Was ist SSL?

 

Was ist SSL?

Das SSL-Protokoll (Secure Sockets Layer) wird im Internet zur sicheren Übertragung von Daten zwischen zwei Rechnern eingesetzt. Dabei werden die Daten zwischen diesen beiden Punkten verschlüsselt, so dass diese nicht abgefangen werden können und nicht für Dritte lesbar sind. SSL wird meist bei Bestellvorgängen eingesetzt, bei denen sensible Daten (Bankverbindungen, Kreditkarten) ausgetauscht werden. Aber auch bei dem Versand von E-Mails kann SSL eingesetzt werden.

Wie kann ich die TSL-/SSL-Verschlüsselung (z.B. Let's Encrypt) aktivieren/deaktivieren?

 

Wie kann ich die TSL-/SSL-Verschlüsselung (z.B. Let's Encrypt) aktivieren/deaktivieren?

Die Verschlüsselung (SSL/TLS für https) kann sowohl bei Webhosting als auch Web-Umleitung aktiviert werden. In beiden fällen entsprechend der folgenden Schritte.

Loggen Sie sich auf www.kontent.com ein.
Klicken Sie auf "Meine Domains".
Wählen Sie die betreffende Domain aus.
Klicken Sie entweder den Menüpunkt "Webhosting" oder "Web-Umleitung" an.
Klicken Sie anließend auf "Subdomains".



Sie befinden sich in der Subdomain-Verwaltung:
Bei einer bereits angelegten Subdomain klicken Sie in der entsprechenden Zeile rechts auf das Zahnrad und gelangen dann in die Einstellungen-Ansicht.

Oder Sie legen im oberen Bereich eine neue Subdomain mit Typ Webhosting an und klicken auf "erstellen", woraufhin Sie in die Einstellungen-Ansicht gelangen.

In der Einstellungen-Ansicht ist weiter unten der Bereich "Verschlüsselung" aufgeführt. Dort können Sie die gewünschte Auswahl treffen.
Sie können die Option "erzwingen" aktivieren, so dass zukünftig bei Aufruf der entsprechenden Subdomain immer auf https umgeleitet wird. Damit wird gewährleistet, dass die Subdomain ausschließlich verschlüsselt erreichbar ist und nicht mehr nur mit http ohne s.



Abschließend klicken Sie auf den Button "Speichern".



Nach dem Speichern kann es 60 bis 90 Minuten dauern, bis an allen Stellen im Gesamtprozess die Konfiguration eingeschrieben wurde. Selbst dann, wenn die Statusanzeige "In Bearbeitung" nach ca. 5-10 Minuten nicht mehr angezeigt wird.
Bitte haben Sie dem entsprechend etwas Geduld, bis der Aufruf der entsprechenden Internetadresse mit https richtig aufgelöst wird.

Wie kann mein Script ermitteln, ob es über corperate-SSL angefragt wird?

 

Wie kann mein Script ermitteln, ob es über corperate-SSL angefragt wird?

Bitte fügen Sie folgenden Codezeilen in das betreffende Script ein:

if($_SERVER["HTTP_HOST"]=="sub.domain.tld:443" OR $_SERVER["HTTP_HOST"]=="domain.tld:443") $myisSSL = true;
$request_type = $myisSSL ? 'SSL' : 'NONSSL';

Wenn Sie die folgende Zeile auch noch mit angeben, bekommen Sie eine Bildschirmausgabe, die Ihnen bestatigt, ob SSL ermittelt werden konnte.

var_dump($request_type)

In den einzugebenden Zeilen ist als Host ganz allgemein sub.domain.tld eingetragen. Sie müssen diese Angabe mit dem korrekten Host- bzw. Domainnamen samt Sudomainangabe eintragen. Orientieren Sie sich an dem folgenden Beispiel:

/sub/ = Subdomain, unter der die Inhalte/Scripte installiert sind (z.b. www)
/domain/ = Domainname (z.b. the-example-domain.com)
/tld/ = Domainendung (z.b. de oder com)
==> www.the-example-domain.com

Wie kann OSCommerce/XT-Commerce ermitteln, ob es über Corperate-SSL angefragt wird?

 

Wie kann OSCommerce/XT-Commerce ermitteln, ob es über Corperate-SSL angefragt wird?

Ersetzen Sie die Zeile 51 in der Datei includes/application_top.php, die den folgenden Quellcode enthalt,

... $request_type = (getenv('HTTPS') == '1' || getenv('HTTPS') == 'on')
? 'SSL' : 'NONSSL'; ...

durch folgende 3 Zeilen:

$myisSSL = $_SERVER["HTTP_HOST"]=="sub.domain.tld:443"?true:false;

if($_SERVER["HTTP_HOST"]=="domain.tld:443")
$myisSSL = true;

$request_type = $myisSSL ? 'SSL' : 'NONSSL';

In den einzugebenden Zeilen ist als Host ganz allgemein sub.domain.tld eingetragen. Sie müssen diese Angabe mit dem korrekten Host- bzw. Domainnamen samt Sudomainangabe eintragen. Orientieren Sie sich an dem folgenden Beispiel:

/sub/ = Subdomain, unter der die Inhalte/Scripte installiert sind (z.b. www)
/domain/ = Domainname (z.b. the-example-domain.com)
/tld/ = Domainendung (z.b. de oder com)
==> www.the-example-domain.com

Kann ich meine Internetseite bei KONTENT SSL-Verschlüsseln?

 

Kann ich meine Internetseite bei KONTENT SSL-Verschlüsseln?

Ja, dass ist möglich. Sowohl bei Webhosting als auch bei Web-Umleitung Z.B. mit Let's Encrypt, jedoch auch mit eigenen Zertifikaten. Möglich ist in diesem Rahmen die Verschlüsselung mit TLS (quasi SSL 3.1+) .

Mit den Modulen Webhosting und Web-umleitung können Subdomains erstellt bzw. vorhandene bearbeitet und mit der verfügbaren und auszuwählenden Verschlüsselungs-Option gespeichert werden.

VORGEHENSWEISE:

- KONTENT-Login
- Domain-Auswahl (Meine Domains)
- Systemsteuerung Webhosting oder Web-Umleitung
- Subdomains
- Einstellungen einer Subdomain bzw. Neue Subdomain anlegen
- Bereich Verschlüsselung
- Verschlüsselungs-Option auswählen (Radio-Button anklicken) / ggf. Zusatz-Aktionen durchführen
- Button "Speichern" klicken

Sofern Sie Subdomains bereits angelegt hatten, bei denen corporate/customSSL aktiv ist oder bisher war, und Sie nun Let's Encrypt oder ein eigenes Zertifikat aktivieren, müssen Sie unter Umständen in config-Dateien der Web-Anwendung fest codierte/programmierte Einträge zu der Angabe customssl.com manuell entfernen. Andernfalls könnte es Konflikte/Fehlermeldungen beim Webseiten-Abruf geben.

Nach dem Speichern kann es 20 Minuten dauern, bis an allen Stellen im Gesamtprozess die Konfiguration eingeschrieben wurde. Selbst dann, wenn die Statusanzeige "In Bearbeitung" nach ca. 5-10 Minuten nicht mehr angezeigt wird.
Bitte haben Sie dem entsprechend etwas Geduld.

Wenn ich JOOMLA mit SSL erzwingen verwende, wird das Template nicht angewendet.

 

Wenn ich JOOMLA mit SSL erzwingen verwende, wird das Template nicht angewendet.

Sie müssen in der Datei configuration.php, die im JOOMLa-Wurzelverzeichnis angelegt ist, folgende Codezeile anpassen:

var $live_site = '';

ändern in

var $live_site = '/subdomain.the-example-domain.com';

ACHTUNG: Beachten Sie das Zeichen / (slash) vor der Angabe der Subdomain.

Anstelle von subdomain.the-example-domain.com geben Sie bitte ihren Domain- und Subdomainnamen an.

Können bei KONTENT fremde (externe) SSL/TLS-Zertifikate für Webseiten hinterlegt werden?

 

Können bei KONTENT fremde (externe) SSL/TLS-Zertifikate für Webseiten hinterlegt werden?

Ja, das ist möglich, wenn bei der betreffenden Domain das Modul/Produkt WEBHOSTING oder WEB-UMLEITUNG aktiv ist.

Grundsätzlich erfolgt bei KONTENT die Einbindung der Zertifikatsdaten /KEY + CERT usw.) über die Subdomain-Verwaltung:

- KONTENT-Login
- Domain-Auswahl (Meine Domains)
- Systemsteuerung Webhosting oder Web-Umleitung
- Subdomains
- Einstellungen einer Subdomain bzw. Neue Subdomain anlegen
- Bereich Verschlüsselung
- let's encrypt kostenloses TLS / SSL (Radio-Button anklicken)
- Button "Speichern" klicken

Weitere Hinweise bzgl. eigener SSL-TLS-Zertifikate finden Sie hier: Was ist beim Einrichten eines eigenen TLS-/SSL-Zertifikats für eine Webhosting-Subdomain zu beachten?

CSR Datei für ein eigenes SSL Zertifikat erstellen

 

CSR Datei für ein eigenes SSL Zertifikat erstellen

Für die Erstellung eines eigenen SSL-Zertifikats benötigt Ihr Zertifikat-Anbieter ein sog. CSR-File (CSR-Datei). Diese CSR-Datei enthält ausschließlich Informationen zu der Domain. Es werden keinerlei Informationen/Daten benötigt, die KONTENT betreffen.

Auf der folgenden Webseite können Sie die CSR-Files erstellen:

www.csr-generator.com


1. Schritt: Web-Formular ausfüllen

Hinweise zum Ausfüllen des Web-Formulars

Schlüssel-Größe: 2048 Bit (empfohlen) - KONTENT-Empfehlung

Schlüssel-Typ: RSA (empfohlen)- KONTENT-Empfehlung

Passwort (nicht empf.): (KEIN Passwort angeben!!!) - KONTENT-Empfehlung

Domainname: (Ihr Domainname mit Angabe der Subdomain, wie er bei KONTENT registriert ist. Z.B. shop.ihr-domainname-bei-kontent.com)

Organisationsname: (Hier MUSS entweder ein Firmenname eingetragen werden oder Vor- und Nachname. KEINESFALLS leer lassen!!!)

Land: (selbsterklärend)

Bundesland/Provinz: (bitte Ausschreiben: z.B. Nordrhein Westfalen oder Bayern etc.)

Ort: (Stadt ohne PLZ)

E-Mail: (die E-Mail-Adresse angegeben, unter der Sie Informationen u.A. vom Zertifikataussteller zugestellt bekommen können)

Sicherheitscode: /der Sicherheitscode ist nicht für die Erstellung der CSR-Datei relevant

Klicken Sie abschließend auf "weiter".


2. Schritt: CSR-Generator Ergebnis

Als Ergebnis erhalten Sie zwei 2 Felder, in denen der erzeugte Code aufgeführt ist.
Zum einen der Code für den Schlüssel (Key), zum anderen der Code für den CSR (CSR-Datei).

Sie müssen jeweils aus beiden Feldern den Code herauskopieren, in einen Text-Editor auf Ihrem Computer einfügen, und anschließend die jeweilige Datei abspeichern.

Der Code aus dem Feld "Schlüssel" muss als Datei mit der Endung .key (klein geschrieben) abgespeichert werden. Z.B. als Dateiname ihr-domainname.key.

Im Fall der CSR-Ausgabe lautet die Endung .csr (klein geschrieben). Z.B. ihr-domainname.csr.

Wenn Sie die Inhalte aus den Feldern herauskopieren, achten Sie darauf, dass vor ...
-----BEGIN PRIVATE KEY-----
und nach
-----END PRIVATE KEY-----
bzw. vor
-----BEGIN CERTIFICATE REQUEST-----
und nach
-----END CERTIFICATE REQUEST-----
... keine Leerzeichen stehen. Diese Zeilen, mit allen was das zwischen an kryptischen Code enthalten ist, müssen Sie unbedingt mit kopieren.

Mit diesen Dateien können Sie dann bei Ihrem Zertifikat-Anbieter ein eigenes SSL-Zertifikat erstellen lasssen.

https / Verschlüsselung SSL/TLS / Fehlermeldung 400 Bad Request / nginx / :443

 

https / Verschlüsselung SSL/TLS / Fehlermeldung 400 Bad Request / nginx / :443

Wenn bei einer Webhosting-Subomain die Verschlüsselung mit SSL/TLS aktiviert ist , kann es bei Aufruf von Internet-Adressen, bei denen nur Verzeichnisse in der URL angesteuert werden UND die ohne / am Ende enden, zu folgender Fehlermeldung kommen:

400 Bad Request
The plain HTTP request was sent to HTTPS port
nginx/

Z.B., wenn folgende Konstellation aufgerufen wird:

ht*ps://www.domainname.de/administrator (ohne / hinter administrator)

Die selbe URL mit / hinter administrator würde funktionieren:

ht*ps://www.domainname.de/administrator/

Die Ursache dafür hat etwas mit der Apache-Webserver- als auch Proxy-Server-Konfiguration bei KONTENT zu tun. Die Konfiguration kann jedoch NICHT einfach geändert werden…

Durch htaccess-Code kann jedoch eine Umschreibung vorgenommen werden, die den Aufruf ohne / in mit / umschreibt.
Die Codezeilen für die htaccess sind wie folgt:

RewriteEngine On
#trailingslash rewrite rule START
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_URI} !index.php
RewriteCond %{REQUEST_URI} !\.[^./]+$
RewriteCond %{REQUEST_URI} !(.*)/$
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1/ [R=301,L]
#trailingslash rewrite rule END

Bietet KONTENT die Let's Encrypt Verschlüsselung (SSL/TLS) an?

 

Bietet KONTENT die Let's Encrypt Verschlüsselung (SSL/TLS) an?

Ja, Sie können bei Domains, die mit dem Produkt (Modul) Webhosting oder Web-Umleitung ausgestattet sind, für einzelne Subdomains die Verschlüsselung mittels Let's Encrypt aktivieren.

Entweder beim Anlegen einer neuen Subdomain oder beim modifizieren einer bereits vorhandenen Webhosting-Subdomain:

- KONTENT-Login
- Domain-Auswahl (Meine Domains)
- Systemsteuerung Webhosting oder Web-Umleitung
- Subdomains
- Einstellungen einer Subdomain bzw. Neue Subdomain anlegen
- Bereich Verschlüsselung
- let's encrypt kostenloses TLS / SSL (Radio-Button anklicken)
- Button "Speichern" klicken

Nach dem Speichern kann es 20 Minuten dauern, bis an allen Stellen im Gesamtprozess die Konfiguration eingeschrieben wurde. Selbst dann, wenn die Statusanzeige "In Bearbeitung" nach ca. 5-10 Minuten nicht mehr angezeigt wird.
Bitte haben Sie dem entsprechend etwas Geduld.

Was ist der Unterschied zwischen einem kostenlosen Let's Encrypt Zertifikat und dem (eigenen) Zertifkat eines anderen Ausstellers?

 

Was ist der Unterschied zwischen einem kostenlosen Let's Encrypt Zertifikat und dem (eigenen) Zertifkat eines anderen Ausstellers?

Vorab ist zunächst einmal anzumerken, dass beide Typen dem wesentlichen Zweck der Verschlüsselung mittels TSL/SSL3.1 voll und ganz entsprechen.

Die Unterschiede liegen in Details.

Let's Encrypt ist in dem Sinne keine Firma, sondern ein Zusammenschluss von unterschiedlichen Akteuren im Internet, die es sich zur Aufgabe gemacht haben, die Verschlüsselung von Internetseiten breitflächig voranzutreiben. Dabei wird Wert darauf gelegt, die Ablaufprozesses für das Bereitstellen und Aktivieren eines Let's Encrypt Zertifikat wesentlich zu vereinfachen.
Im Umkehrschluss muss dafür in viel kürzeren Abständen (alle 90 Tage) die Erneuerung des Zertifikats verifiziert werden (was bei KONTENT jedoch automatisiert im Hintergrund passiert), was bei anderen anderen Ausstellern häufig nur jährlich oder zweijährlich usw. erfolgen muss.

Let's Encrypt lässt keine Wildcard Zertifkte zu. D.h. ein Zertifikat ist immer an einer konkreten Subdomainnamen gebunden, wie z.B. www.exampledomain.de oder shop.exampledomain.de etc.
Bei eigenen Zertifikaten kann u.U. durchaus ein Wildcard Zertifikat erworben werden, was pauschal für quasi alle möglichen Subdomains einer Domain gelten kann.

Let's Encrypt ist ausschließlich auf dem Level der Domain-Validierung verfügbar, nicht auf den Leveln von Organization-Validation- und Extended-Validation-Zertifikate. Bei den beiden letztgenannten Typen wird von den Ausstellern tiefergehend geprüft, wer das Zertifikat beantragt, was je nach Zertifikat-Aussteller zu einem quasi höheren Gütesiegel ( auch höhere Kosten) führen kann.

SSL / TLS Verschlüsselung (z.B. Let's Encrypt) aktiviert, aber Webseite wird nicht richtig angezeigt.

 

SSL / TLS Verschlüsselung (z.B. Let's Encrypt) aktiviert, aber Webseite wird nicht richtig angezeigt.

Wenn Sie bei KONTENT eine der möglichen Optionen für SSL / TLS Verschlüsselung (Let's Encrypt / eigenes SSL Zertifikat / corporate/custom SLL mit erzwingen-Funktion) aktiviert haben, wird unter Umständen die Webseite (Web-Anwendung) nicht richtig angezeigt, weil in der Programmierung der Webanwendung Pfad-Angaben nicht dem entsprechend passen. Das sollte bei zeitgemäßer Webseiten-Programmierung nicht passieren, ist jedoch nicht auszuschließen.
In diesen Fällen ist die Problemursache nicht in der Verschlüsselung an sich begründet.

Durch die Verschlüsselung wird die Internetadresse der Webseite mit httpS angesteuert.
U.U. ist die Web-Anwendung jedoch so programmiert, dass an einer oder verschiedenen Stellen der konkrete Internetadress-Pfad eingetragen ist. In der Form, wie bei folgender Beispiel-Internetadresse:

http://subdomain.exampledomain.de

Die Adresse ist ohne s bei http definiert.

Die Lösung besteht i.d.R. darin, dass in den entsprechenden Dateien/Konfigurationsbereichen der Webseite die Anpassung in der Art vorgenommen wird, dass dort dann die Internetadresse mit https eingetragen ist.

Zu Teil gibt es auch Web-Anwendungen, bei denen für den Fall der verschlüsselten Verbindung ein zusätzlicher Bereich vorhanden ist, in dem bisher keine Angaben eingetragen war, weil das bisher nicht notwendig war. Dort müssten dann ggf. entsprechende Anpassungen vorgenommen werden.

Bitte wenden Sie sich in diesen Fällen an die Programmierer der Webseite bzw. Ihre Administratoren. Oder an die Entwickler oder Hersteller der Web-Anwendung.

Die Verschlüsselung (SSL/TLS) ist aktiviert, aber bei HTTPS-Aufruf warnt der Browser trotzdem vor unverschlüsselten Inhalten.

 

Die Verschlüsselung (SSL/TLS) ist aktiviert, aber bei HTTPS-Aufruf warnt der Browser trotzdem vor unverschlüsselten Inhalten.

Das passiert in der Regel dann, wenn die Webseite, die bei KONTENT auf dem Webserver abgelegt ist und verschlüsselt per HTTPS angesteuert wird, Inhalte von anderen Webseiten/Servern einbindet, die NICHT per HTTPS auf dem jeweils zugehörigen Server erreichbar sind. Egal, ob Let's Encrypt, ein eigenes SSL Zertifikat verwendet, oder corporate/custom SLL wird

Somit besteht eine Vermischung aus einerseits bei KONTENT verschlüsselten, anderseits auf dem anderen Server unverschlüsselten Inhalten.
Damit sind die gesamten Inhalte nicht vollständig und eindeutig verschlüsselt, was die Web-Browser dann mit der entsprechenden Anzeige bemängeln.

Beispiel:
Bei KONTENT ist die Subdomain xyz.exampledomain.de angelegt und mit Let's Encrypt verschlüsselt. Darin ist die Web-Anwendung Worpdress installiert.
In dem Wordpress ist beispielsweise ein Modul/Plugin/Addon installiert ist, das von einer externen Internetseite Bilder lädt und auf der Wordpress-Webseite unter xyz.exampledomain.de die Bilder einbindet und anzeigt.
Wenn diese externe Internetseite nicht verschlüsselt ist und somit die Internetadressen zu den Bildern ebenso wenig verschlüsselt sind, also die Bilder in dem Sinne ebenfalls nicht verschlüsselt ausgeliefert werden, besteht die oben genannte Vermischung.

Die Lösung kann nur darin bestehen, alle Inhalte (in dem Beispiel die Bilder) verschlüsselt einzubinden. Auch die der externen Server. Oder die Einbindung unverschlüsselter Inhalte auszuschließen.

Es handelt sich nicht um eine fehlerhafte Verschlüsselung an sich.

Was ist beim Einrichten eines eigenen TLS-/SSL-Zertifikats für eine Webhosting-Subdomain zu beachten?

 

Was ist beim Einrichten eines eigenen TLS-/SSL-Zertifikats für eine Webhosting-Subdomain zu beachten?

Wenn Sie ein eigenes TLS-/SSL-Zertifikat erworben haben, das für die Domain an sich gilt (also ohne Subdomain/www davor) als auch mit www davor, dann müssen Sie bei KONTENT nur die Subdomain www mit Typ Webhosting anlegen und dazu die Zertifikat-Daten eintragen. Die Subdomain www mit Webhosting deckt beides ab.

Ist Ihr Zertifikat beispielsweise für 3 Subdomains zugelassen, wie z.B. a) nur die Domain, b) www.Domain und c) shop.Domain, dann müssen Sie jedoch nur 2 Subdomains anlegen: 1.) Subdomain www und 2.) Subdomain shop.
Bei beiden Subdomains www und shop fügen Sie jeweils die identischen Angaben für PRIVATE KEY (key), ZERTIFIKAT (cert) und ggf. CA ZERTIFIKAT (ca cert) ein.

Multidomain-Zertifikat (Wildcard-Zertifikat)

Ein Multidomain-Zertifikat ist in der Regel für die Domain an sich, ohne irgendeine Subdomain davor, definiert, sowie eine beliebige Anzahl von möglichen Subdomains, die bei dem Zertifikat-Aussteller i. d. R. nicht explizit angegeben sind.
Bei KONTENT können Sie im Zusammenhang mit Webhosting NICHT den Wildcard-Eintrag (* bzw. Subdomain *) definieren.
Sie müssen jede Subdomain, die im Endeffekt mit dem Multidomain-Zertifikat abgedeckt werden soll, explizit anlegen und die Angaben PRIVATE KEY (key), ZERTIFIKAT (cert) und ggf. CA ZERTIFIKAT (ca cert) mit den Daten ausfüllen, die für das Multidomain-Zertifikat ausgegeben wurden.
Auch hier gilt wieder, www deckt die Domain ohne Subdomain davor ab, als auch mit www davor.