hsts deaktivieren

[Alternativende]

@wanne
Das mit LetsEncrypt wusste ich nicht. Dachte die hätten beide Schlüssel. Dann macht es tatsächlich etwas mehr Sinn.

Bei hsts bin ich nun etwas skeptischer, sehe aber auch die Vorteile das die Zertifikatskette besser geschützt werden kann. Wenn das mit LetsEncrypt funktioniert macht das sicher auch Sinn.

Rauswerfen ist aber auch keine Lösung für mich. Ich will nicht für jeden Switch und jeden Router mir müßig Zertifikate aufstellen lassen MÜSSEN nur um auf meine Sites zu kommen.

[wanne]

Das mit LetsEncrypt wusste ich nicht. Dachte die hätten beide Schlüssel. Dann macht es tatsächlich etwas mehr Sinn.

Ist eigentlich bei jeder seriösen CA so. X.509 definiert sogar ausdrücklich CSR, die man an die CA schicken soll. Da ist der private Teil des Schlüssels ist darin natürlich nicht enthalten, dafür alles andere, was die CA braucht. (Name, Kontaktdaten ...)
Das erwarten auch die allermeisten CAs. Auch openssl erwartet das, wenn man irgend was unterschreiben will. Sprich wer openssl benutzt um seine CA zu betreiben muss zuerst mal den Privaten Teil abtrennen, bevor er unterschreiben kann. Für die CA ist das fragen nach CSR dann absolut der bequemste Weg: Alle benötigten Informationen in einem standardisierten machine readable Format.

Einige wenige CAs händigen dir tatsächlich einfach beides aus statt nach dem CSR zu fragen das sind dann aber irgend welche Itermediate absolut unseriös CAs.
Edit: Bzw. läuft dass dann eher so, dass es Dienstleister gibt, die das erzeugen des Schlüssels für dich übernehmen und dann direkt an die entsprechende CA in Kooperation weitergeben. Wer sowas nutzt ist aber dann auch selbst schuld.