SSL/TLS - Zertifikate

Die gewöhnliche Kommunikation läuft im Internet meist unverschlüsselt ab. Die Verbindung zwischen den PCs lässt sich dadurch einfach abhören. Mittels sogenannter SSL/TLS Zertifikate wird die Kommunikation bzw. die Datenübertragung zwischen dem Besucher-PC und dem Server, auf dem die besuchten Webseiten laufen, verschlüsselt und kann dadurch nicht mehr abgehört oder auf dem Weg verändert werden.

Die Webseitenbesucher können dank dieser Technologie sicher sein, dass ihre persönlichen Daten (Namen, Passwörter, Bankkartendaten usw.), die sie in die Web-Formulare eingeben, ausschließlich dem Webseitenbetreiber übertragen und von keinen Dritten abgefangen werden.

Durch die Nutzung von HTTPS ist es auch unmöglich, dass z.B. über ein Free WiFi Hotspot ohne das Wissen des Webseitenbetreibers und des Webseitenbesuchers unangeforderte Inhalte z.B Werbung oder Schadcode in die Webseiten eingeschleust werden. 

Eine mittels HTTPS verschlüsselte Webseite erkennen Sie am grünen Sperrschloss-Symbol in der Adressleiste des Webbrowsers.  


Weitere Informationen zu unserem SSL-Zertifikatsangebot finden Sie unter SSL-Zertifikaten.  

Let's Encrypt gratis


Ein Let's Encrypt - Zertifikat richten wir zu jedem bei uns bestellten Linux-Hosting komplett kostenlos ein. Diese Zertifikate werden von Webbrowsern als vertrauenswürdig eingestuft und können für eine vollwertige Webseiten-Absicherung genutzt werden.

Ein ausgestelltes Zertifikat gilt jeweils 3 Monate und wird regelmäßig automatisch erneuert. Die Sorge um die manuelle Aktualisierung entfällt komplett.
 

Hinweis: Die Let's Encrypt-Zertifikate richten wir nach dem Best-Effort-Prinzip ein. Wir bemühen uns maximal um deren Ausstellung und regelmäßige Aktualisierung, können dafür jedoch keine Garantie übernehmen. Für anspruchsvolle Webseiten, die auf ein valides Zertifikat angewiesen sind, empfehlen wir grundsätzlich die kommerziellen Zertifikate zu verwenden z.B. die sogenannten Zertfikate mit erweiterter Validierung(EV), die den höchsten Sicherheitsgrad bieten, in der Browserleiste den Namen des Domaininhabers anzeigen und somit die Vertrauenswürdigkeit der Webseiten erhöhen.


Ausstellungsbedingungen für ein Let's Encrypt - Zertifikat bei ACTIVE 24:

  • Das Zertifikat wird für die Hauptdomain und ihre Aliase generiert. Die nachgetragenen Aliase werden im Zertifikat innerhalb einiger Stunden automatisch ergänzt. 
  • Die Wildcard-Aliase wie z.B. *.active24.cz werden nicht angenommen, stattdessen wäre eine WWW-Variante (z.B www.active24.cz) möglich. Benötigen Sie das Zertifikat für eine bestimmte Subdomain, dann müssen Sie beim Server diesen konkreten Subdomain-Namen als Alias eintragen.
  • Ein richtig gesetzter DNS-Eintrag mit dem Verweis auf den Hosting-Server bei ACTIVE 24 muss vorhanden sein.
  • Let's Encrypt unterstützt keine sogenannten IDN-Domains (mit Sonderzeichen). Das Zertifikat kann für solche Domains nicht ausgestellt werden.
  • Standardgemäß werden alle Domains auf Einträge in den Malware-Datenbanken überprüft. Ist die betreffende Domain dort aufgelistet, kann das Zertifikat nicht ausgestellt werden.
  • Ein Zertifikat kann nicht mehr als 100 Aliase enthalten.
  • Bei der Hostingeinrichtung wird zuerst ein selbstsigniertes Zertifikat generiert, das anschließend durch das Let's Encrypt-Zertifikat ersetzt wird. Dieser Prozess könnte bis zu einigen Stunden dauern. Für eine erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein.
  • Wenn Sie über das Kundencenter ein eigenes Zertifikat installieren, lassen wir es künftig laufen und greifen darauf nicht mehr zu. Die anschließende Aktualisierung eines eigenen Zertifikats liegt ganz bei Ihnen. Sollten Sie jedoch ein Let's Encrypt-Zertifikat wünschen, geben Sie uns Bescheid.


CSR (Zertifikatsregistrierungsanforderung)


Für die Ausstellung eines SSL/TLS-Zertifikats ist ein sogenannter CSR-Antrag (Certificate Signing Request oder Zertifikatsregistrierungsanforderung) erforderlich. Es handelt sich um einen digitalen Antrag mit den Informationen über den Antragsteller und einem öffentlichen Schlüssel des Servers, zu dem die Verbinung verschlüsselt werden soll. Eine CSR-Datei wird stets beim Server-Anbieter generiert.

Eine CSR-Datei für das Linux-Hosting von ACTIVE 24, können Sie direkt bei uns im Kundencenter generieren (eine Anleitung dazu finden Sie im Abschnitt die Installation des SSL-Zertifikats). Sie können die Generierung einer CSR-Datei auch direkt über eine autorisierte Anfrage beantragen.

Wie Sie eine CSR-Datei im Kundencenter generieren:

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie das SSL-Zertifikat installieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail beim SSL/TLS-Zertifikat
  4. Klicken Sie auf CSR generieren 
  5. Tragen Sie die erforderlichen Angaben für das zukünftige SSL/TLS-Zertifikat ein.
  6. Die CSR-Datei können Sie anschließend im TXT-Format auf Ihren PC herunterladen.

Detaillierte Schrittfolge:

  1. Melden Sie sich mit Ihren Zugangsdaten im Kundencenter an. Neue Zugangsdaten können Sie gegebenenfalls hier anfordern
  2. Wählen Sie im Hauptmenü Server und Hosting (1), Server im Überblick (2). Klicken Sie auf Detail (3) beim Server, auf dem Sie das SSL-Zertifikat installieren möchten.
  3. Gehen Sie zu Einstellungen des Servers (4) und klicken Sie auf Detail (5) beim SSL/TLS-Zertifikat.  
  4. Die Generierung einer CSR-Datei starten Sie mit dem Klick auf CSR generieren (6). Im Weiteren Schritt tragen Sie alle Basisinformationen ein, die das Zertifikat enthalten soll und laden die fertige CSR-Datei herunter.

Eine CSR-Datei muss folgende Basisinformationen über den Server enthalten:

Domain (CN-Common Name): Der vollständige Domainname, unter welchem Sie die Webseiten absichern möchten
(mit www, wenn das Zertifikat auch für die Domain mit www gelten soll). 

Unternehmen (O-Organization Name): Name des Unternehmens gemäß Handelsregisterauszug.
Bei einem domainvalidierten Zertifikat können Sie Ihren persönlichen Namen eintragen.

Stadt (L-Locality): Stadt

Land (C-Country Code): Länderkürzel (z.B. AT)

Bundesland/Region (ST-State or Province): Bundesland oder Region (z.B. Niedersachsen)

E-Mail: Ihre E-Mail-Adresse, die zur Kontaktaufnahme mit Ihrem Unternehmen verwendet wird. 

Eine genaue Anleitung zur CSR-Generierung auf einem eigenen Server, finden Sie auf den Webseiten der Zertifizierungsstelle Thawte:

Apache 

Microsoft IIS 7 


Validierungsverfahren


Damit ein SSL-Zertifikat auf einem Webserver installiert werden kann, müssen zunächst der Domaininhaber und der Webserver auf Authentizität und Integrität überprüft werden. Dieser Vorgang wird von der Zertifizierungsstelle durchgeführt, man nennt ihn „Validierung“. Je nach SSL-Zertifikat variieren die Vorgänge einer Validierung stark. Man unterscheidet drei verschiedene Arten der Validierung: Domain-Validierung, Unternehmens-Validierung und Erweiterte-Validierung. Die verschiedenen Validierungsarten unterscheiden sich vor allem im Umfang und der Genauigkeit der Prüfung bzw. Authentifizierung von persönlichen Daten des Domaininhabers und in der Art der visuellen Sicherheitsindikatoren.

Auf unseren Webseiten können Sie ein Zertifikat nach dem Validierungsverfahren auswählen. Im Allgemeinen gilt, dass je aufwändiger die Validierung, desto vertrauenswürdiger ist das SSL-Zertifikat.

Die Zahlungsportale können zum Beispiel ein Zertifikat erfordern, bei dem das antragstellende Unternehmen telefonisch überprüft wird.

 

Domain-Validierung - Domain-Überprüfung (DV)

Bei einer Domain-Validierung prüft die Zertifizierungsstelle lediglich, ob der Auftraggeber der Domaininhaber ist. Dies erfolgt über die Bestätigung einer E-Mail, die an eine der vorgegebenen E-Mail-Adressen unter der Domain gesendet wird. Dazu dürfen nur folgende E-Mail-Adressen gewählt werden: amin@, administrator@, webmaster@, hostmaster@ oder postmaster@domain.xy.

 

Organisations-Validierung - Überprüfung des Inhaber-Unternehmens (OV)

Die Zertifizierungsstelle prüft die Identität des beantragenden Unternehmens anhand von öffentlich zugänglichen Kontaktinformationen und überprüft die Zertifikatsanfrage per Telefon. Das Gespräch verläuft ausschließlich in englischer Sprache. Das beantragende Unternehmen muss dabei einen Code angeben, der nachher nochmal per E-Mail bestätigt werden muss. Zusätzlich wird überpüft, ob das beantragende Unternehmen mit dem Inhaber-Unternehmen der Domain übereinstimmt.

 

Erweiterte Validierung – Umfangreiche Überprüfung (EV)

Der Betreiber der Webseite und das dahinter stehende Unternehmen werden einer besonders umfangreichen und strengen Überprüfung unterzogen. Deswegen kann die Zertifikatausstellung länger dauern. Die Informationen werden hierbei aus mehreren Quellen beschafft, zusätzlich werden beglaubigte Geschäftsdokumente angefordert. 

Genaue Auflistung benötigter Dokumente werden dem beantragenden Unternehmen per E-Mail mitgeteilt. Gleichzeitig wird das Arbeitsverhältnis der im Zertifikat angegebenen administrativen Kontaktperson überprüft.    

 


 

Die Installation von Zertifikaten


Alle Linux-basierte Shared Server unterstützen die Auto-SSL-Funktion. Dank dieser Funktion können Sie auf Ihre Webseiten gleich nach der Hosting-Einrichtung über das verschlüsselte HTTPS- Protokoll zugreifen.

Auf dem virtuellen Server wird zuerst ein selbstsigniertes Zertifikat generiert, anschließend versucht das System es in regelmäßigen Zeitabständen durch ein vertrauenswürdiges Zertifikat von Let's Encrypt zu ersetzen. Dieser Prozess kann bis zu einigen Stunden dauern. Für die erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein (vor allem muss die Domain im DNS auf das Hosting verweisen).

Ein selbstsigniertes Zertifikat und das Zertifikat von Let's Encrypt kann man jederzeit durch ein beliebiges, kommerzielles Zertifikat ersetzen. In diesem Fall übernimmt der Servernutzer die Verantwortung über die regelmäßige und rechtzeitige Aktualisierung des Zertifikats.

Die Zertifikate werden auf unseren Linux-Servern nach der SNI-Methode installiert, wenn unter einer IP-Adresse mehrere Zertifikate installiert werden. Eine dedizierte IP-Adresse können Sie über eine autorisierte Anfrage bestellen.

Die Information über das aktuell installierte SSL-Zertifikat finden Sie auf der Detail-Seite des Servers (Server und Hosting / Server im Überblick / Detail) beim SSL/TLS-Zertifikat. Hier sehen Sie die aktuelle Zertifizierungsstelle, das Ablaufdatum und weitere Verwaltungsmöglichkeiten. Sollte es sich um ein selbstsigniertes Zertifikat handelt ist im Aussteller-Feld die Domain selbst (für die das Zertifikat ausgestellt ist) angegeben. Bei anderen Zertifikaten erscheint hier die entsprechende Zertifizierungsstelle.

 

Wie Sie ein SSL/TLS-Zertifikat installieren?

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie das SSL-Zertifikat installieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail beim SSL/TLS-Zertifikat
  4. Klicken Sie auf Zertifikat hochladen
  5. Geben Sie in das Textfeld das vollständige Zertifikat ein, einschließlich ----BEGIN CERTIFICATE----- und -----END CERTIFICATE.
  6. Einige Zertifikate erfordern ein sogenanntes Intermediate-Zertifikat. Laden Sie es hoch (es ist in der Zertifikatsdatei enthalten).    
  7. Sobald das Zertifikat installiert ist, aktivieren Sie die HTTPS-Umleitung.

 

Detaillierte Schrittfolge:

  1. Melden Sie sich mit Ihren Zugangsdaten im Kundencenter an. Neue Zugangsdaten können Sie gegebenenfalls hier anfordern
  2. Wählen Sie im Hauptmenü Server und Hosting (1), Server im Überblick (2). Klicken Sie auf Detail (3) beim Server, auf dem Sie das SSL-Zertifikat installieren möchten.
  3. Gehen Sie zu Einstellungen des Servers (4) und klicken Sie auf Detail (5) beim SSL/TLS-Zertifikat.  
  4. Die Installation des SSL-Zertifikats starten Sie mit dem Klick auf Zertifikat hochladen (6). In das Textfeld (7) geben Sie das vollständige Zertifikat ein, einschließlich ----BEGIN CERTIFICATE----- und -----END CERTIFICATE und laden Sie es als Datei (8) hoch. 
    WICHTIG: Tragen Sie das Zertifikat mit der Kopft-und Fußzeile, einschließlich „-----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----” ein.
  5. Bestätigen Sie die Installation des Zertifikats mit dem Klick auf Hochladen und Validieren (8). Für einige Zertifikate müssen Sie ein sogenanntes Intermediate-Zertifikat hochladen (es ist meist in der Zertifikatsdatei enthalten) oder einen privaten Server-Schlüssel angeben - dieser ist erforderlich, wenn das Zertifikat ursprünglich für einen anderen physischen Server ausgestellt wurde.    
  6. Sobald Sie die erforderlichen Schlüssel eintragen, wird das SSL-Zertifikat installiert und die Webseiten über das Https-Protokoll abgesichert. Damit die Absicherung abgeschlossen wird, aktivieren Sie die HTTPS-Umleitung.

Die HTTPS - Umleitung auf dem Linux-Hosting

Die HTTPS-Umleitung können Sie mit einem Klick direkt im Kundencenter unter Server-Einstellungen aktivieren - schnellste Möglichkeit. Oder Sie bearbeiten die .htaccess-Datei und speichern hier die notwendige Direktive entweder im Kundencenter oder direkt auf dem Server über das FTP.

HTTPS-Umleitung aus dem Kundencenter:

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie die Https-Umleitung aktivieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail bei der Umleitung auf HTTPS. Anschließend können Sie zwischen folgenden Möglichkeiten wählen: 
Entsprechend Servereinstellungen (Voreinstellung) - die Umleitung ist deaktiviert, diese Voreinstellung kann 
in Zukunft nach Vorankündigung von ACTIVE 24 aktiviert werden.

Deaktiviert - die Umleitung ist deaktiviert und wird auch nicht in Zukunft seitens ACTIVE 24 aktiviert werden.

Standard HTTPS-Umleitung aktiviert - alle Aufrufe werden auf HTTPS umgeleitet. 
Gemischte Inhalte (sog. mixed content) sind nicht berücksichtigt. Versucht das Web z.B. CSS Styles oder 
Javascripte übers HTTP zu laden, werden sie in einigen Browsern nicht angezeigt, es erscheint eine Warnung.

Aktiviert und berücksichtigt gemischte Inhalte - alle Aufrufe werden auf HTTPS umgeleitet und der Browser lädt 
alle Webelemente auf der Webseite übers HTTPS. Warnungen wegen gemischter Inhalte (sog. mixed content) werden 
behoben. Es werden jedoch keine Webelemente von externen Webseiten ohne HTTPS-Absicherung geladen.

Die HTTPS-Implementierung bei einem LINUX-Hosting erfolgt (gleich wie HTTP) mittels Reverse Proxy Nginx, dieser regelt ein sogenanntes TLS offloading.

Die Datenübertragung zwischen Nginx und Apache läuft unverschlüsselt ab. Der Apache erfährt über die Verschlüsselung übertragen. Daraus ergeben sich folgende Einschränkungen für Anwendungen, die nachzuprüfen versuchen, ob man darauf über eine verschlüsselte HTTPS-Verbindung zugreift.

- Variable $_SERVER['HTTPS'] !='on' ist aktiv  
- Variable $_SERVER['SERVER_PORT'] hat den Zahlenwert 80 (auch bei Anwendung von HTTPS)
- "RewriteCond %{SERVER_PORT} !^443$" und "RewriteCond %{HTTPS} !on" im .htaccess ist deaktiviertIn solchen Fällen ist der Port je nach PHP-Version stets 8x und die Variable HTTPS "Off". Statt der Variable %{HTTPS} muss für die Erkennung die Variable %{HTTP:X-Forwarded-Proto} verwendet werden.

Umleitung mittels .htaccess:

Die HTTPS-Umleitung unter Beibehaltung der Rückkompatibilität, können Sie durch folgenden Quellcode in der .htaccess-Datei erreichen:

RewriteEngine On

RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;" 
Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Die HTTPS - Umleitung auf dem Windows-Hosting

Für ein Windows-Hosting muss zuerst ein kommerzielles SSL-Zertifikat bestellt werden. Automatische Zertifikate von „Let's Encrypt” sind hier vorerst nicht verfügbar.

Sobald das SSL-Zertifikat installiert ist, können Sie die HTTPS-Umleitung mittels web.config mit folgendem Code einstellen:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
     <rules>
       <rule name="Redirect to https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
           <match url="*" negate="false" />
           <conditions logicalGrouping="MatchAny">
               <add input="{HTTPS}" pattern="off" />
           </conditions>
           <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
       </rule>
     </rules>
  </rewrite>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="upgrade-insecure-requests;" />
        </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Detaillierte Konfigurationsmöglichkeiten finden Sie in der Dokumentation von web.config.

 


Automatische Aktivierung der HTTPS - Umleitung

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting mit dem aktiven SSL-Zertifikat (Server und Hosting / Server im Überblick / Detail).

  3. Gehen Sie zu Einstellungen des Servers

  4. Wählen Sie die passende Einstellung bei der Umleitung auf HTTPS aus.