SSL/TLS - Zertifikate

Die gewöhnliche Kommunikation läuft im Internet meist unverschlüsselt ab. Die Verbindung zwischen den PCs lässt sich dadurch einfach abhören. Mittels sogenannter SSL/TLS Zertifikate wird die Kommunikation bzw. die Datenübertragung zwischen dem Besucher-PC und dem Server, auf dem die besuchten Webseiten laufen, verschlüsselt und kann dadurch nicht mehr abgehört oder auf dem Weg verändert werden.

Die Webseitenbesucher können dank dieser Technologie sicher sein, dass ihre persönlichen Daten (Namen, Passwörter, Bankkartendaten usw.), die sie in die Web-Formulare eingeben, ausschließlich dem Webseitenbetreiber übertragen und von keinen Dritten abgefangen werden.

Durch die Nutzung von HTTPS ist es auch unmöglich, dass z.B. über ein Free WiFi Hotspot ohne das Wissen des Webseitenbetreibers und des Webseitenbesuchers unangeforderte Inhalte z.B Werbung oder Schadcode in die Webseiten eingeschleust werden. 

Eine mittels HTTPS verschlüsselte Webseite erkennen Sie am grünen Sperrschloss-Symbol in der Adressleiste des Webbrowsers.  


Weitere Informationen zu unserem SSL-Zertifikatsangebot finden Sie unter SSL-Zertifikaten.  

Gratis SSL-Zertifikat von Let's Encrypt


Zu jedem bei uns bestellten Linux- und Windows- Hosting richten wir automatisch und gratis ein SSL-Zertifikat von Let's Encrypt ein. Diese Zertifikate werden von Webbrowsern als vertrauenswürdig eingestuft und können für eine vollwertige Webseiten-Absicherung genutzt werden.

Ein ausgestelltes Zertifikat gilt jeweils 3 Monate und wird regelmäßig automatisch erneuert. Die Sorge um die manuelle Aktualisierung entfällt für Sie komplett.
 

Hinweis: Die Let's Encrypt-Zertifikate richten wir nach dem Best-Effort-Prinzip ein, d.h. wir bemühen uns maximal um deren Ausstellung und regelmäßige Aktualisierung, können dafür jedoch keine Garantie übernehmen. Für anspruchsvolle Webseiten, die auf ein valides SSL-Zertifikat angewiesen sind, empfehlen wir deswegen grundsätzlich ein kommerzielles Zertifikat zu verwenden z.B. ein sogenanntes Zertifikat mit erweiterter Validierung(EV), das den höchsten Sicherheitsgrad bietet, in der Browserleiste den Namen des Domaininhabers anzeigt und somit die Vertrauenswürdigkeit der Webseite wesentlich erhöht.

Bei der Serverlösung VMS Windows muss die Einrichtung eines SSL-Zertifikats von Let's Encrypt mittels einer autorisierten Anfrage aus dem Kundencenter vorher angefordert werden.


Ausstellungsbedingungen für SSL-Zertifikate von Let's Encrypt bei ACTIVE 24:

  • Das Zertifikat wird für die Hauptdomain und ihre Aliase generiert. Die nachgetragenen Aliase werden im Zertifikat innerhalb einiger Stunden automatisch ergänzt. 
  • Das Zertifikat kann für die Wildcard-Aliase wie z.B. *.active24.cz nicht ausgestellt werden, stattdessen wäre es nur für eine WWW-Variante (z.B www.active24.cz) möglich. Benötigen Sie das Zertifikat für eine Subdomain, müssen Sie beim Server den konkreten Subdomain-Namen als Alias eintragen.
  • Ein richtig gesetzter DNS-Eintrag mit dem Verweis auf den Hosting-Server bei ACTIVE 24 muss vorhanden sein.
  • Let's Encrypt unterstützt keine sogenannten IDN-Domains (mit Sonderzeichen). Das Zertifikat kann für solche Domains nicht ausgestellt werden.
  • Standardgemäß werden alle Domains auf Einträge in den Malware-Datenbanken überprüft. Ist die betreffende Domain dort aufgelistet, kann für sie kein SSL-Zertifikat ausgestellt werden.
  • Mehr als 100 Aliase kann ein SSL-Zertifikat nicht absichern.
  • Bei der Hostingeinrichtung wird zuerst ein selbstsigniertes Zertifikat generiert, das anschließend durch das Let's Encrypt-Zertifikat ersetzt wird. Dieser Prozess kann bis zu einigen Stunden dauern. Für eine erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein.
  • Wenn Sie über das Kundencenter ein eigenes Zertifikat installieren, wird es zum alleingültigen SSL-Zertifikat. Es wird nicht mehr durch das Let's Encrypt-Zertifikat ersetzt. Die anschließende Aktualisierung des eigenen Zertifikats liegt ganz bei Ihnen. Wenn Sie stattdessen ein Let's Encrypt-Zertifikat wünschen, geben Sie uns Bescheid.


CSR (Zertifikatsregistrierungsanforderung)


Für die Ausstellung eines SSL/TLS-Zertifikats ist ein sogenannter CSR-Antrag (Certificate Signing Request oder Zertifikatsregistrierungsanforderung) erforderlich. Es handelt sich um einen digitalen Antrag mit den Informationen über den Antragsteller und einem öffentlichen Schlüssel des Servers, zu dem die Verbinung verschlüsselt werden soll. Eine CSR-Datei wird stets beim Server-Anbieter (Hosting-Provider) generiert.

Eine CSR-Datei für ein Linux-Hosting bei ACTIVE 24, können Sie direkt bei uns im Kundencenter generieren (eine Anleitung dazu finden Sie im Abschnitt die Installation des SSL-Zertifikats). Sie können die Generierung einer CSR-Datei auch direkt über eine autorisierte Anfrage anfordern. Für ein Windows-Hosting müssen Sie die CSR-Datei über eine autorisierte Anfrage anfordern

Wie Sie eine CSR-Datei im Kundencenter generieren:

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie das SSL-Zertifikat installieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail beim SSL/TLS-Zertifikat
  4. Klicken Sie auf CSR generieren. 
  5. Tragen Sie die erforderlichen Angaben für das zukünftige SSL/TLS-Zertifikat ein.
  6. Die fertige CSR-Datei können Sie anschließend im TXT-Format herunterladen.

Detaillierte Schrittfolge:

  1. Melden Sie sich mit Ihren Zugangsdaten im Kundencenter an. Neue Zugangsdaten können Sie hier anfordern
  2. Wählen Sie im Hauptmenü Server und Hosting (1), Server im Überblick (2). Klicken Sie auf Detail (3) beim Server, auf dem Sie das SSL-Zertifikat installieren möchten.
  3. Gehen Sie zu Einstellungen des Servers (4) und klicken Sie auf Detail (5) beim SSL/TLS-Zertifikat.
  4. Die Generierung einer CSR-Datei starten Sie mit dem Klick auf CSR generieren (6). Im weiteren Schritt tragen Sie alle Basisinformationen ein, die das Zertifikat enthalten soll und laden die fertige CSR-Datei herunter.

Eine CSR-Datei muss folgende Basisinformationen über den Server enthalten:

Domain (CN-Common Name): Der vollständige Domainname, unter welchem Sie die Webseiten absichern möchten
(meistens werden SSL-Zertifikate für Domainnamen mit WWW bestellt, z.B www.ihredomain.de). 

Unternehmen (O-Organization Name): Name des Unternehmens gemäß Handelsregisterauszug, auf den das SSL-Zertifikat ausgestellt werden soll.
Bei einem domainvalidierten Zertifikat können Sie Ihren persönlichen Namen eintragen.

Stadt (L-Locality): Stadt

Land (C-Country Code): Landescode in Großbuchstaben (z.B. AT)

Bundesland/Region (ST-State or Province): Bundesland oder Region (z.B. Niedersachsen)

E-Mail: Ihre E-Mail-Adresse, die zur Kontaktaufnahme mit Ihnen bzw. Ihrem Unternehmen verwendet wird. 

Eine Anleitung für die CSR-Generierung auf einem eigenen Server, finden Sie auf den Webseiten der Zertifizierungsstelle Thawte:

Apache 

Microsoft IIS 7 


Validierungsverfahren


Damit ein SSL-Zertifikat auf einem Webserver installiert werden kann, müssen zunächst der Domaininhaber und der Webserver auf Authentizität und Integrität überprüft werden. Dieser Vorgang wird von einer Zertifizierungsstelle durchgeführt, man nennt ihn „Validierung“. Je nach SSL-Zertifikat variieren die Vorgänge einer Validierung stark. Man unterscheidet drei verschiedene Arten der Validierung: Domain-Validierung, Unternehmens-Validierung und Erweiterte-Validierung. Die verschiedenen Validierungsarten unterscheiden sich vor allem im Umfang und der Genauigkeit der Prüfung bzw. Authentifizierung von bereitgestellten Daten des Domaininhabers und in der Art der visuellen Sicherheitsindikatoren einer Webseite bei einer aktiven SSL-Verschlüsselung.

Je nach Zertifikat, wird Ihnen die Zertifizierungsstelle entweder einen Link zur Bestätigung senden oder Sie telefonisch kontaktieren oder von Ihnen zusätzlich noch weitere Unterlagen anfordern.    

Aus unserem SSL-Angebot können Sie ein Zertifikat nach dem Validierungsverfahren auswählen. Im Allgemeinen gilt, dass je aufwändiger die Validierung, desto vertrauenswürdiger ist das SSL-Zertifikat. Die Zahlungsportale können zum Beispiel ein Zertifikat erfordern, bei dem das antragstellende Unternehmen telefonisch überprüft wird.

 

Domain-Validierung - Domain-Überprüfung (DV)

Bei einer Domain-Validierung prüft die Zertifizierungsstelle lediglich, ob der Antragsteller der Domaininhaber ist. Dies erfolgt über die Bestätigung einer E-Mail, die an eine der vorgegebenen E-Mail-Adressen unter der Domain gesendet wird. Dazu dürfen nur folgende E-Mail-Adressen gewählt werden: amin@, administrator@, webmaster@, hostmaster@ oder postmaster@domain.xy.

 

Organisations-Validierung - Überprüfung des Inhaber-Unternehmens (OV)

Die Zertifizierungsstelle prüft die Identität des beantragenden Unternehmens anhand von öffentlich zugänglichen Kontaktinformationen (z.B. Handelsregister) und überprüft die Zertifikatsanfrage per Telefon. Das Gespräch verläuft ausschließlich in englischer Sprache. Das beantragende Unternehmen muss dabei einen Code angeben, der per E-Mail bestätigt werden muss. Zusätzlich wird überpüft, ob das beantragende Unternehmen mit dem Domain-Inhaber übereinstimmt.

 

Erweiterte Validierung – Umfangreiche Überprüfung (EV)

Verläuft ähnlich wie die Organisations-Validierung, nur viel gründlicher. Der Betreiber der Webseite und das dahinter stehende Unternehmen werden einer besonders umfangreichen und strengen Überprüfung unterzogen. Deswegen kann die Zertifikatsausstellung länger dauern. Die Informationen werden hierbei aus mehreren Quellen beschafft, zusätzlich werden beglaubigte Dokumente angefordert. 

Genaue Auflistung benötigter Dokumente werden dem beantragenden Unternehmen per E-Mail mitgeteilt. Gleichzeitig wird das Arbeitsverhältnis der im Zertifikat angegebenen administrativen Kontaktperson überprüft.    

 


 

Die Installation von SSL-Zertifikaten


Bei allen unseren Linux-basierten Shared Servern wird die Auto-SSL-Funktion unterstützt. Dank dieser Funktion wird man auf Ihre Webseiten über das verschlüsselte HTTPS- Protokoll kurz nach der Einrichtung des Hostings zugreifen können.

Auf dem virtuellen Server wird zuerst ein selbstsigniertes Zertifikat eingerichtet, anschließend wird es durch ein vertrauenswürdiges Zertifikat von Let's Encrypt ersetzt. Dieser Prozess kann bis zu einigen Stunden dauern. Für die erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein (vor allem muss die Domain im DNS auf das Hosting verweisen).

Ein selbstsigniertes Zertifikat und das Zertifikat von Let's Encrypt kann man jederzeit durch ein beliebiges, kommerzielles Zertifikat ersetzen. In diesem Fall übernimmt der Servernutzer die Verantwortung für die regelmäßige und rechtzeitige Aktualisierung des Zertifikats.

Die Installation der Zertifikate auf unseren Linux-Servern basiert auf der sogenannten SNI-Methode, diese ermöglicht mehrere Zertifikate zu einer einzigen IP-Adresse auszustellen. Bei Bedarf können Sie eine dedizierte IP-Adresse über eine autorisierte Anfrage aus dem Kundencenter bestellen.

Die Information über das aktuell installierte SSL-Zertifikat finden Sie auf der Detail-Seite des Servers (Server und Hosting / Server im Überblick / Detail) beim Abschnitt SSL/TLS-Zertifikat. Hier können Sie die aktuelle Zertifizierungsstelle, das Ablaufdatum sowie weitere Verwaltungsmöglichkeiten einsehen. Sollte es sich um ein selbstsigniertes Zertifikat handeln ist im Aussteller-Feld die eigentliche Domain (für die das Zertifikat ausgestellt ist) angegeben. Bei anderen Zertifikaten erscheint hier die entsprechende Zertifizierungsstelle.

 

Wie Sie ein SSL/TLS-Zertifikat installieren?

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie ein SSL-Zertifikat installieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail beim SSL/TLS-Zertifikat
  4. Klicken Sie auf Zertifikat hochladen
  5. Geben Sie in das Textfeld das vollständige Zertifikat ein, einschließlich der Kopf-und Fußzeile: ----BEGIN CERTIFICATE----- und -----END CERTIFICATE.
  6. Einige Zertifikate erfordern ein sogenanntes Intermediate-Zertifikat. Laden Sie es hoch (es wird Ihnen in der Regel in der Zertifikatsdatei mitgeschickt).    
  7. Sobald das Zertifikat installiert ist, aktivieren Sie die HTTPS-Umleitung.

 

Detaillierte Schrittfolge:

  1. Melden Sie sich mit Ihren Zugangsdaten im Kundencenter an. Neue Zugangsdaten können Sie gegebenenfalls hier anfordern
  2. Wählen Sie im Hauptmenü Server und Hosting (1), Server im Überblick (2). Klicken Sie auf Detail (3) beim Server, auf dem Sie das SSL-Zertifikat installieren möchten.
  3. Gehen Sie zu Einstellungen des Servers (4) und klicken Sie auf Detail (5) beim SSL/TLS-Zertifikat.  
  4. Die Installation des SSL-Zertifikats starten Sie mit dem Klick auf Zertifikat hochladen (6). In das Textfeld (7) geben Sie das vollständige Zertifikat ein, einschließlich der Kopf-und Fußzeile „----BEGIN CERTIFICATE----- und -----END CERTIFICATE” oder laden Sie es als Datei (8) hoch. 
    WICHTIG: Tragen Sie das Zertifikat mit der Kopf-und Fußzeile, einschließlich „-----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----” ein.
  5. Bestätigen Sie die Installation des Zertifikats mit dem Klick auf Hochladen und Validieren (8). Für einige Zertifikate müssen Sie ein sogenanntes Intermediate-Zertifikat hochladen (es ist meist in der Zertifikatsdatei enthalten) oder einen privaten Server-Schlüssel angeben, der bei der CSR-Anforderung generiert wurde - dieser ist erforderlich, wenn das Zertifikat ursprünglich für einen anderen physischen Server ausgestellt wurde.    

  6. Sobald Sie die erforderlichen Schlüssel eintragen, wird das SSL-Zertifikat installiert und die Webseiten über das HTTPS-Protokoll abgesichert. Damit die Absicherung abgeschlossen wird, bleibt es Ihnen die HTTPS-Umleitung zu aktivieren.

Die HTTPS - Umleitung auf dem Linux-Hosting

Die HTTPS-Umleitung wird über die .htaccess-Datei auf dem Server eingerichtet. Schnellste Möglichkeit - mit einem Klick direkt im Kundencenter unter Server-Einstellungen. Oder Sie bearbeiten die .htaccess-Datei auf dem Server manuell und tragen hier die notwendigen Code-Zeilen ein, das können Sie ebenfalls direkt im Kundencenter oder über Ihren FTP-Zugriff machen.

HTTPS-Umleitung aus dem Kundencenter:

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting, auf dem Sie die Https-Umleitung aktivieren möchten (Server und Hosting / Server im Überblick / Detail).
  3. Gehen Sie zu Einstellungen des Servers und klicken Sie auf Detail bei der Umleitung auf HTTPS. Sie können zwischen folgenden Möglichkeiten wählen: 
Entsprechend Servereinstellungen (Voreinstellung) - die Umleitung ist deaktiviert. Diese Voreinstellung kann 
in Zukunft nach Vorankündigung von ACTIVE 24 aktiviert werden.

Deaktiviert - die Umleitung ist deaktiviert und wird auch nicht in Zukunft seitens ACTIVE 24 aktiviert werden.

Standard HTTPS-Umleitung aktiviert - alle Aufrufe werden auf HTTPS umgeleitet. 
Gemischte Inhalte (sog. mixed content) sind nicht berücksichtigt. Versucht das Web z.B. CSS Styles oder 
Javascripte übers HTTP zu laden, werden sie in einigen Browsern nicht angezeigt, es erscheint eine Warnung.

Aktiviert und berücksichtigt gemischte Inhalte - alle Aufrufe werden auf HTTPS umgeleitet und der Browser lädt 
alle Webelemente auf der Webseite über das HTTPS-Protokoll. Warnungen wegen gemischter Inhalte (sog. mixed content) werden 
behoben. Es werden jedoch keine Webelemente von externen Webseiten ohne HTTPS-Absicherung geladen.

Die HTTPS-Implementierung bei einem LINUX-Hosting erfolgt (gleich wie HTTP) mittels Reverse Proxy Nginx, dieser regelt das sogenannte TLS offloading.

Die Datenübertragung zwischen Nginx und Apache läuft unverschlüsselt ab. Daraus ergeben sich folgende Einschränkungen für Anwendungen, die nachzuprüfen versuchen, ob man darauf über eine verschlüsselte HTTPS-Verbindung zugreift.

- Variable $_SERVER['HTTPS'] !='on' ist aktiv  
- Variable $_SERVER['SERVER_PORT'] hat den Zahlenwert 80 (auch bei HTTPS)
- Die Erkennung im .htaccess mittels "RewriteCond %{SERVER_PORT} !^443$" und "RewriteCond %{HTTPS} !on" ist deaktiviert. In solchen Fällen ist der Port stets 8x und HTTPS "Off". Statt %{HTTPS} muss für die Erkennung die Variable %{HTTP:X-Forwarded-Proto} verwendet werden.

Umleitung mittels .htaccess:

Die HTTPS-Umleitung unter Beibehaltung der Rückkompatibilität, können Sie durch folgenden Quellcode in der .htaccess-Datei erreichen:

RewriteEngine On

RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;" 
Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Die HTTPS - Umleitung auf dem Windows-Hosting

Für ein Windows-Hosting können Sie ein kommerzielles SSL-Zertifikat bestellen oder ein kostenloses SSL-Zertifikat von „Let's Encrypt” einrichten lassen (autorisierte Anfrage aus dem Kundencenter).

Sobald das SSL-Zertifikat installiert ist, können Sie die HTTPS-Umleitung mittels web.config mit folgendem Code einstellen:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
     <rules>
       <rule name="Redirect to https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
           <match url="*" negate="false" />
           <conditions logicalGrouping="MatchAny">
               <add input="{HTTPS}" pattern="off" />
           </conditions>
           <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
       </rule>
     </rules>
  </rewrite>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="upgrade-insecure-requests;" />
        </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

Der Header mit dem Wert "upgrade-insecure-requests" behebt Warnungen zu sogenannten gemischten Inhalten.

Detaillierte Konfigurationsmöglichkeiten finden Sie in der Dokumentation von web.config.

 


Automatische Aktivierung der HTTPS - Umleitung

  1. Melden Sie sich im Kundencenter an.
  2. Wählen Sie das Linux-Hosting mit dem aktiven SSL-Zertifikat (Server und Hosting / Server im Überblick / Detail).

  3. Gehen Sie zu Einstellungen des Servers

  4. Wählen Sie die passende Möglichkeit bei der Umleitung auf HTTPS aus.