SSL/TLS Zertifikate

Die gewöhnliche Kommunikation läuft im Internet meist unverschlüsselt ab. Die Verbindung zwischen den PCs lässt sich dadurch einfach abhören. Mittels sogenannter SSL/TLS Zertifikate wird die Kommunikation bzw. die Datenübertragung zwischen dem Besucher-PC und dem Server, auf dem die besuchten Webseiten laufen, verschlüsselt und kann dadurch nicht mehr abgehört oder auf dem Weg verändert werden.

Die Webseitenbesucher können dank dieser Technologie sicher sein, dass ihre persönlichen Daten (Namen, Passwörter, Bankkartendaten usw.) bei Bedarf ausschließlich dem Webseitenbetreiber übertragen und von keinen Dritten abgefangen werden.

Durch die Nutzung von HTTPS ist es auch unmöglich, dass z.B. über ein Free WiFi Hotspot ohne das Wissen des Webseitenbetreibers und des Webseitenbesuchers unangeforderte Inhalte z.B Werbung oder Schadcode in die Webseiten eingeschleust werden. 

Eine mittels HTTPS verschlüsselte Webseite erkennen Sie am grünen Sperrschloss-Symbol in der Adressleiste des Webbrowsers.  


Weitere Informationen zu unserem SSL-Zertifikatsangebot finden Sie unter SSL-Zertifikate.  

Gratis Let's Encrypt


Ein Let's Encrypt - Zertifikat richten wir komplett kostenlos und automatisch zu jedem bei uns bestellten Linux-Hosting ein. Diese Zertifikate werden von Webbrowsern als vertrauenswürdig eingestuft und können für eine vollwertige Webseiten-Absicherung genutzt werden.

Ein ausgestelltes Zertifikat gilt jeweils 3 Monate und wird regelmäßig automatisch erneuert. Die Sorge um die manuelle Zertifikatsaktualisierung entfällt komplett.
 

Hinweis: Die Let's Encrypt-Zertifikate stellen wir nach dem Best-Effort-Prinzip sicher. Wir bemühen uns maximal um deren Ausstellung und regelmäßige Aktualisierung, können dafür jedoch keine Garantie übernehmen. Für anspruchsvolle Webseiten, die auf ein valides Zertifikat angewiesen sind, empfehlen wir grundsätzlich die kommerziellen Zertifikate zu verwenden z.B. die sogenannten Zertfikate mit erweiterter Validierung(EV), die den höchsten Sicherheitsgrad bieten, in der Browserleiste den Namen des Domaininhabers anzeigen und somit die Vertrauenswürdigkeit der Webseiten erhöhen.


Ausstellungsbedingungen für ein Let's Encrypt - Zertifikat bei ACTIVE 24:

  • Das Zertifikat wird für die Hauptdomain und ihre Aliase generiert. Die nachgetragenen Aliase werden im Zertifikat innerhalb einiger Stunden automatisch ergänzt. 
  • Die Wildcard-Aliase wie z.B. *.active24.cz werden nicht angenommen, stattdessen wäre eine WWW-Variante (z.B www.active24.cz) möglich. Falls das Zertifikat für eine ungenannte Subdomain benötigt wird, geben Sie einen konkreten Aliasnamen an.
  • Ein richtig gesetzter DNS-Eintrag mit dem Verweis auf den Hosting-Server bei ACTIVE 24 muss vorhanden sein.
  • Let's Encrypt unterstützt keine sogenannten IDN-Domains (mit Sonderzeichen). Das Zertifikat kann für solche Domains nicht ausgestellt werden.
  • Standardmäßig werden alle Domains auf Einträge in den Malware-Datenbanken überprüft. Ist dort die gewählte Domain aufgelistet, kann das Zertifikat nicht ausgestellt werden.
  • Ein Zertifikat kann nicht mehr als 100 Aliase enthalten.
  • Bei der Hostingeinrichtung wird zuerst ein selbstsigniertes Zertifikat generiert, das anschließend durch ein Let's Encrypt-Zertifikat ersetzt wird. Dieser Prozess könnte bis zu einigen Stunden dauern. Für eine erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein.
  • Wenn Sie über das Kundencenter ein eigenes Zertifikat installieren wird es von uns nicht ersetzt. Die Aktualisierung eines eigenen Zertifikats liegt dann ganz bei Ihnen. Sollten Sie jedoch ein Let's Encrypt-Zertifikat wünschen, geben Sie uns Bescheid.


CSR (Zertifikatsregistrierungsanforderung)


Für die Ausstellung eines SSL/TLS-Zertifikats ist ein sogenannter CSR-Antrag (Certificate Signing Request oder Zertifikatsregistrierungsanforderung) erforderlich. Es handelt sich um einen digitalen Antrag, der neben Informationen über den Antragsteller, einen öffentlichen Schlüssel des Servers enthält. Eine CSR-Datei wird stets auf dem Server erstellt, auf dem auch die zu sichernde Domain gehostet wird.  

Eine CSR-Datei für das von Active 24 bereitgestellte Linux-Hosting können Sie direkt im Kundencenter generieren (eine Anleitung dazu finden Sie im Abschnitt die Installation eines Zertifikats) oder beauftragen Sie die Generierung einer CSR-Datei direkt über eine autorisierte Anfrage. Folgende Angaben werden dabei benötigt.

Eine CSR-Datei muss zumindest folgende Angaben enthalten:

Common Name: Der Domain-Name, für den das Zertifikat ausgestellt wird. Es wird zwischen den Namen mit und ohne WWW-Zeichen unterschieden. 
             (meistens werden Zertifikate für die Domains mit den WWW-Zeichen ausgestellt)

Organisation: Name des Unternehmens, für das das Zertifikat ausgestellt werden soll.

Locality: Stadt

Country: Länderkürzel, in Großbuchstaben (z.B. CZ)

State: Land

Eine genaue Anleitung zur CSR-Generierung auf einem eigenen Server, finden Sie auf den Webseiten der Zertifizierungsstelle Thawte:

Apache 

Microsoft IIS 7 


Die Überprüfung eines Zertifikats


Vor der Ausstellung eines Zertifikats erfolgt die Überprüfung des zukünftigen Zertifikatsinhabers. Ohne diese Überprüfung durch die Zertifizierungsinstanz, kann kein Sicherheitszertifikat ausgestellt werden.

Wie die Überprüfung abläuft, hängt vom Zertifikatstyp ab. Die Überprüfung kann auch nur über ein Bestätigungslink oder auch per Telefon erfolgen. 

Auf unseren Webseiten können Sie ein Zertifikat nach dem Überprüfungsverfahren auswählen. Im Allgemeinen gilt, dass je umfangreicher die Überprüfung eines Unternehmens ist, desto vertrauenswürdiger ist das Zertifikat.

Die Zahlungsportale können zum Beispiel ein Zertifikat erfordern, bei dem das antragstellende Unternehmen telefonisch überprüft wird.

 

Domain-Validierung - Domain-Überprüfung (DV)

Bei einer Domain-Validierung prüft die Zertifizierungsstelle lediglich, ob der Auftragsgeber der Domaininhaber ist. Dies geschieht durch die Bestätigung einer E-Mail, die an eine der vorgegebenen E-Mail-Adressen unter der Domain gesendet wird. Dazu dürfen nur folgende E-Mail-Adressen gewählt werden: amin@, administrator@, webmaster@, hostmaster@ oder postmaster@domain.xy.

 

Organisations-Validierung - Überprüfung des Inhaber-Unternehmens (OV)

Die Zertifizierungsstelle prüft die Identität des beantragenden Unternehmens anhand von öffentlich zugänglichen Kontaktinformationen und überprüft die Zertifikatsanfrage per Telefon. Das Gespräch verläuft ausschließlich in englischer Sprache. Das beantragende Unternehmen muss dabei ein Code angeben, der nachher nochmal per E-Mail bestätigt werden muss. Zusätzlich wird überpüft, ob das beantragende Unternehmen mit dem Inhaber-Unternehmen der Domain übereinstimmt.

 

Erweiterte Validierung – Umfangreiche Überprüfung (EV)

Der Betreiber der Webseite und das dahinter stehende Unternehmen werden einer besonders umfangreichen und strengen Überprüfung unterzogen. Deswegen kann die Zertifikatausstellung länger dauern. Die Informationen werden hierbei aus mehreren Quellen entnommen, dazu werden auch beglaubigte Geschäftsdokumente benötigt. 

Genaue Auflistung benötigter Dokumente werden dem beantragenden Unternehmen per E-Mail mitgeteilt. Gleichzeitig wird das Arbeitsverhältnis der im Zertifikat angegebenen administrativen Kontaktperson überprüft.    

 


 

Die Installation von Zertifikaten


Alle Linux-basierte Shared Server unterstützen die Auto-SSL-Funktion. Dank dieser können Sie auf Ihre Webseiten gleich nach der Hosting-Einrichtung über das verschlüsselte HTTPS- Protokoll zugreifen. Für den virtuellen Server wird zuerst ein selbstsigniertes Zertifikat generiert, anschließend versucht es das System in regelmäßigen Zeitabständen durch ein vertrauenswürdiges Zertifikat von Let's Encrypt zu ersetzen. Dieser Prozess könnte bis zu einigen Stunden dauern. Für die erfolgreiche Zertifikatsausstellung müssen alle erwähnten Bedingungen erfüllt sein (vor allem muss die Domain in der DNS auf das Hosting verweisen).

Ein selbstsigniertes Zertifikat von Let's Encrypt kann man jederzeit durch ein beliebiges eigenes Zertifikat ersetzen. In diesem Fall übernimmt der Servernutzer die Verantwortung über die regelmäßige und rechtzeitige Aktualisierung des Zertifikats.

Die Zertifikate werden nach einer sogenannten SNI-Methode installiert, wenn unter einer IP-Adresse mehrere Zertifikate installiert werden. Die Bestellung einer dedizierten IP-Adresse führen Sie über eine autorisierte Anfrage durch, gegebenenfalls im Kundencenter auf der Übersichtsseite mit den Serverinformationen, Abschnitt SSL/TLS-Zertifikat, Schaltfläche Anzeigen.

Die Übersichtsseite mit den Serverinformationen finden Sie in Ihrem Kundencenter unter Dienste / Hosting und Server/ Virtuelle Server. Wählen Sie die Domain, die mit dem Hosting verbunden ist. Beim Abschnitt SSL/TLS-Zertifikat werden die Grundinfos über das aktuell eingestellte Zertifikat angezeigt - Zertifizierungsstelle, Ablaufdatum und weitere Einstellungsmöglichkeiten.

Anzeigen

Die Details des aktuell installierten Zertifikats werden angezeigt. Falls es sich um ein selbstsigniertes Zertifikat handelt, ist als Aussteller die Domain selbst (für die das Zertifikat ausgestellt ist) angegeben. Bei anderen Zertifikaten erscheint hier die entsprechende Zertifizierungsstelle.

Ersetzen

Hier können Sie das aktuelle Zertifikat ersetzen - ein neues bestellen bzw. eine CSR-Datei erstellen.

  • Die Bestellung eines Zertifikats leitet Sie auf unser Zertifikatsangebot weiter. Die Installation des Zertifikats wird anschließend von uns übernommen. 
  • Die CSR-Erstellung für ein neues Zertifikat generiert eine SCR-Datei, die für die Ausstellung eines SSL/TLS-Zertifikats bei einem anderen Anbieter notwendig wäre.
  • Das Hochladen eines neuen Zertifikats erfolgt automatisch über ein Aktualisierungformular. Wenn Sie bereits über ein Zertifikat verfügen, können Sie es einfach in ein Formular eingeben und auf dem Server aktualisieren. Folgen Sie dabei den Installationsanweisungen.

Die HTTPS-Implementierung (Umleitung mittels .htaccess)


Die HTTPS-Implementierung bei einem LINUX-Hosting erfolgt (gleich wie HTTP) mittels des Reverse Proxy Nginx, der ein sogenanntes TLS offloading durchführt.

Die Datenübertragung zwischen dem Nginx und Apache läuft bereits unverschlüsselt ab. Daraus ergeben sich folgende Einschränkungen für Anwendungen, die nachprüfen, ob man darauf über eine verschlüsselte HTTPS-Verbindung zugreift.

- Erkennung in PHP mittels Variable $_SERVER['HTTPS'] !='on' ist aktiv
- Variable $_SERVER['SERVER_PORT'] mit dem Zahlenwert 80
- Die Erkennung in der Konfigurationsdatei .htaccess mittels Regeln "RewriteCond %{SERVER_PORT} !^443$" und "RewriteCond %{HTTPS} !on" funktioniert nicht! In solchen Fällen ist der Port stets 8x, je nach der PHP-Version, die Variable HTTPS ist "Off". Statt der Variable %{HTTPS} muss für die Erkennung die Variable %{HTTP:X-Forwarded-Proto} verwendet werden.

Für die Umleitung auf die HTTPS mit der Beibehaltung der Rückkompatibilität, empfehlen wir folgende Bedingungen anzuwenden:

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteCond %{HTTP:X-Forwarded-Proto} !=https

RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]