Dieser Artikel beschreibt den Sinn und Zweck von SSL-Zertifikaten und welche Schritte grundsätzlich notwendig sind, um ein SSL-Zertifikat nutzen zu können.
Im Internet werden Daten häufig über das http oder andere unverschlüsselte Protokolle übertragen. Um zum einen eine sichere Verschlüsselung zu gewährleisten ("niemand soll meine Bankdaten abfangen können") und andererseits die Echtheit von Angeboten zu gewährleisten ("ich will sicher sein, dass der, an den ich meine Daten übermittele auch meine Bank ist") bedient man sich häufig sog. SSL-Zertifikate.
Der Ablauf eines solchen Vorganges ist wie folgt:
- Der Kunde erstellt einen geheimen Schlüssel (private key), den er nachher nur auf dem Server ablegt und geheim hält.
- Es wird ein passender öffentlicher Schlüssel (public key) erzeugt.
- Der "public key" wird um die Informationen erweitert, für wen dieses Zertifikat gelten soll, also wessen Identität sichergestellt wird. Diesen Datensatz nennt man Certificate Signing Request ("CSR").
- Da bisher jeder diese Schritte hätte durchführen können, sendet man nun den CSR an eine "vertrauenswürdige Stelle" (eine sog. Certification Authority (CA)).
- Man beweist dann (je nach Zertifikatstyp durch Prüfung einer E-Mail-Adresse, die Zusendung von Unterlagen oder andere Prüfmechanismen), dass man man derjenige ist, den man im CSR angegeben hat (Ausweis, Handelsregisterauszug oder dergl., siehe auch "Welche Arten von SSL-Zertifikaten gibt es?"
- Die CA überprüft die Echtheit der Dokumente und versieht den CSR mit einer digitalen Signatur (des Stammzertifikates der CA), die die Echtheit bestätigt. Dies ist dann das eigentliche Zertifikat (CRT).
- Das Zertifikat wird vom Kunden in den WebServer oder andere zu schützende Dienste eingebunden.
Anhand der in den gängigen Browsern vorinstallierten Stammzertifikate der CAs können nun Besucher direkt erkennen, dass der Serverbetreiber von der CA überprüft wurde. Somit wird eine sichere Verbindung möglich.
Wichtige Hinweise :
- Der verwendete Signaturalgorithmus aller über uns angebotenen SSL-Zertifikate ist SHA-256. SHA-1 wird als unsicher angesehen und wird aus diesem Grunde nicht mehr von uns angeboten.
- Der Name des Hosts/Servers wird bei SSL-Verbindungen geprüft. Wenn also ein Zertifikat für "www.hosteurope.de" ausgestellt ist, können Sie dies NICHT für die Domain "kis.hosteurope.de" oder "www.hosteurope.com" nutzen. Unsere Zertifikate sind allerdings dann für die Hauptdomain ("hosteurope.de") gültig (Stichwort "Certificate Subject Alt Name"), wenn der aufrufende Browser dieses Feature von SSLv3 unterstützt (bei allen aktuellen Browser ist dies der Fall).
- Wenn ein Zertifikat für mehrere Namen oder Domains genutzt werden soll, muss es entsprechend bestellt werden. Eine nachträgliche änderung ist nicht möglich.
- Wenn Sie ein Zertifikat bestellen, dass mit "www." anfängt, können Sie es auch ohne "www." nutzen. Umgekehrt ist dies nicht der Fall! Achten Sie daher bitte auf die Bestellung mit "www.".
- Die Zertifikate werden auf einzelne oder mehrere Hostnamen ausgestellt. Auch sog. Wildcard-Zertifikate (*.nureinbeispiel.de) sind möglich.
- Somit bildet auch ein SSL-Zertifikat, das auf eine IP-Adresse ausgestellt ist, die absolute Ausnahme, da dann der Webserver über ip.add.res.se aufgerufen würde. Wir bieten solche Zertifikate nicht an.
- Die Adresse eines einmal ausgestellten Zertifikates kann nachträglich nicht geändert werden. Ändert sich die Adresse, muss also ein neues Zertifikat (zu den regulären Kosten) beantragt werden.
- Sollten Sie mehr als ein Zertifikat pro Server nutzen wollen ist es notwendig das Ihr Server SNI (Server Name Indication) beherrscht, dies ist bei allen aktuellen Linux-Systemen der Fall. Bei älteren Virtual-Server-Produkten steht SNI nicht zur Verfügung, d.h. bei Virtual Servern 3.0 und älter ist die Nutzung von nur einem SSL-Zertifikat möglich!
- Davon unabhängig besteht die Möglichkeit, Zertifikate zu nutzen, die für mehrere Namen gültig sind und so nur eine Adresse verbrauchen.
- Bitte planen Sie ein, dass die Ausstellung bei kunden-geprüften Zertfikaten einige Tage in Anspruch nehmen kann, da der Aussteller die Daten prüfe muss. Mehr dazu erfahren Sie in folgendem FAQ-Artikel: Welche Arten von SSL-Zertifikaten gibt es?
Der technische Ablauf unterscheidet sich ja nach Betriebssystem und Webserver. Für die gängigen Produkte haben wir Anleitungen vorbereitet; die Übersicht finden Sie hier:
- Wie erstelle ich Key und CSR für Linux/Un*x?
- Wie erstelle ich Key und CSR für Windows?
- Wie erstelle ich Key und CSR für Plesk?
Für die Produkte WebPack Pro, Virtual Server Managed, Dedicated Server Managed, WebServer und WebServer Dedicated empfehlen wir die Erstellung des Keys und CSRs durch uns; da der Key nach der Einrichtung ohnehin an Host Europe übermittelt wird, entsteht durch die eigene Erstellung hier kein merklicher Sicherheitsgewinn. Nun können Sie mit der Bestellung im Kundeninformationssystem (KIS) fortfahren. Dazu erfahren Sie mehr in folgendem FAQ-Artikel: