Hallo JürgenB,

Die Browserprogrammierer wissen schon, wie sie das Zertifikatsgeschäft ankurbeln können.

Das ist in Anbetracht von Let's Encrypt eine ziemliche Unterstellung.

nicht jeder möchte einen eigenen Server betreiben,

nicht nötig.

und nicht in allen einfachen Homepagepaketen sind Wildcard-Zertifikate einthalten,

Auch nicht nötig.

und nicht alle Provider lassen eigene Zertifikate zu.

Auch nicht nötig.

Die Kritik sollte beim Provider ansetzen: es kostet ihn nichts, Let's Encrypt aufzusetzen, jeder Kunde könnte dann umsonst für jede Domain und Subdomain ein Cert haben. Es bringt ihm halt nur weniger Kohle ein. Da stehen dann die Gewinnabsichten des Providers dem entgegen.

So z.B. meiner bzw. Marcs.

Einen besseren suchen.

Die Browser könnten die Zertifikate der Provider mMn ruhig anerkennen, evtl. mit einer Warnung.

Genau das ist hier der Fall. Du kommst weiter, musst dich aber aktiv dafür entscheiden und wirst davor gewarnt.

Wenn ich auf eine Phishing-Seite mit Let's Encrypt-Zertifikat gehe, werde ich vom Browser dort freundlich abgesetzt, wenn ich aber meine (oder Marcs) Test-Subdomain ansteuere, wird vom Browser so getan, als wäre ich auf den Weg in die größte Verbrecherspelunke.

Natürlich ist das System nicht perfekt, aber wenn man selbst signierte Zertifikate gleich behandelt wie von einer offiziellen CA signierte Zertifikate, dann kann man das mit der Validierung auch gleich lassen. Und dann hast du wieder das Problem der trust chain: wo fängst du an zu vertrauen? Woher weisst du, dass google.com tatsächlich auch google.com ist? Ich nehme hier Gogole, weil die das Problem tatsächlich schonmal hatten, dass eine unfähige CA ein Cert für diese Domain für einen dritten ausgestellt hat.

So einfach ist das halt alles nicht.

LG,
CK