Fragen zu SSL-Zertifikaten

Wie kann ich ein Gratis-Zertifikat von „Let’s Encrypt“ installieren?

Das ist ganz einfach und steht hier.

Wie kann ich ein bezahltes Zertifikat installieren?

Bestellen Sie das SSL-Zertifikat, indem Sie uns ein Mail senden. Wir erledigen alles für Sie und installieren das Zertifikat. Die weiteren zu treffenden Arbeiten (siehe unten) sind je nach Website-System verschieden. Wir erstellen Ihnen bei Bedarf gerne eine individuelle Offerte. Der Gesamtpreis wird aber sehr selten über 150 Franken (einmalig) liegen.

Ich habe ein Zertifikat, meine Website erscheint aber nicht mit https

Die Installation des Zertifikates alleine reicht nicht!

Nur wer https… explizit eintippt, wird die Seite auch mit https ausgeliefert bekommen. Sie können https aber „erzwingen“, indem Sie eine „Steuerdatei“ in Ihr Hosting pflanzen, die alle Anfragen auf http nach https „umschreibt“. Diese Datei nennt sich „htaccess“.

Genau, das ist etwas für Spezialisten… aber wer es versuchen will: Diese drei Zeilen in der Datei .htaccess (muss im public_html liegen) werden Ihr Problem lösen:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]

eine alternative Schreibweise für die drei Zeilen ist:

RewriteEngine On
RewriteCond %{HTTPS} =off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]

Weitere Tipps finden Sie via Google & Co. – um Beispiel, indem Sie nach „https erzwingen“ suchen. Im nächsten Abschnitt finden Sie zudem weitere Links dazu.

Das Schlösschen ist nicht grün, sondern mit einer orangen Warnung versehen! Zudem erscheinen einige Bilder nicht…

Je nach Website-System (WordPress, Joomla, statische Seite, Typo3 usw.) kann der Aufwand, alles „webkonform“ auf https umzustellen, beträchtlich sein.

Wenn z.B. Bilder mit einem absoluten http-Pfad eingebunden sind, warnt der Browser, dass dies unsicher sei. Es handelt sich dann um so genannten „Mixed Content„. Die zu treffenden Massnahmen sind sehr individuell. Hier zwei Tipps für häufig verwendete Systeme:

Was soll der ständige Hinweis auf Windows XP, das Probleme macht?

Windows XP ist ein veraltetes Betriebssystem, das nicht mehr benutzt werden sollte. Dennoch verwenden immer noch viele Leute (je nach Website bis zu 3% der Besucher) Windows XP. Das ist schlecht, aber wir können das nicht ändern. Bei modernen SSL-Zertifikaten (SNI) sehen Leute, die den Internet Explorer auf Windows XP verwenden, nur eine leere Seite. Wenn Sie auf diese kleine Anzahl Besucher zwingend angewiesen sind, lösen Sie ein Premium-Zertifikat mit eigener IP-Adresse (ab total ca. 320 Franken jährlich).

Allerdings gilt auch: Je weniger sich XP-User im Netz gut bewegen können, desto besser, dann werden sie ihr Uralt-System schneller stillegen, was generell zur Sicherheit im Internet beiträgt.

Zertifikate von letsencrypt sind nur 90 Tage gültig, was passiert dann?

Keine Sorge: Die Zertifikate werden automatisch erneuert.

Um die automatische Verlängerung reibungsloser zu gestalten, sollten fachkundige Personen der .htaccess-Datei folgende zwei Zeilen hinzufügen:

RewriteEngine On
RewriteRule ^.well-known – [L]

Das ist aber nicht zwingend.

Ich bekomme regelmässig Mails von Let’s Encrypt, was bedeuten diese?

Sie werden bei Verwendung eines Zertifikates von Let’s Encrypt alle drei Monate ein Mail mit dem Totel „[Let’s Encrypt SSL] SUCCESS of renewal of ihredomain.ch“ bekommen. Das heisst, dass das Zertifikat erfolgreich verlängert wurde. Sie können das Mail löschen.

Nur wenn im Titel steht „FAILURE“, müssen Sie das Zertifikat in Ihrer ServerControl manuell verlängern (d.h. löschen und neu setzen).

Wieso kann es zu einer „Failure“ kommen, oder weshalb kann man manchmal keine Zertifikate installieren? Mögliche Gründe liegen in der Verschränkung mehrerer Domains auf einem Hosting. Insbesondere wenn via Addon Domains mehrere separate Websites gehostet werden, muss genau nach diesem Manual (PDF) vorgegangen werden, ansonsten sind keine SSL-Zertifikate möglich bzw. es kommt zu „seltsamen Problemen“.

Was ist der Unterschied zwischen einem kostenlosen und einem bezahlten Zertifikat?

Technisch gesehen gibt es keinen. Beide Zertifikattypen „können gleich viel“. Es ist also nicht so, dass das Gratiszertifikat unsicherer wäre. Mehr zu Let’s Encrypt finden Sie auf Wikipedia.

Wieso sind gewisse Zertifikate teurer als andere?

Man kann zwischen drei Zertifikatstypen unterscheiden: DV, EV und OV. Je nach Preis ist der Aufwand, den Zertifikatsbeantrager „abzuchecken“, grösser – er wird z.B. angerufen. Mehr dazu finden Sie z.B. auf dieser Seite.

Wieso war das bisher so teuer und nun plötzlich gratis?

Die Mischung aus „technischem Fortschritt“ und „Engagement einer Gruppe“ hat das ermöglicht. Man kann das durchaus als Internet-Meilenstein bezeichnen: https wird zum Allgemeingut!

Ich habe noch ein teures Zertifikat. Gibt es Geld zurück?

Leider nicht. Wir mussten bei der Bestellung dem Aussteller des Zertifikates auch den vollen Preis bezahlen und wünschten uns, wir hätten eine Kristallkugel gehabt, um in die Zukunft zu schauen…

Kommt das wirklich gut mit Let’s Encyrpt? Es gibt ja kaum Erfahrungswerte.

Leider haben wir die letzte Lektion des Kurses „Hellsehen für Anfänger“ geschwänzt, daher können wir dazu nichts sagen. Aber wir haben – wie viele andere – ein gutes Gefühl bei der Sache!