Mehnes Hauspostille

Zwei Punkte können das Browsen im Web unsicher machen:

1. Das http-Protokoll kann mit relativ einfachen Mitteln abgehört werden, weil es unverschlüsselt Informationen überträgt. Das ist fatal bei der Übertragung von Passwörtern, anderer persönlicher Information oder Finanztransaktionen. Darum wird eine Verschlüsselung auf dem Übertragungsweg mit https generell empfohlen.
2. Die Identität des Anbieters ist möglicherweise gefälscht. Jeder kann ja eine Domain registrieren lassen, die vorspiegelt, ein bekanntes Unternehmen zu sein. Manche Anbieter mit betrügerischem Interesse legen hier falsche Fährten. Es ist darum wünschenswert, die Identität des Anbieters überprüfen zu können.

Hier die Antwort:

SSL Zertifikate

Da Verschlüsselung unbedingt empfehlenswert ist, werden hierfür SSL Zertifikate unterhalten. Diese sind einerseits asymetrische Schlüssel, die die Übertragung vor unbefugtem Mitschneiden schützt. Andererseits sollen jene die Echtheit der Übertragung sicherstellen, damit keine falscher Inhalt untergeschoben wird. SSL steht hier für Secure Sockets Layer und bezeichnet damit die Netzübertragungsmethode. Ein Zertifikat wird bei einer Certification Authority (CA) - also einer Organisation / Server - verwaltet.

Ob ein Zertifikat die Übertragung absichert, wird durch die Anzeige im Browser erkennbar. Meist erscheint dann ein grünes Schloss-Symbol vor der URL. Oft kann man auch ohne Verschlüsselung kommunizieren, selbst wenn ein Zertifikat installiert wurde. Dann ist die Methode http anstelle von https im Einsatz. Man kann dann als User versuchen, manuell https:// vor die URL zu setzen. Wurde ein Zertifikat installiert, geht es nun verschlüsselt weiter. Als Anbieter von Webseiten kann man über die Datei .htaccess steuern, dass automatisch das https-Protokoll verwendet wird. Siehe unten.

Im Zertifikat steckt aber nicht nur der Verweis auf die CA, sondern auch die Adresse und Identität des Herausgebers und der Domain. Wenn die Identität überprüft werden soll, ist ggf. erheblicher Aufwand erforderlich. Darum gibt es unterschiedliche Qualitäten von SSL-Zertifikaten, die je ein Prüfungs-Level angeben. Je umfassender die Identität von der CA geprüft wurde, desto teurer ist das Zertifikat. Die teuersten Varianten liefern direkte geprüfte Angaben im Browser vor der URL. Die Preise gelten jeweils für 1, 2 oder 3 Jahre.

Zertifikate gelten weder Server-weit, noch über alle Subdomains. Jede Domain, bzw. Subdomain benötigt ein eigenes Zertifikat. Ausnahme: Wildcard-Zertifikate. Diese werden von einigen Anbietern als Varianten angeboten, und gelten dann auch für Subdomains. Sie sind aber erheblich teurer und nur in Ausnahmefällen zu empfehlen.

Zertifikate mit einem gewünschten Prüfungslevel sind zumeist über den Hosting-Partner erhältlich oder direkt bei Zertifikat-Anbietern.

Manche Hosting-Anbieter inkludieren auch ein SSL-Zertifikat in ihrem Hosting-Vertrag. Will man aber mehrere Domians oder Sub-Domains nutzen, fällt die Wahl schwer, für welche Domain denn dieses einmalige Angebot denn gelten solle.

Soll lediglich Verschlüsselung unterstützt werden - also die Nutzung von https - , und ist die teure Identitätsprüfung nicht erforderlich, gibt es auch kostenlose Zertifikate:

• Eigenzertifikate sind meist wenig vorzüglich, denn diese können gar nicht vom Browser überprüft werden. Es gibt dann meist unschöne Rückfragen, dass die Zertifikatprüfung nicht bestanden wurde.
• CA Cert ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.
• Let’s Encrypt ist eine freie, automatisierte und offene Certificate Authority. Der Einsatz dieser im Kontext von Plesk oder anderen Verwaltungssystemen ist besonders komfortabel.

Am Beispiel Plesk, einem häufig verwendeten Management-Tool:

• Plesk hat ein Modul von Let's encrypt, dass bei der Verwaltung von Websites und Domains erscheint. Klickt man jenes an kann man mit einem weiteren Button-Klick ein Zertifikat erstellen lassen und direkt auf dem eigenen Server installieren. Einfacher geht es wirklich nicht - und dazu auch noch kostenlos!
• Erscheint dieser Symbol / Button nicht in ihrer Plesk-Oberfläche, dann ist das Modul wahrscheinlich nicht installiert. Das lässt sich aber dadurch lösen, dass man als Administrator den Punkt Erweiterungen anwählt, das Modul heraussucht und per Klick installiert. Auch kostenlos.
• Können Sie selbst zwar Plesk nutzen, aber haben keine Berechtigungen Erweiterungen zu installieren, sprechen sie den Zuständigen Administrator an, dass dieser das Modul installiert.

Wenn Sie nun ein Zertifikat installiert haben und wollen, dass man nicht versehentlich unverschlüsselt mit der Website kommuniziert, ist folgende Angabe im root-Verzeichnis ihrer Web-Präsens - z.B. Website unter httpdocs/.htaccess - empfehlenswert.

 RewriteEngine On  
 RewriteCond %{HTTPS} !^on$ [NC]  
 RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L] HTTPS_HOST ??? 

Siehe http://web-development-blog.de/https-verbindung-erzwingen/

zurück zu Web Präsenz und eigener Server - Erfahrungen