SSL und HTTPS

Dank der SSL-Verschlüsselung können Du und Deine Besucher Deine Webseiten abgesichert und verschlüsselt über HTTPS aufrufen. Für die SSL-Verschlüsselung wird ein SSL-Zertifikat benötigt, welches wir kostenlos und automatisch per Let's Encrypt ausstellen.

Es ist auch möglich, kostenpflichtige SSL-Zertifikate zu kaufen, dies wird jedoch in diesem Artikel nicht behandelt.

Ausstellen von Zertifikaten

Das System stellt automatisch SSL-Zertifikate für neu registrierte Domains und neu erstellte Subdomains aus. Webseiten werden somit automatisch mit SSL-Zertifikaten ausgestattet, sobald sie erstellt werden. Bei transferierten oder neu registrierten Domains kann dies einige Zeit in Anspruch nehmen, da Let's Encrypt zuerst per DNS die IP-Adressen unserer Server erhalten muss, bevor die Autorisierung unserer Server für das Ausstellen von Zertifikaten erfolgen kann. Das System versucht aber regelmäßig, die Zertifikate auszustellen.

Ein manuelles Ausstellen von Zertifikaten über Let's Encrypt ist weder nötig noch möglich.

On Demand-Ausstellung von Zertifikaten

In dem (sehr) seltenen Fall, dass eine Webseite kein SSL-Zertifikat hat, und trotzdem aufgerufen wird, wird einmalig eine Fehlermeldung mit einem ungültigen Zertifikat angezeigt (ausgestellt auf anyhost.lima-city.de). Das System erstellt sofort einen Auftrag, ein SSL-Zertifikat für die Webseite auszustellen. In der Regel wird das in wenigen Sekunden erledigt, so dass die Seite innerhalb kürzester Zeit per SSL erreichbar ist. Sofern es sich um einen Transfer oder eine Neuregistrierung einer Domain handelt kann es hier dazu kommen, dass der Besucher (per Browser) bereits die neuen IP-Adressen per DNS erhält und Let's Encrypt aufgrund von DNS-Caching noch keine oder alte IP-Adressen erhält. In dem Fall wird das System es bei Let's Encrypt so lange probieren, bis das Zertifikat ausgestellt wurde.

Verlängerung von SSL-Zertifikaten

SSL-Zertifikate von Let's Encrypt haben eine Laufzeit von 90 Tagen. Die Zertifikate werden automatisch und rechtzeitig verlängert, so dass dauerhaft ein gültiges Zertifikat vorhanden ist, sofern einmal ein Zertifikat bestanden hat. Sollte wider erwarten doch kein Zertifikat ausgestellt werden können (z.B. aufgrund eines temporären Fehlers) wird das System es täglich erneut versuchen. Im Notfall greift aber die "On Demand"-Ausstellung von Zertifikaten, so dass die Webseite immer per SSL erreichbar ist.

Ein manuelles Verlängern von Zertifikaten über Let's Encrypt ist weder nötig noch möglich.

Bündelung von Zertifikaten

In den meisten von uns verwendeten SSL-Zertifikaten sind viele Webseiten, auch unterschiedlicher Kunden, zusammengefasst. Das ist gewollt und von Let's Encrypt im "Hosting Provider Implementation Guide" empfohlen:

Wir bündeln gemäß dieses Guides viele SANs in ein Zertifikat um die Anzahl der Zertifikate zu reduzieren. Da wir über 400.000 Hostnamen mit Let's Encrypt schützen macht es auch einen deutlichen Unterschied für die Server von Let's Encrypt ob wir alle 90 Tage 400.000 oder 4.000 Zertifikate ausstellen (das ist ein Unterschied von ~ 180 Zertifikaten pro Stunde, die wir weniger ausstellen).

An der Stelle muss zwischen den Subject Alternative Names und dem Common Name für das Zertifikat unterschieden werden. Die Domains für das Zertifikat stehen in den SANs, und nur ein einzelner der SANs wird als Common Name verwendet. In Windows sind alle SANs eines Zertifikats unter "DNS-Namen" im Zertifikats-Details zu sehen.

Technisch gibt es keinen Unterschied, und die Bündelung ist auch gar nichts ungewöhnliches. Ein Beispiel dafür ist Cloudflare, die ebenfalls Zertifikate zusammenfassen und Millionen von Webseiten hosten. Das darf also - auch im Hinblick auf Let's Encrypt's Implementierungsrichtlinien, als ganz normal angesehen werden.