HTTPS / SSL-Verschlüsselungen

Unseren Webhosting-Angeboten bplaced pro, bplaced max und Angebote der Lösungspalette) stehen mehrere Möglichkeiten zur Verwendung, um den Webspace oder die Domains mittels einem SSL-Zertifikat zu verschlüsseln. Sämtliche bplaced-Subdomains und die aufgeschalteten sowie bei uns registrierten Domains erfolgt automatische Verschlüsselung mit ‚Let’s Encrypt‘. Zusätzlich kann man bereits erworbene Zertifikate hinzufügen. Siehe folgenden Titel „Eigenes Zertifikat verwenden“ oder weitere SSL-Zertifikate, bspw. ein Wildcard-Zerftifikat über bplaced beantragen. Im Feld darunter ist HSTS und die automatische HTTPS-Weiterleitung aktivierbar.

HTTPS VIA LET’S ENCRYPT

Zertifikat mittels Let's Encrypt beantragen
Zertifikat mittels Let’s Encrypt beantragen.

Die bplaced-Subdomains (benutzername.bplaced.net) werden ab dem Angebot bplaced pro automatisch mit ‚Let’s Encrypt‘ verschlüsselt.

Dass eigenen Domains (bspw. dein-name.de) das Zertifikat ausgestellt wird, müssen diese via DNS auf dem Webspace aufgeschaltet sein. Dafür kann man C-Name/A-Record oder ebd. ab bplaced pro die bplaced-Nameserver verwenden, s. Domain Aufschaltung.

  • Wichtig ist, dass ein Zertifikat erst nach dem korrekten Aufschalten, also gesetzte DNS-Records beim Domain-Provider, die eingetragene Domain im bplaced Benutzermenü beantragt wird.

Sobald die Domain aufgeschaltet wurde, ist im Benutzermenü unter ‚Domains‘ ein Zertifikat auszusuchen. Der entsprechenden Domain unter ‚Aktion‘ auf das Schild-Symbol klicken. Somit öffnet sich im oberen Bereich das Interaktionsmenü für die Einstellungen (siehe Bild). Der Drop-down-Liste ‚HTTPS via Let’s Encrypt‘ auswählen und mit Einstellungen übernehmen fortfahren. Die Zertifikat Erstellung und Aktivierung erfolgt in den nächsten 40 Minuten automatisch.

EIGENES ZERTIFIKAT VERWENDEN

Eigenes Zertifkat / Private Key hinzufügen
Eigenes Zertifkat / Private Key hinzufügen

Ist ein eigenes Zertifikat bereits vorhanden (bspw. direkt vom Domain-Provider), so ist dieses ab dem Angebot bplaced pro im Benutzermenü hinzufügbar.

Die eigene Domain muss vor dem Hinzufügen korrekt bei uns aufgeschaltet sein (wie bei ‚HTTPS via Let’s Encrypt‘). Das heißt unter Domains, entsprechender Domain in der Spalte ‚Aktion‘, Schild-Symbol anklicken. Welches Interaktionsmenü im oberen Bereich (siehe Bild) öffnet automatisch mit den Einstellungsmöglichkeiten. Darauf der Dropdown Liste wählt man ‚eigenes Zertifikat verwenden‘. Darunter erscheint ein Feld in welchem dementsprechenden Schlüssel (Private-Key, Certificate Code) einzutragen ist. Die Übernahme des Zertifikats erfolgt in den nächsten 40 Minuten und ist der ausgewählten Domain aktiviert.

WEITERE ZERTIFIKATE ERWERBEN

Weitere Zertifikate mit Domain-Validierungen oder Unternehmens-Validierungen können direkt über bplaced erwoben werden. Folgende Zertifizierungen stehen zur Verwendung:

Produkt Validierung Preis pro Jahr
SSL Essential Domain-Validierung 18.90 Euro / Jahr
SSL Essential Wildcard Domain-Validierung 145 Euro / Jahr
True Business EV erweiterte Validierung 189.50 Euro / Jahr

Bei den Zertifikaten erfolgt die Explikation im Wortlaut „Erweiterte Informationen über den Betreiber der Webseite“. Diese Informationen oder Auskünfte laufen durch die Zertifizierungsstelle. Infolge kann die Bearbeitungszeit für die Analyse bei Domain-Validierungen bis zu 5 Tage in Anspruch nehmen. Unternehmens-Validierungen können die Überprüfungen mehrere Wochen dauern.  Die Zertifikate sind über das  ‚Upgrade-Center‘ zu erwerben.

HTTPS / SSL Optionen

Im Benutzermenü über Domains, jeweilige Domain der Spalte ‚Aktion‘ das Schild-Symbol anklicken. Folgend unter ‚HTTPS / SSL Optionen‘ ist das Sicherheitsfeature HSTS (HTTP Strict Transport Security) aktivierbar. Die automatische HTTPS-Weiterleitung ist Standards aktiviert.

Notabene! – kurz in Interview Was ist SSL und HTTP/2

Info zu HSTS (HTTP Strict Transport Security)

Durch diesen Sicherheitsmechanismus werden aktuelle und auch künftige Anfragen nur mittels HTTPS durchgeführt und können so vor Angriffen wie unter anderem „man-in-the-middle” und „session hijacking” schützen. In Kritik ist das techn. Know-how für HSTS zum geringen Erfolg des Nutzens. Ferner ist man im Internet mittels der im Browser gespeicherten HSTS-Daten leichter chiffrierbar.