Sichern von Verbindungen mit der Erweiterung SSL It! Erweiterung¶
Video-Tutorial ansehen
Über die Erweiterung SSL It! können Sie Ihre Websites mit SSL/TLS-Zertifikaten von den vertrauenswürdigen Zertifizierungsstellen Let’s Encrypt und DigiCert (Symantec, GeoTrust und RapidSSL) oder mit einem anderen SSL/TLS-Zertifikat Ihrer Wahl schützen. Mit der Erweiterung können Sie außerdem Folgendes:
- Sicherheit für Websitebesucher erhöhen, da von HTTP auf HTTPS umgeleitet wird
- Für mehr Sicherheit sorgen, da Webbrowser nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen können
- Datenschutz erhöhen und die Leistung der Website dank OCSP-Anheftung verbessern
Erste Schritte mit SSL It!¶
Wenn Sie das SSL/TLS-Zertifikat einer Domain verwalten möchten, gehen Sie zu Websites & Domains > Ihre Domain. Unter „SSL/TLS-Zertifikate“ finden Sie den aktuellen Sicherheitsstatus der Domain:
Sichern von Websites mit SSL/TLS-Zertifikaten¶
Über die Erweiterung SSL It! können Sie Websites mithilfe von kostenlosen oder kostenpflichtigen SSL/TLS-Zertifikaten (derzeit sind nur Zertifikate von DigiCert verfügbar) bzw. mithilfe von SSL/TLS-Zertifikaten schützen, die Sie bereits besitzen.
So schützen Sie eine Website mit einem kostenlosen SSL/TLS-Zertifikat von Let’s Encrypt:
Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
Klicken Sie unter „Mehr Optionen“ auf Installieren:
Geben Sie die E-Mail-Adresse an, die für dringende Benachrichtigungen und zur Wiederherstellung von verloren gegangenen Schlüsseln genutzt werden soll.
Wählen Sie aus, was Sie neben der Hauptdomain noch sichern möchten:
- Hauptdomainname schützen. Damit wird nur die Hauptdomain geschützt. Wenn Sie nur Webmail schützen möchten, können Sie das Kontrollkästchen deaktivieren.
- Wildcard-Domain schützen (inklusive www und Webmail). Die www-Subdomain und/oder die Domain-Aliasse sowie Webmail werden geschützt.
- www-Subdomain für die Domain und alle ausgewählten Aliasse schützen. Damit schützen Sie die www-Subdomain und/oder alle Domain-Aliasse.
- Webmail auf dieser Domain schützen. Hiermit wird Webmail geschützt.
- Zertifikat der E-Mail-Domain zuweisen und E-Mail mit dem IMAP-, POP- oder SMTP-Protokoll sichern. Wenn Sie eine www-Subdomain und/oder Domain-Aliasse haben, aktivieren Sie das Kontrollkästchen www-Subdomain für die Domain und alle ausgewählten Aliasse schützen.
Klicken Sie auf Kostenlos nutzen.
Ein SSL/TLS-Zertifikat von Let’s Encrypt wird ausgestellt und automatisch installiert.
Bemerkung
Wenn Sie eine Domain mit einem SSL/TLS-Zertifikat von Let’s Encrypt schützen und dann neue Domains, Subdomains, Domain-Aliasse oder Webmail zum Abonnement hinzufügen, stellen Sie das SSL/TLS-Zertifikat von Let’s Encrypt erneut aus, damit die neuen Elemente automatisch in den Schutz aufgenommen werden. Gehen Sie dazu zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und aktivieren Sie die Option „Websites schützen“.
So rufen Sie ein kostenpflichtiges SSL/TLS-Zertifikat ab:
Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
Klicken Sie auf Zertifikate abrufen, um eine Liste der verfügbaren Zertifikate zu erhalten:
Wählen Sie das SSL/TLS-Zertifikat aus, das Sie kaufen möchten, und klicken Sie im Formular des Zertifikats auf die Schaltfläche Kaufen. Beachten Sie dabei Folgendes:
To find an appropriate certificate, you can do the following: - Filter the available certificates. You can apply the "Recommended", "Wildcard", and "For organization use" filter sets. - Read more about a certificate (its validity period, validation type, and so on) by clicking the **Learn more** button in the certificate’s form.
Geben Sie im Pop-up-Fenster des Plesk Online-Shops Ihre Adresse und Zahlungsinformationen ein und kaufen Sie das Zertifikat.
Schließen Sie das Pop-up-Fenster.
Warten Sie, bis Plesk den Zahlungsstatus aktualisiert, oder aktualisieren Sie ihn manuell, indem Sie auf Neu laden klicken. Plesk aktualisiert den Zahlungsstatus automatisch einmal pro Stunde.
Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.
Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.
Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.
Bemerkung
Für bestimmte Typen von SSL/TLS-Zertifikaten (z. B. EV) sind zusätzliche Aktionen erforderlich. Sie erhalten möglicherweise einen Anruf oder eine E-Mail und müssen eventuell Dokumente einreichen, damit die Zertifizierungsstelle Ihre Anwendung validieren kann.
Nachdem das SSL/TLS-Zertifikat installiert wurde, sehen Sie unter Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate Informationen zum installierten SSL/TLS-Zertifikat (Name, Zertifizierungsstelle, E-Mail-Adresse usw.), zu den gesicherten Komponenten sowie andere Optionen wie „Von HTTP auf HTTPS umleiten“ oder „HSTS“.
Hochladen von SSL/TLS-Zertifikaten¶
Laden Sie Ihr SSL/TLS-Zertifikat in den folgenden Fällen hoch:
- Sie haben bereits ein Zertifikat, das Sie zum Schutz Ihrer Domain einsetzen möchten.
- Sie möchten ein Zertifikat installieren, das Sie nicht über SSL It! abrufen können.
So laden Sie ein SSL/TLS-Zertifikat hoch:
Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und klicken Sie auf „Hochladen“.
Suchen Sie nach der
.pem
-Datei des SSL/TLS-Zertifikats, das Sie hochladen möchten, und klicken Sie auf Öffnen.
Das SSL/TLS-Zertifikat wird automatisch auf der Domain installiert.
Erneuern von SSL/TLS-Zertifikaten¶
Um sicherzustellen, dass Ihre Website ohne Unterbrechungen geschützt ist, müssen Sie die installierten SSL/TLS-Zertifikate rechtzeitig erneuern. Dabei unterstützt Sie die Erweiterung SSL It!.
SSL It! erneuert kostenlose SSL/TLS-Zertifikate von Let’s Encrypt und DigiCert automatisch 30 Tage vor Ablauf.
Kostenpflichtige SSL/TLS-Zertifikate können über SSL It! nicht automatisch verlängert werden. Sie haben jedoch die folgenden Optionen:
- Stellen Sie die Zertifikate manuell erneut aus.
- Ersetzen Sie abgelaufene SSL/TLS-Zertifikate automatisch mit kostenlosen Zertifikaten von Let’s Encrypt.
So stellen Sie kostenpflichtige SSL/TLS-Zertifikate erneut aus:
Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.
Klicken Sie auf „Zertifikat erneut ausstellen“. Sie werden dann automatisch zum Online-Shop von Plesk weiterleitet.
Geben Sie Ihre Adresse und Zahlungsinformationen ein und schließen Sie den Kauf ab.
Klicken Sie im Browser auf die Schaltfläche „Zurück“, um zu Plesk zurückzukehren.
Die Bearbeitung der Bezahlung kann eine Weile dauern. Um den Zahlungsstatus zu aktualisieren, klicken Sie auf „Neu laden“. Der Status wird automatisch einmal pro Stunde aktualisiert.
Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.
Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.
Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.
So ersetzen Sie abgelaufene kostenpflichtige SSL/TLS-Zertifikate automatisch durch kostenlose Zertifikate von Let’s Encrypt:
- Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.
- Aktivieren Sie „Websites schützen“.
Wenn Ihr kostenpflichtiges SSL/TLS-Zertifikat nun abläuft, stellt SSL It! automatisch ein kostenloses SSL/TLS-Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Das neue Zertifikat wird in der Regel innerhalb einer Stunde ausgestellt, nachdem das bisherige Zertifikat abgelaufen ist.
Aufheben der Zuweisung von SSL/TLS-Zertifikaten¶
- Gehen Sie zu Websites & Domains > Ihre Domain, deren SSL/TLS-Zertifikate Sie nicht mehr verwenden möchten > SSL/TLS-Zertifikate.
- Klicken Sie auf Zertifikatzuweisung aufheben und dann auf OK.
Erweiterte Sicherheit Ihrer Websites¶
Eine Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu schützen, reicht jedoch nicht, um für den Rundumschutz Ihrer Website zu sorgen. SSL ist eine komplexe Technologie, die verschiedene Funktionen wie Verschlüsselungsalgorithmen für Schlüssel, OCSP-Anheftung und HSTS umfasst. Damit können Sie für die Sicherheit der Besucher Ihrer Website sorgen und die Leistung der Website verbessern.
Wenn Sie die folgenden Funktionen aktivieren, können Sie das Ranking Ihrer Website in den Ergebnissen von Suchmaschinen verbessern:
- Von HTTP auf HTTPS umleiten: Eine permanente und SEO-freundliche 301-Umleitung wird von der nicht sicheren HTTP-Verbindung auf die sichere HTTPS-Version der Website oder von Webmail eingerichtet.
- HSTS: Webbrowser können nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen.
- OSCP: Der Webserver und nicht der Webbrowser des Besuchers ruft den Status des Website-Zertifikats von der Zertifizierungsstelle ab. Das Zertifikat kann dabei gültig, gesperrt oder unbekannt sein.
Vorsicht
Bevor Sie diese Funktionen aktivieren, vergewissern Sie sich, dass Ihre Website ohne Probleme über HTTPS erreicht werden kann. Andernfalls können Besucher möglicherweise nicht auf Ihre Website zugreifen.
So erhöhen Sie die Sicherheit Ihrer Websites:
Schützen Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle.
Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
Aktivieren Sie die Option „Von HTTP auf HTTPS umleiten“, falls nicht bereits geschehen. Die Auswahl gilt dann sowohl für die Website als auch für Webmail.
Bemerkung
Wenn Webmail nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht einsetzen, heben Sie die Auswahl von „Webmail auf dieser Domain schützen“ auf.
-
Bemerkung
Falls das SSL/TLS-Zertifikat vor dem Zeitraum „Max. Alter“ abläuft, Sie jedoch HSTS verwenden möchten, sollten Sie die Option „Websites schützen“ aktivieren. Wenn das SSL/TLS-Zertifikat dann abläuft, stellt SSL It! automatisch ein kostenloses Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Die Website bleibt geschützt und HSTS funktioniert weiterhin.
Aktivieren Sie „OCSP-Anheftung“.
Nachdem Sie die Sicherheit Ihrer Website über SSL erhöht haben, können Sie eine Bewertung vornehmen.
Aktivieren von HSTS
- Aktivieren Sie HSTS.
- Vergewissern Sie sich, dass das SSL/TLS-Zertifikat, mit dem Ihre Website geschützt ist, während des Zeitraums „Max. Alter“ gültig ist. Überprüfen Sie dies auch für Subdomains und die Webmail-Subdomain.
Warnung
Falls das SSL/TLS-Zertifikat vor dem Zeitraum Max. Alter abläuft und HSTS aktiviert ist, können Besucher nicht auf Ihre Website zugreifen.
- Wenn Ihre Subdomains nicht über ein gültiges SSL/TLS-Zertifikat geschützt sind oder Sie keine Subdomains einsetzen, heben Sie die Auswahl von „Subdomain einschließen“ auf.
- Wenn Ihre Webmail-Subdomain nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht einsetzen, heben Sie die Auswahl von „Webmail auf dieser Domain schützen“ auf.
- Klicken Sie auf HSTS aktivieren.
Bekannte Probleme und Einschränkungen¶
- OCSP-Anheftung funktioniert nur für Websites, die über nginx mit Apache oder nur nginx bereitgestellt werden. Wenn Ihre Websites nur über Apache laufen, müssen Sie „OCSP-Anheftung“ nicht aktivieren.
- Die OCSP-Anheftung funktioniert möglicherweise nicht für SSL/TLS-Zertifikate von bestimmten Anbietern (z. B. kostenlose Zertifikate von DigiCert), wenn nicht die komplette Vertrauenskette vorhanden ist. Um herauszufinden, ob Ihr Zertifikat die OCSP-Anheftung unterstützt, führen Sie den SSL Labs-Test in Ihrer SSL-Konfiguration aus.
Bewerten der SSL-Sicherheit Ihrer Website¶
In den gängigen Suchmaschinen wie Google werden Websites mit hohem SSL-Schutz weiter oben in den Ergebnissen angezeigt. Über die Erweiterung SSL It! haben Sie Zugriff auf eines der beliebtesten Testtools: Qualys SSL Labs. Damit können Sie Folgendes erreichen:
- SSL-Schutz der Website einstufen
- Mögliche Optimierungen erkennen
- Bestnote A+ erreichen (nach Erhöhung des SSL-Schutzes, falls notwendig)
So bewerten Sie die SSL-Sicherheit Ihrer Website:
- Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
- Klicken Sie auf SSL Labs-Test ausführen.
Die Website von Qualys SSL Labs wird in einem neuen Tab geöffnet und der Test beginnt automatisch. Nachdem der Test abgeschlossen wurde, erhalten Sie die Bewertung. Dies kann einige Minuten dauern.
Wenn Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle geschützt und alle Sicherheitsmaßnahme in SSL It! aktiviert haben, erhalten Sie in der Regel die Bestnote A+.