SSL/TLS - Zertifikate

Die gewöhnliche Kommunikation läuft im Internet meist unverschlüsselt ab. Die Verbindung zwischen den PCs lässt sich dadurch einfach abhören. Mittels sogenannter SSL/TLS Zertifikate wird die Kommunikation bzw. die Datenübertragung zwischen dem Besucher-PC und dem Server, auf dem die besuchten Webseiten laufen, verschlüsselt und kann dadurch nicht mehr abgehört oder auf dem Weg verändert werden.

Die Webseitenbesucher können dank dieser Technologie sicher sein, dass deren persönlichen Daten (Namen, Passwörter, Bankkartendaten usw.) bei Bedarf ausschließlich dem Webseitenbetreiber übertragen und von keinen Dritten abgefangen werden.

Durch die Nutzung von HTTPS ist es auch unmöglich, dass z.B. über ein Free WiFi Hotspot ohne das Wissen des Webseitenbetreibers und des Webseitenbesuchers unangeforderte Inhalte z.B Werbung oder Schadcode in die Webseiten eingeschleust werden. 

Eine mittels HTTPS verschlüsselte Webseite erkennen Sie am grünen Sperrschloss-Symbol in der Adressleiste des Webbrowsers.  


Weitere Informationen zu unserem SSL-Zertifikatsangebot finden Sie unter SSL-Zertifikaten.  

Gratis Let's Encrypt


Ein Let's Encrypt - Zertifikat richten wir zu jedem bei uns bestellten Linux-Hosting komplett kostenlos ein. Diese Zertifikate werden von Webbrowsern als vertrauenswürdig eingestuft und können für eine vollwertige Webseiten-Absicherung genutzt werden.

Ein ausgestelltes Zertifikat gilt jeweils 3 Monate und wird regelmäßig automatisch erneuert. Die Sorge um die manuelle Aktualisierung entfällt komplett.
 

Hinweis: Die Let's Encrypt-Zertifikate richten wir nach dem Best-Effort-Prinzip ein. Wir bemühen uns maximal um deren Ausstellung und regelmäßige Aktualisierung, können dafür jedoch keine Garantie übernehmen. Für anspruchsvolle Webseiten, die auf ein valides Zertifikat angewiesen sind, empfehlen wir grundsätzlich die kommerziellen Zertifikate zu verwenden z.B. die sogenannten Zertfikate mit erweiterter Validierung(EV), die den höchsten Sicherheitsgrad bieten, in der Browserleiste den Namen des Domaininhabers anzeigen und somit die Vertrauenswürdigkeit der Webseiten erhöhen.


Ausstellungsbedingungen für ein Let's Encrypt - Zertifikat bei ACTIVE 24:

  • Das Zertifikat wird für die Hauptdomain und ihre Aliase generiert. Die nachgetragenen Aliase werden im Zertifikat innerhalb einiger Stunden automatisch ergänzt. 
  • Die Wildcard-Aliase wie z.B. *.active24.cz werden nicht angenommen, stattdessen wäre eine WWW-Variante (z.B www.active24.cz) möglich. Falls das Zertifikat für eine ungenannte Subdomain benötigt wird, geben Sie einen konkreten Aliasnamen an.
  • Ein richtig gesetzter DNS-Eintrag mit dem Verweis auf den Hosting-Server bei ACTIVE 24 muss vorhanden sein.
  • Let's Encrypt unterstützt keine sogenannten IDN-Domains (mit Sonderzeichen). Das Zertifikat kann für solche Domains nicht ausgestellt werden.
  • Standardmäßig werden alle Domains auf Einträge in den Malware-Datenbanken überprüft. Ist dort die gewählte Domain aufgelistet, kann das Zertifikat nicht ausgestellt werden.
  • Ein Zertifikat kann nicht mehr als 100 Aliase enthalten.
  • Bei der Hostingeinrichtung wird zuerst ein selbstsigniertes Zertifikat generiert, das anschließend durch ein Let's Encrypt-Zertifikat ersetzt wird. Dieser Prozess könnte bis zu einigen Stunden dauern. Für eine erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein.
  • Wenn Sie über das Kundencenter ein eigenes Zertifikat installieren wird es von uns nicht ersetzt. Die Aktualisierung eines eigenen Zertifikats liegt dann ganz bei Ihnen. Sollten Sie jedoch ein Let's Encrypt-Zertifikat wünschen, geben Sie uns Bescheid.


CSR (Zertifikatsregistrierungsanforderung)


Für die Ausstellung eines SSL/TLS-Zertifikats ist ein sogenannter CSR-Antrag (Certificate Signing Request oder Zertifikatsregistrierungsanforderung) erforderlich. Es handelt sich um einen digitalen Antrag, der neben Informationen über den Antragsteller einen öffentlichen Schlüssel des Servers enthält. Eine CSR-Datei generiert stets der Server-Anbieter.  

Eine CSR-Datei für das Linux-Hosting, das von ACTIVE 24 bereitgestellt wird, können Sie direkt im Kundencenter generieren (eine Anleitung dazu finden Sie im Abschnitt die Installation eines Zertifikats) oder beauftragen Sie die Generierung einer CSR-Datei direkt über eine autorisierte Anfrage. Folgende Angaben werden dabei benötigt.

Eine CSR-Datei muss zumindest folgende Angaben enthalten:

Common Name: Der Domain-Name, für den das Zertifikat ausgestellt wird. Es wird zwischen den Namen mit und ohne WWW-Zeichen unterschieden. 
             (meistens werden Zertifikate für die Domains mit den WWW-Zeichen ausgestellt)

Organisation: Name des Unternehmens, für das das Zertifikat ausgestellt werden soll.

Locality: Stadt

Country: Länderkürzel, in Großbuchstaben (z.B. CZ)

State: Land

Eine genaue Anleitung zur CSR-Generierung auf einem eigenen Server, finden Sie auf den Webseiten der Zertifizierungsstelle Thawte:

Apache 

Microsoft IIS 7 


Die Überprüfung eines Zertifikats


Vor der Ausstellung eines Zertifikats erfolgt die Überprüfung des zukünftigen Zertifikatsinhabers. Ohne diese Überprüfung durch die Zertifizierungsinstanz kann kein Sicherheitszertifikat ausgestellt werden.

Wie die Überprüfung abläuft hängt vom Zertifikatstyp ab. Die Überprüfung kann auch nur über ein Bestätigungslink oder auch per Telefon erfolgen. 

Auf unseren Webseiten können Sie ein Zertifikat nach dem Überprüfungsverfahren auswählen. Im Allgemeinen gilt, dass je umfangreicher die Überprüfung eines Unternehmens ist, desto vertrauenswürdiger ist das Zertifikat.

Die Zahlungsportale können zum Beispiel ein Zertifikat erfordern, bei dem das antragstellende Unternehmen telefonisch überprüft wird.

 

Domain-Validierung - Domain-Überprüfung (DV)

Bei einer Domain-Validierung prüft die Zertifizierungsstelle lediglich, ob der Auftraggeber der Domaininhaber ist. Dies erfolgt über die Bestätigung einer E-Mail, die an eine der vorgegebenen E-Mail-Adressen unter der Domain gesendet wird. Dazu dürfen nur folgende E-Mail-Adressen gewählt werden: amin@, administrator@, webmaster@, hostmaster@ oder postmaster@domain.xy.

 

Organisations-Validierung - Überprüfung des Inhaber-Unternehmens (OV)

Die Zertifizierungsstelle prüft die Identität des beantragenden Unternehmens anhand von öffentlich zugänglichen Kontaktinformationen und überprüft die Zertifikatsanfrage per Telefon. Das Gespräch verläuft ausschließlich in englischer Sprache. Das beantragende Unternehmen muss dabei ein Code angeben, der nachher nochmal per E-Mail bestätigt werden muss. Zusätzlich wird überpüft, ob das beantragende Unternehmen mit dem Inhaber-Unternehmen der Domain übereinstimmt.

 

Erweiterte Validierung – Umfangreiche Überprüfung (EV)

Der Betreiber der Webseite und das dahinter stehende Unternehmen werden einer besonders umfangreichen und strengen Überprüfung unterzogen. Deswegen kann die Zertifikatausstellung länger dauern. Die Informationen werden hierbei aus mehreren Quellen beschafft, zusätzlich werden beglaubigte Geschäftsdokumente benötigt. 

Genaue Auflistung benötigter Dokumente werden dem beantragenden Unternehmen per E-Mail mitgeteilt. Gleichzeitig wird das Arbeitsverhältnis der im Zertifikat angegebenen administrativen Kontaktperson überprüft.    

 


 

Die Installation von Zertifikaten


Alle Linux-basierte Shared Server unterstützen die Auto-SSL-Funktion. Dank dieser Funktion können Sie auf Ihre Webseiten gleich nach der Hosting-Einrichtung über das verschlüsselte HTTPS- Protokoll zugreifen. Für den virtuellen Server wird zuerst ein selbstsigniertes Zertifikat generiert, anschließend versucht es das System in regelmäßigen Zeitabständen durch ein vertrauenswürdiges Zertifikat von Let's Encrypt zu ersetzen. Dieser Prozess könnte bis zu einigen Stunden dauern. Für die erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein (vor allem muss die Domain im DNS auf das Hosting verweisen).

Ein selbstsigniertes Zertifikat von Let's Encrypt kann man jederzeit durch ein beliebiges eigenes Zertifikat ersetzen. In diesem Fall übernimmt der Servernutzer die Verantwortung über die regelmäßige und rechtzeitige Aktualisierung des Zertifikats.

Die Zertifikate werden nach einer sogenannten SNI-Methode installiert, wenn unter einer IP-Adresse mehrere Zertifikate installiert werden. Die Bestellung einer dedizierten IP-Adresse führen Sie über eine autorisierte Anfrage durch, gegebenenfalls im Kundencenter auf der Übersichtsseite mit den Serverinformationen, Abschnitt SSL/TLS-Zertifikat, Schaltfläche Anzeigen.

Die Übersichtsseite mit den Serverinformationen finden Sie in Ihrem Kundencenter unter Dienste / Hosting und Server/ Virtuelle Server. Wählen Sie die Domain, die mit dem Hosting verbunden ist. Beim Abschnitt SSL/TLS-Zertifikat werden die Haupinformationen über das aktuell eingestellte Zertifikat angezeigt - Zertifizierungsstelle, Ablaufdatum und weitere Einstellungsmöglichkeiten.

Anzeigen

Die Details des aktuell installierten Zertifikats werden angezeigt. Falls es sich um ein selbstsigniertes Zertifikat handelt ist im Aussteller-Feld die Domain selbst (für die das Zertifikat ausgestellt ist) angegeben. Bei anderen Zertifikaten erscheint hier die entsprechende Zertifizierungsstelle.

Ersetzen

Hier können Sie das aktuelle Zertifikat ersetzen - ein neues bestellen bzw. eine CSR-Datei erstellen.

  • Die Bestellung eines Zertifikats leitet Sie auf unser Zertifikatsangebot weiter. Die Installation des Zertifikats wird anschließend von uns übernommen. 
  • Die CSR-Erstellung für ein neues Zertifikat generiert eine SCR-Datei, die für die Ausstellung eines SSL/TLS-Zertifikats bei einem anderen Anbieter notwendig wäre.
  • Das Hochladen eines neuen Zertifikats erfolgt automatisch über ein Aktualisierungformular. Wenn Sie bereits über ein Zertifikat verfügen, können Sie es einfach in ein Formular eingeben und auf dem Server aktualisieren. Folgen Sie dabei den Installationsanweisungen.

Die HTTPS - Umleitung auf dem Linux-Hosting (mittels .htaccess)


Die HTTPS-Implementierung bei einem LINUX-Hosting erfolgt (gleich wie HTTP) mittels Reverse Proxy Nginx, dieser regelt ein sogenanntes TLS offloading.

Die Datenübertragung zwischen Nginx und Apache läuft unverschlüsselt ab. Die Verschlüsselung wird auf den Apache übertragen. Daraus ergeben sich folgende Einschränkungen für Anwendungen, die nachzuprüfen versuchen, ob man darauf über eine verschlüsselte HTTPS-Verbindung zugreift.

- Variable $_SERVER['HTTPS'] !='on' ist aktiv  
- Variable $_SERVER['SERVER_PORT'] hat den Zahlenwert 80 (auch bei Anwendung von HTTPS)
- "RewriteCond %{SERVER_PORT} !^443$" und "RewriteCond %{HTTPS} !on" im .htaccess ist deaktiviert! In solchen Fällen ist der Port je nach PHP-Version stets 8x und die Variable HTTPS "Off". Statt der Variable %{HTTPS} muss für die Erkennung die Variable %{HTTP:X-Forwarded-Proto} verwendet werden.

Die HTTPS-Umleitung unter Beibehaltung der Rückkompatibilität, können Sie durch folgenden Quellcode in der .htaccess-Datei erreichen:

RewriteEngine On

RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;" 
Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Die HTTPS - Umleitung auf dem Windows-Hosting (mittels web.config)

Auf dem Windows-Hosting muss zuerst ein SSL-Zertifikat bestellt werden. Automatische Zertifikate von „Let's Encrypt” sind hier vorerst nicht verfügbar.

Sobald das SSL-Zertifikat installiert ist, können Sie die HTTPS-Umleitung mittels web.config mit folgendem Code einstellen:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
     <rules>
       <rule name="Redirect to https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
           <match url="*" negate="false" />
           <conditions logicalGrouping="MatchAny">
               <add input="{HTTPS}" pattern="off" />
           </conditions>
           <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
       </rule>
     </rules>
  </rewrite>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="upgrade-insecure-requests;" />
        </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Detaillierte Konfigurationsmöglichkeiten finden Sie in der Dokumentation von web.config.