Fragen zu SSL-Zertifikaten

Wie kann ich ein Gratis-Zertifikat von «Let’s Encrypt» installieren?

Für jede aktive Domain und Subdomain wird automatisch ein SSL-Zertifikat installiert. Es wird vor Ablauf automatisch verlängert. Ausserdem wird einmal täglich eine AutoSSL-Prüfung durchgeführt. Dadurch werden alle Domains, die dafür vorgemerkt sind und noch kein Zertifikat haben, mit einem ausgestattet.

In Ihrer Hostingverwaltung (cPanel) sehen Sie das Icon «SSL/TLS Status»:

Hier können Sie Domains zur Liste hinzufügen oder von der Liste entfernen und die Installation des SSL-Zertifikates manuell durchführen:

Wenn Sie «Run AutoSSL» klicken, können Sie für alle aktiven Domains und Subdomains ein Zertifikat einrichten.

Wenn Ihre Website extern läuft (z.B. bei einem Website-Baukasten-Anbieter), dann sorgt dieser Anbieter für das Zertifikat. Löschen Sie daher das Zertifikat bei ah,ja!.

Ich habe ein Zertifikat, meine Website erscheint aber nicht mit https

Die Installation des Zertifikates alleine reicht nicht!

Nur wer https… explizit eintippt, wird die Seite auch mit https ausgeliefert bekommen. Sie können https aber «erzwingen», indem Sie eine «Steuerdatei» in Ihr Hosting pflanzen, die alle Anfragen auf http nach https «umschreibt». Diese Datei nennt sich «htaccess».

Genau, das ist etwas für Spezialisten… aber wer es versuchen will: Diese drei Zeilen in der Datei .htaccess (muss im public_html liegen) werden Ihr Problem lösen:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]

eine alternative Schreibweise für die drei Zeilen ist:

RewriteEngine On
RewriteCond %{HTTPS} =off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]

Weitere Tipps finden Sie via Google & Co. – um Beispiel, indem Sie nach «https erzwingen» suchen. Im nächsten Abschnitt finden Sie zudem weitere Links dazu.

Ich bekomme Mails betreffend SSL, was bedeuten diese?

Das System erneuert alle drei Monate alle SSL-Zertifikate. Wenn ein SSL-Zertifikat nicht automatisch erneuert werden kann, erhalten Sie eine Nachricht per Mail.

Wenn sich ein Zertifikat auf einen nicht mehr bestehenden Ordner/Subdomain bezieht, oder Ihre Website über einen externen Anbieter läuft, werden Sie immer eine «Failure»-Meldung bekommen. Nehmen Sie das Zertfikat via cPanel über das Icon «SSL/TLS Status» von der Erneuerung mit «AutoSSL» aus, …

… indem Sie es anklicken und «Exclude 1 Domain from AutoSSL» wählen oder direkt (beim Pfeil rechts unten» den Link «Exclude from AutoSSL» wählen.

Zudem können Sie in den cPanel-Kontaktinformationen generell alle Benachrichtigungen zu AutoSSL ausblenden. Diese Seite finden Sie rechts oben:

Klicken Sie die entsprechenden Optionen weg und danach auf «Speichern»:

Wenn Sie nur über «Failures» (also nicht automatisch erneuerbare Zertifikate) informiert werden wollen, wählen Sie unten die erste Option.

Das Schlösschen ist nicht grün, sondern mit einer orangen Warnung versehen! Zudem erscheinen einige Bilder nicht…

Je nach Website-System (WordPress, Joomla, statische Seite, Typo3 usw.) kann der Aufwand, alles «webkonform» auf https umzustellen, beträchtlich sein.

Wenn z.B. Bilder mit einem absoluten http-Pfad eingebunden sind, warnt der Browser, dass dies unsicher sei. Es handelt sich dann um so genannten «Mixed Content«. Die zu treffenden Massnahmen sind sehr individuell. Hier zwei Tipps für häufig verwendete Systeme:

Zertifikate von letsencrypt sind nur 90 Tage gültig, was passiert dann?

Keine Sorge: Die Zertifikate werden automatisch erneuert.

Um die automatische Verlängerung reibungsloser zu gestalten, sollten fachkundige Personen der .htaccess-Datei folgende zwei Zeilen hinzufügen:

RewriteEngine On
RewriteRule ^.well-known – [L]

Das ist aber nicht zwingend.

Was ist der Unterschied zwischen einem kostenlosen und einem bezahlten Zertifikat?

Technisch gesehen gibt es keinen. Beide Zertifikattypen «können gleich viel». Es ist also nicht so, dass das Gratiszertifikat unsicherer wäre. Mehr zu Let’s Encrypt finden Sie auf Wikipedia.

Wie kann ich ein bezahltes Zertifikat installieren?

Bestellen Sie das SSL-Zertifikat, indem Sie uns ein Mail senden. Wir erledigen alles für Sie und installieren das Zertifikat. Die weiteren zu treffenden Arbeiten (siehe unten) sind je nach Website-System verschieden. Wir erstellen Ihnen bei Bedarf gerne eine individuelle Offerte. Der Gesamtpreis wird aber sehr selten über 150 Franken (einmalig) liegen.

Wieso sind gewisse Zertifikate teurer als andere?

Man kann zwischen drei Zertifikatstypen unterscheiden: DV, EV und OV. Je nach Preis ist der Aufwand, den Zertifikatsbeantrager «abzuchecken», grösser – er wird z.B. angerufen. Mehr dazu finden Sie z.B. auf dieser Seite.