SSL-Zertifikate von Let’s Encrypt

Du findest in den Domain-Einstellungen unserer Verwaltung ein Feld mit der Beschriftung „Ich möchte ein SSL-Zertifikat von Let’s Encrypt für diese Domain erstellen“.

Ein SSL-Zertifikat brauchst Du, um Deine Website verschlüsselt aufrufbar zu machen: Als Inhaberin oder Inhaber einer Domain kannst Du Dir ein SSL-Zertifikat für diese Domain ausstellen und auf dem Webserver installieren lassen. Wer die dazugehörige Website besucht, bekommt eine verschlüsselte Verbindung zwischen dem eigenen Browser (z.B. Firefox) und dem Webserver (bei uns). Der Unterschied ist daran erkennbar, dass vor der Adresse nicht „http://“, sondern „https://“ steht. Idealerweise sollte das kleine Schloss vor der Adresse grün sein.

Es gibt verschiedene Arten von SSL-Zertifikaten. Bisher haben wir bei JPBerlin von uns selbst signierte Zertifikate angeboten und solche, die wir immer als „echte“ Zertifikate bezeichnet haben. „Echt“ heißt dabei, dass die Zertifikate von einer Zertifizierungsstelle ausgestellt werden, die in allen gängigen Browsern vorinstalliert ist. Wenn dies der Fall ist, gibt es für die Besucherinnen und Besucher der https-Website keine Warnmeldungen. Die von uns selbst signierten Zertifikate bieten dieselbe Verschlüsselung, aber die Browser zeigen den Besucherinnen und Besuchern Warnungen, weil eben so ein Firefox „JPBerlin“ nicht als offizielle Zertifizierungsstelle kennt.

Abgesehen davon, dass die herkömmlichen Zertifizierungsstellen sich für diesen Service bezahlen lassen, sind die Installation und alljährliche Erneuerung der Zertifikate für uns als Betreiber der Webserver bisher immer mit Handarbeit verbunden. Daher haben wir uns nun für Let’s Encrypt entschieden. Dies ist eine Initiative der gemeinnützigen Internet Security Research Group aus den USA. In ihr haben sich Mozilla, die Electronic Frontier Foundation und andere zusammengeschlossen, um die Verbreitung von Verschlüsselung im Internet zu fördern. Ihr Ansatz ist es, kostenlose Zertifikate auszustellen, die von den Browsern als „echte“ Zertifikate akzeptiert werden. Zusätzlich geht es der Initiative darum, das ganze Prozedere von Erstellung und Erneuerung endlich automatisierbar zu machen, um Admins die Handarbeit abzunehmen.

Wenn Du das Häkchen bei „Ich möchte ein SSL-Zertifikat von Let’s Encrypt für diese Domain erstellen“ setzt, geschieht Folgendes: Für Deine Domain wird innerhalb der nächsten drei Stunden automatisch ein Zertifikat geholt und installiert. Dieses Zertifikat ist 90 Tage gültig und wird automatisch erneuert, bevor es abläuft. Es gilt für Deine Domain bzw. Subdomain, mit und ohne „www“ vorne. Wenn Du mehrere Domains hast, kannst Du auf Wunsch für jede ein separates Zertifikat erstellen lassen.

In der Vergangenheit gab es Let’s Encrypt-Zertifikate nur für Domains ohne IDN-Umschreibung. Domains mit Umlauten wurden daher von diesen Zertifikaten ausgenommen. Inzwischen gibt es diese Einschränkung nicht mehr. Allerdings lässt es sich derzeit leider noch nicht über unsere Verwaltung ändern.
Daher wende Dich bitte bei Umlaut-Domains so lange noch an den Support, damit wir das für die jeweilige Domain anpassen.

Um zu gewährleisten, dass dies reibungslos funktioniert, haben wir folgende kleine Änderungen an unserer Webserver-Konfiguration vorgenommen:

Achtung: Wenn Du ein Let’s Encrypt-Zertifikat beantragt hast, erzwingen wir fortan, dass der komplette Datenverkehr zu Deiner Seite nur noch verschlüsselt möglich ist. Wer über http:// kommt, wird automatisch auf https:// umgeleitet.

Im Hauptordner Deiner Domain(s) liegt jetzt ein versteckter Ordner namens „.well-known“. Solltest Du ihn entfernen, wird er bei jeder Zertifikatserneuerung neu erstellt.

Wenn Du einen Passwortschutz vor Deine Seite geschaltet hast, wird ein Pfad von dem Schutz ausgenommen, und zwar http://<deine-domain.org>/.well-known/acme-challenge/<usw>. Dies ist nötig, damit Let’s Encrypt prüfen kann, dass wir diese Domain auch wirklich (für Dich) verwalten.

Wenn Du über eine .htaccess-Datei eigene Umleitungen in der Webserver-Konfiguration für Deine Seite vorgenommen hast, dürfen sie nicht mit dieser Konfiguration kollidieren, sonst wird die Domainüberprüfung von Let’s Encrypt fehlschlagen.
In der Regel wird das Ergänzen folgender Zeile vor der RewriteRule hilfreich sein:
RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/

Eine „direkte“ Weiterleitung mittels Redirect-Befehl (z.B. Redirect 301 / https://meine.andere.seite/) muss durch Fallunterscheidungen abgefangen werden. Einfacher ist es wohl, die Weiterleitung mittels RewriteRule durchzuführen (siehe voriger Absatz).

Sollte es über so einen Redirect, falsche RewriteRules oder auf fremde IPs verweisende Domains zu fehlerhaften Zertifikatsaufrufen auf unseren Servern kommen, behalten wir uns vor, Let’s Encrypt auf der Domain – auch ohne Vorwarnung – zu deaktivieren.

Schlussendlich tragen wir als Kontakt-Mailadresse Deine Hauptadresse Deines JPBerlin-Accounts ein. Wenn Du nicht möchtest, dass wir sie herausgeben, dann solltest Du diesen Service nicht nutzen.

Let’s Encrypt ist für uns ein vollständig automatisierter Service. Wenn Du diese Konfiguration aus irgendeinem Grund nicht haben möchtest, kannst Du natürlich weiterhin herkömmliche SSL-Zertifikate über uns kaufen. Die individuelle Konfiguration ist dann in der einmaligen Einrichtungsgebühr enthalten, so wie es auch bisher war.

  • 22. Juni 2016

  • o.graeber

  • Keinen Kommentar


Kommentar abgeben

Sie müssen eingeloggt sein um zu kommentieren.