HTTPS / SSL-Zertifikate
HTTPS-Protocol
Standardmässig liefern wir alle HTTPS-Sites via modernem Protokoll HTTP/2 aus, für maximale Performance. Selbstverständlich ist diese Option auch abwärtskompatibel mit HTTP/1.1, sollte ein Browser/Client HTTP/2 noch nicht unterstützen.
Wünschst du, HTTP/2 auf dieser Subdomain komplett zu deaktivieren und die Site nur unter HTTP/1.1 auszuliefern, kannst du diese hier "downgraden". Wir raten jedoch davon ab und es sprechen keine Gründe dafür, dies zu tun.
HTTPS erzwingen
Möchtest du deine Besucher immer auf die verschlüsselte Website umleiten?
http:// → https://
Sobald das SSL-Zertifikat korrekt ausgestellt wurde, kannst du HTTPS erzwingen (empfohlen!). Ein Besucher deiner Website wird also automatisch von HTTP auf HTTPS umgeleitet, sollte er versuchen, unverschlüsselt auf deine Website zuzugreifen.
TIP
Zusätzlich zu «HTTPS erzwingen» solltest du auch den HSTS max-age header setzen. Beachte dazu unten stehende Anleitung.
Aliases in SAN (subjectAltName)
INFO
Diese Option ist auf der Haupt-Subdomain (www) standardmässig aktiviert, nicht jedoch bei zusätzlichen Subdomains, da darauf üblicherweise nicht via Subdomain-Aliases zugegriffen wird.
Sofern du auch sämtliche Domain-Aliases in das SSL-Zertifikat aufnehmen möchtest, kannst du diese Option hier aktivieren. Wir raten jedoch davon ab, diese Option zu aktivieren, da dies in Zukunft bei der automatischen Erneuerung eines SSL-Zertifikats Probleme machen kann, sollte zu diesem Zeitpunkt eine der Domain-Aliases nicht mehr auf unseren Webserver zeigen.
Mit dieser Option werden auch sämtliche Alias-Domains in die SAN (subjectAltName) des SSL-Zertifikats eingetragen, z.B.:
- sub.example.com (Subdomain der Haupt-Domain)
- sub.example.net (Subdomain von Domain-Alias example.net)
- sub.example.com (Subdomain von Domain-Alias example.com)
Wenn du diese zusätzlichen Subdomains nach aussen nicht publizierst, sollten diese auch nicht ins Zertifikat aufgenommen werden.
Alternativer Hostname in SAN (subjectAltName)
INFO
Diese Option ist auf der Haupt-Subdomain (www) nicht verfügbar, da bei der Haupt-Subdomain die alternativen Hostnames standardmässig immer in die SAN aufgenommen werden.
Mit dieser Option aktivierst du unseren alternativen Hostname (auch «Temporäre URL» genannt) in SAN (subjectAltName) des SSL-Zertifikats:
- web999.onlime.ch (Haupt Subdomain «www»)
- sub.web999.onlime.ch (Subdomain «sub» als Beispiel)
Wenn du diese URL nach aussen nicht publizierst, brauchst du diese auch nicht ins Zertifikat aufzunehmen. Der alternative Hostname wird grundsätzlich nur für ein Testing benötigt, sofern deine Domain noch nicht auf unseren Webserver zeigt resp. noch nicht registriert wurde.
HSTS (Strict Transport Security)
Was ist HSTS?
HTTP Strict Transport Security (also named HSTS) is an opt-in security enhancement that is specified by a web application through the use of a special response header. Once a supported browser receives this header that browser will prevent any communications from being sent over HTTP to the specified domain and will instead send all communications over HTTPS.
- Wikipedia: HTTP Strict Transport Security
- OWASP: HTTP Strict Transport Security (HSTS)
- MDN: Strict-Transport-Security
- RFC6797: HTTP Strict Transport Security (HSTS)
HSTS max-age
Durch die HTTP-Header-Erweiterung Strict Transport Security (HSTS) kann der Server den Browser anweisen, dass der Verbindungsaufbau ausschliesslich über HTTPS erfolgen soll. Dadurch erreichst du die zusätzliche Sicherheit, dass der Browser deine Website bereits von Beginn weg via https:// aufruft und nicht von der oben stehenden Einstellung «HTTPS erzwingen» abhängig ist. Jeder Browser, mit dem deine Website bereits zuvor besucht wurde, merkt sich diese Einstellung für max-age Anzahl Sekunden.
Auf Server-Seite wird folgender Header gesetzt, sofern du auch «HTTPS erzwingen» aktiviert hast:
Strict-Transport-Security: max-age=15768000Unter Apache entspricht dies folgendem Eintrag im jeweiligen SSL-VirtualHost:
Header always set Strict-Transport-Security "max-age=15768000"Du kannst HSTS komplett ausschalten, indem du als Wert 0 Sekunden eingibst. Um im SSL Server Test von QUALYS das Rating deiner Website positiv zu beeinflussen, solltest du HSTS max-age auf einen Wert über 180 Tage (6 Monate) schalten, unsere Empfehlung: 15768000
WICHTIG!
Aktuviere HSTS max-age nur, wenn du weisst was du tust! Sobald du HSTS aktiviert hast gibt es kein zurück mehr (resp. nur nach Ablauf der zuvor definierten max-age) und deine Website ist nur noch via HTTPS erreichbar! Sehr zu empfehlen, nicht jedoch, solange dein SSL-Zertifikat noch nicht korrekt ausgestellt ist.
HSTS includeSubDomains
Sofern du HSTS max-age aktiviert hast kannst du HSTS zusätzlich auch auf alle Subdomains ausweiten, indem du includeSubDomain aktivierst.
Machst du diese Einstellung auf deiner Haupt-Subdomain (www), wird HSTS includeSubDomain auf deiner Haupt-Domain gesetzt und wird somit gültig für alle Subdomains. Aktivierst du includeSubDomains jedoch nur auf einer Subdomain, wird HSTS lediglich für weitere Sub-Subdomains gesetzt, also beispielsweise auf *.sub.example.com.
Bei Aktivierung von includeSubDomains wird folgender Header gesetzt:
Strict-Transport-Security: max-age=15768000; includeSubDomainsHSTS preload
Zur Aktivierung des HSTS preload flags müssen folgende Anforderungen erfüllt sein:
- Die HSTS
max-agemuss min.31536000Sekunden (1 Jahr) betragen. - HSTS
includeSubDomainsmuss aktiviert sein.
Bei Aktivierung von preload wird folgender Header gesetzt:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadMit preload definierst du sozusagen eine Policy für deine Domain, die es erlaubt in die HSTS Preload-Liste der Browser aufgenommen zu werden. Die meisten bekannten Browser (Chrome, Firefox, Opera, Safari, Edge) basieren auf der Preload-Liste von Chrome. Für weitere Details, beachte bitte RFC6797 resp. hstspreload.org.
SSL-Zertifikat
Ein SSL-Zertifikat wird für jede Subdomain (einschliesslich aller Domain-Alias oder Domain-Pointings, die auf diese Subdomain verweisen) oder für jeden Domain-Redirect ausgestellt. Es handelt sich um ein Let's Encrypt Zertifikat, das von uns automatisch alle 90 Tage erneuert wird.
Zertifikatsstatus
Ein SSL-Zertifikat kann sich in einem der folgenden Zustände befinden:
| SSL-Zertifikatsstatus | Beschreibung |
|---|---|
| request | Das Zertifikat wurde kürzlich angefordert, entweder durch Hinzufügen oder Umbenennen einer Subdomain oder durch Hinzufügen einer zusätzlichen Domain. Die subjectAltnames (SAN) des Zertifikats sind noch nicht erfasst und werden erst angezeigt, wenn das Zertifikat ausgestellt ist. |
| pending | Das Zertifikat wird gerade ausgestellt. Let's Encrypt führt HTTP-01 Challenge Checks durch und sobald alle angeforderten subjectAltnames (SAN) des Zertifikats verifiziert worden sind, wird das Zertifikat ausgestellt. |
| issued | Das Zertifikat wurde erfolgreich ausgestellt. Es ist noch nicht im VirtualHost deines Webservers installiert. Gedulde dich also, bis es auf Status INSTALLED wechselt. |
| installed | Das Zertifikat wurde erfolgreich ausgestellt und in der VirtualHost-Konfiguration deines Webservers installiert. Es ist jetzt live! |
| reissue | Es wurde ein REISSUE eines bestehenden Zertifikats angefordert, entweder durch Hinzufügen von Domains zu den subjectAltnames (SAN) des Zertifikats (z.B. durch Erstellen einer zusätzlichen Domain als Domain-Alias/Pointing), oder durch Domains, die jetzt korrekt auf deinen Webserver aufgelöst werden, was vorher nicht der Fall war (siehe DNS-Checks). |
| failed | Die Ausstellung des Zertifikats ist aus irgendeinem Grund fehlgeschlagen. Dies ist ein Sonderfall, der nur dann auftritt, wenn unsere DNS-Checks für alle angegebenen subjectAltnames (SAN) erfolgreich waren, Let's Encrypt das Zertifikat aber nicht ausstellen kann. In diesem Fall wird unser Support-Team benachrichtigt und wir versuchen, so schnell wie möglich zu handeln. Keine Sorge, sollte dies ein Fehler bei einer Neuausstellung sein, bleibt dein bisheriges funktionierendes Zertifikat auf dem Webserver installiert. |
subjectAltnames (SAN)
subjectAltnames steht für Subject Alternative Names (SAN) und repräsentiert alle Domains, die im SSL-Zertifikat enthalten sind. Für jede Subdomain wird ein eigenes SSL-Zertifikat ausgestellt, das sowohl die www als auch die nicht-www-Version deiner Domain sowie jede Addon-Domain, die auf diese Subdomain verweist, einschliesst. Jeder Domain-Alias oder Domain-Pointing, der auf diese Subdomain verweist, ist ebenfalls enthalten.
Die einzige Ausnahme sind Domain-Redirects, die ihr eigenes Zertifikat verwenden. Domain-Redirects zeigen auf keine Subdomain, sondern können auf eine beliebige URL als Ziel verweisen. Diese Zertifikate findest du direkt unter Addon-Domains.
Jeder subjectAltname (SAN) kann einen der folgenden Zustände haben:
| Installed | DNS | Description |
|---|---|---|
| Alles gut! Alle DNS-Checks für diese SAN waren erfolgreich und die Domain ist im Zertifikat installiert. | ||
Alle DNS-Checks waren erfolgreich, aber diese SAN konnte nicht im Zertifikat installiert werden. Dies ist in der Regel nur ein vorübergehender Zustand, während sich das Zertifikat im REQUEST resp. REISSUE-Status befindet, und wird in Kürze behoben. | ||
| Eine oder mehrere DNS-Checks für diese SAN sind fehlgeschlagen, daher konnte die Domain nicht im Zertifikat installiert werden. Du kannst auf das DNS-Symbol klicken, um weitere Informationen über fehlgeschlagene DNS-Checks zu erhalten und die Checks erneut durchzuführen. Solange mindestens eine SAN im Zertifikat installiert ist, wird dieses weiterhin einwandfrei funktionieren. Dies bedeutet lediglich, dass diese bestimmte Domain nicht hinzugefügt werden konnte und du versuchen solltest, die DNS-Probleme zu beheben, sofern du die Domain ebenfalls ins Zertifikat aufnehmen möchtest. | ||
| Dies ist ein sehr seltener Fall, wenn eine SAN zuvor korrekt aufgelöst wurde (alle DNS-Checks bestanden), diese im Zertifikat installiert wurde, aber nun die DNS-Checks nicht mehr besteht. Keine Sorge, eine zusätzliche Domain in deinem Zertifikat schadet nicht und wird bei unserer nächsten Konsistenzprüfung vor Erneuerung des Zertifikats jeweils bereinigt / aus dem Zertifikat entfernt. |
Bevor eine SAN im Zertifikat installiert werden kann, müssen folgende 3 DNS-Checks erfolgreich sein:
| DNS check | Description | |
|---|---|---|
| A-Record Konfiguration | Überprüft, ob der A-Record der Domain korrekt auf die IP-Adresse unseres Webservers zeigt. | |
| Let's Encrypt CAA-Autorisierung | Prüft, ob die CAA-Records, falls vorhanden, Let's Encrypt (letsencrypt.org) als autorisierte CA (Certificate Authority) enthalten. | |
| Abwesenheit IPv6-Record | Bestätigt, dass keine AAAA-Einträge (IPv6) für die Domain gesetzt sind. Das Vorhandensein von IPv6-Einträgen könnte den Authentifizierungsprozess von Let's Encrypt stören, der in erster Linie IPv4 für die Domainvalidierung verwendet. |
WICHTIG
Alle 3 DNS-Checks müssen für jede Domain, die zu deinem SSL-Zertifikat hinzugefügt wird, bestanden werden. Wir verwenden Let's Encrypt HTTP-01 challenge, um deine Domains vor der Ausstellung des Zertifikats zu überprüfen.
Du kannst die Ergebnisse für jede dieser DNS-Checks sehen, indem du auf das Symbol «DNS» neben einem subjectAltname (SAN) klickst. Wir zeigen dir genau an, welcher Check fehlgeschlagen ist, und du kannst die Checks erneut durchführen, nachdem du das Problem im DNS behoben hast.