SSL-Zertifikate von Let’s Encrypt
Ein SSL-Zertifikat brauchst Du, um Deine Website verschlüsselt aufrufbar zu machen: Als Inhaberin oder Inhaber einer Domain kannst Du Dir ein SSL-Zertifikat für diese Domain ausstellen und auf dem Webserver installieren lassen. Wer die dazugehörige Website besucht, bekommt eine verschlüsselte Verbindung zwischen dem eigenen Browser (z.B. Firefox) und dem Webserver (bei uns). Der Unterschied ist daran erkennbar, dass vor der Adresse nicht „http://“, sondern „https://“ steht. Idealerweise sollte das kleine Schloss vor der Adresse grün sein.
Wir bieten neben Zertifikaten unseres Zertifizierungspartners thawte auch Zertifiakte von Let’s Encrypt an.
Let's Encrypt ist eine Initiative der gemeinnützigen Internet Security Research Group aus den USA. In ihr haben sich Mozilla, die Electronic Frontier Foundation und andere zusammengeschlossen, um die Verbreitung von Verschlüsselung im Internet zu fördern. Ihr Ansatz ist es, kostenlose Zertifikate auszustellen, die von den Browsern als „echte“ Zertifikate akzeptiert werden. Zusätzlich geht es der Initiative darum, das ganze Prozedere von Erstellung und Erneuerung endlich automatisierbar zu machen, um Admins die Handarbeit abzunehmen.
Let’s Encrypt ist für uns ein vollständig automatisierter Service. Wenn Du diese Konfiguration aus irgendeinem Grund nicht haben möchtest, kannst Du natürlich weiterhin herkömmliche SSL-Zertifikate über uns kaufen. Die individuelle Konfiguration ist dann in der einmaligen Einrichtungsgebühr enthalten, so wie es auch bisher war.
Wenn Du das Häkchen bei „Ich möchte ein SSL-Zertifikat von Let’s Encrypt für diese Domain erstellen“ setzt, wird für Deine Domain innerhalb der nächsten drei Stunden automatisch ein Zertifikat geholt und installiert. Dieses Zertifikat ist 90 Tage gültig und wird automatisch erneuert, bevor es abläuft. Es gilt für Deine Domain bzw. Subdomain, mit und ohne „www-Präfix“. Wenn Du mehrere Domains hast, kannst Du auf Wunsch für jede Deiner Domains ein separates Zertifikat erstellen lassen.
Wenn Du ein Let’s Encrypt-Zertifikat beantragt hast, erzwingen wir fortan, dass der komplette Datenverkehr zu Deiner Seite nur noch verschlüsselt möglich ist. Wer über http:// kommt, wird automatisch auf https:// umgeleitet. Wenn Du diesen Service bei uns nutzt, solltest Du Dir darüber im klaren sein., dass wir als Kontakt-Mailadresse die Hauptadresse Deines JPBerlin Accounts eintragen.
Um zu gewährleisten, dass dies reibungslos funktioniert, haben wir folgende kleine Änderungen an unserer Webserver-Konfiguration vorgenommen:
Im Hauptordner Deiner Domain(s) liegt nach der Einrichtung von Let's Encrypt ein versteckter Ordner namens „.well-known“. Solltest Du ihn entfernen, wird er bei jeder Zertifikatserneuerung neu erstellt.
Wenn Du einen Passwortschutz vor Deine Seite geschaltet hast, wird ein Pfad von dem Schutz ausgenommen, und zwar http://<deine-domain.org>/.well-known/acme-challenge/<usw>. Dies ist nötig, damit Let’s Encrypt prüfen kann, dass wir diese Domain auch wirklich (für Dich) verwalten.
Wenn Du über eine .htaccess-Datei eigene Umleitungen in der Webserver-Konfiguration für Deine Seite vorgenommen hast, dürfen sie nicht mit dieser Konfiguration kollidieren, sonst wird die Domainüberprüfung von Let’s Encrypt fehlschlagen. In der Regel wird das Ergänzen folgender Zeile vor der RewriteRule hilfreich sein:RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
Eine „direkte“ Weiterleitung mittels des Redirect-Befehl (z.B. Redirect 301 / https://meine.andere.seite/) muss durch Fallunterscheidungen abgefangen werden. Einfacher ist es wohl, die Weiterleitung mittels RewriteRule
durchzuführen.
Sollte es über einen solchen Redirect, falsche RewriteRules oder auf fremde IPs verweisende Domains zu fehlerhaften Zertifikatsaufrufen auf unseren Servern kommen, behalten wir uns vor, Let’s Encrypt auf der Domain – auch ohne Vorwarnung – zu deaktivieren.