

  1. Preferences bzw. Settings (Einstellungen)
  2. Advanced
  3. View Certificates
  4. Authorities
  5. In der Spalte »Certificate Name« zu StartCom Ltd. gehen.
  6. Die StartCom-Zertifikate, die in der Spalte »Security Device« als »Software Security Device« gelistet sind, markieren und
  7. mit »Delete or Distrust…« löschen.

Nicht die Client-Zertifikate unter »Your Certificates« löschen, die dort als »Software Security Device« aufgelistet werden.

Nun kann man sich mit dem neuen Client-Zertifikat bei StartSSL anmelden.