Jegliche Services im Internet sollen bekannterweise unbedingt verschlüsselt sein. Dazu dienen die SSL Certificates deines Anbieters des Vertrauens. Solche Zertifikate sind oft nicht kostengünstig und / oder durch deren Erneuerung mit wiederkehrendem administrativem Aufwand verbunden. Microsoft bietet allerdings ein gratis SSL Certificate für deinen Azure App Service an. In diesem Artikel gehe ich näher darauf ein, welche Vor- und Nachteile bestehen. Zudem findest du hier ein HowTo-Video, wie du selbst an ein gratis App Service Certificate gelangst oder zum Nachlesen direkt bei Microsoft Docs.
Was spricht für das gratis App Service SSL Certificate
Das von Microsoft zur Verfügung gestellte Zertifikat bringt einige Vorteile mit sich. Das Offensichtlichste dürfte wohl sein, dass es gratis ist. Zusätzlich sind die folgenden Vorteile zu benennen:
- Das Zertifikat ist weniger lang gültig als die klassisch gekauften Zertifikate. Die kurze Dauer von 6 Monaten erhöht die Sicherheit.
- Azure stellt das Zertifikat automatisch aus, verwaltet und erneuert es. Das erspart den wiederkehrenden Aufwand.
- Es ist kein zusätzlicher Anbieter und / oder zusätzliches Tool nötig. Das Zertifikat kannst du einfach per Mausklick im Azure Portal anfordern und Azure stellt es in wenigen Augenblicken direkt aus.
- Microsoft bietet direkten Support.
Was spricht gegen das gratis Azure App Service SSL Certificate
Wie fast überall gibt es auch hier gewisse Nachteile. Bis vor kurzem war der grösste Nachteil, dass keine Root Certificates ausgestellt werden konnten. Mit dem Präfix «www.» konnte dieses Problem aber umgangen werden. Doch das ist inzwischen nicht mehr nötig, da dieser Nachteil entfernt wurde und nun auch Root Certificates ausgestellt werden können. Folgend sind die weiterhin bestehenden Nachteile aufgeführt:
- Ein Wildcard Certificate ist nicht möglich.
- Es wird in einem App Service Environment (ASE) nicht unterstützt.
- Der CNAME DNS-Eintrag muss direkt auf <app-name>.azurewebsites.net zeigen.
Nicht möglich für Root-Domänen.Wird inzwischen unterstützt, insofern die Domäne nicht im Azure Traffic Manager integriert ist.- Das Zertifikat kann nicht exportiert werden und ist nur für App Service verwendbar.
Was spricht gegen ein gratis 3rd Party SSL Certificate
Folgend zeige ich die Nachteile eines 3rd Party gratis SSL Certificate am Beispiel des beliebten Service von «LET’S ENCRYPT» auf:
- Die Gültigkeitsdauer ist mit 90 Tagen noch kürzer als bei Azure. Das erhöht die Sicherheit. Da es für das Erneuern von «LET’S ENCRYPT» Zertifikaten auf Azure aber keinen eingebauten Automatismus gibt, erhöht dies den Verwaltungs- und wiederkehrenden Aufwand. (Mit einem Custom-Script kann dies natürlich automatisiert werden.)
- Bei Problemen ist der Support von «LET’S ENCRYPT» nur über das Forum möglich.
Schlussfolgerung
Die Vor- und Nachteile gibt es abzuwiegen. Das Azure gratis Zertifikat ist sicher nicht für jeden Gebrauch geeignet. Doch brauchst du nur ein Zertifikat für den Azure App Service und kein Wildcard Certificate, dann bevorzuge ich das Zertifikat von Azure. Dies ist hauptsächlich auf die einfache Handhabung direkt im gleichen Tool zurückzuführen. Brauchst du zwingend ein Wildcard Certificate, so bieten sich 3rd Party gratis Anbieter wie «LET’S ENCRYPT» an.
Quellen:
German 
English