Mein Webhoster all-inkl.com unterstützt nun auch kostenlose SSL-Zertifikate von Let’s Encrypt. (Wikipedia: Wer ist Let’s Encrypt?)
Kunden ab dem Paket „PrivatPlus“ sollten seit dem 08.04.16 diese Meldung in ihrem KAS stehen haben.
Wer bisher im PrivatPlus SSL nutzen wollte musste hier auf kostenpflichtige Zertifikate zurückgreifen – mit Let’s Encrypt gibt es bei all-inkl.com jetzt eine kostenlose Variante. Die Zertifikate sind 90 Tage gültig und werden automatisch 30 Tage vor Ablauf erneuert. Alternativ konnte (und kann man immer noch) man private Zertifikate nutzen. Das hatte ich bis vor kurzem für die Adminbereiche meiner Webseiten gemacht. Private Zertifikate für die ganze Webseite haben aber den Nachteil das Browser diese Seite als potentiell unsicher einstuft und den Besucher empfehlen die Seite zu verlassen. Nicht empfehlenswert.
Wie aktiviert man SSL bei all-inkl.com?
- Im KAS bei all-inkl.com in die Domain/Subdomain-Übersicht wechseln.
- Bearbeiten klicken
Jetzt folgende Einstellungen tätigen:
- Let’s Encrypt auswählen
- Haftungsausschluss akzeptieren
- Zertifikat beziehen und einbinden
Ab jetzt kann man die Domain mit SSL (also https:// ) nutzen. Da dieses von Webprojekt zu Webprojekt anders zu konfigurieren ist, bitte dort entsprechend gucken. Wichtig ist nur: Man sollte jetzt dafür sorgen das die Domain nur noch unter https erreichbar ist um in den Suchmaschinen Duplicate Content zu vermeiden.
Wie aktiviere ich jetzt HSTS? [UPDATE]
Wer seine Webseite jetzt unter https://www.ssllabs.com/ssltest/ testet ….
… wird feststellen das er eine A-Wertung bekommt. Da HSTS (HTTP Strict Transport Security) fehlt, wird die A-Plus-Wertung verwehrt. HSTS wird z. B. von OwnCloud gewünscht (optional; sonst Fehlermeldung die aber ignoriert werden darf).
Zum Aktivieren muss im Root des Webspaces (bei all-inkl.com also: /www/htdocs/BENUTZERNAME/) eine .htaccess angelegt werden (wenn da bereits eine liegt – nicht Überschreiben – nur ergänzen! [Sicherheitskopie], die folgenden Inhalt hat: Header set Strict-Transport-Security „max-age=15768000“ env=HTTPS.
Update: Seit kurzem kann man bei all-inkl.com im KAS HSTS aktivieren. Man geht wieder in die SSL-Einstellungen und bekommt direkt zur Auswahl ob man HSTS aktivieren möchte.
Jetzt kann der Test erneut gestartet werden und es sollte so ausschauen:
Wenn da immer noch nur eine A Wertung erscheint, kann das daran liegen das die .htaccess im falschen Verzeichnis liegt (das hat dann mit der eigenen Domain/Verzeichnis-Struktur zu tun).
Was bringt mir SSL überhaupt?
a) Sicherheit
Wer seine Domain ohne SSL betreibt (http://), sollte beim Einloggen in Internet-Cafes oder in WLAN-Hotspots besondere Vorsicht walten. Theoretisch kann alles mitgelesen werden, wenn im gleichen Netz jemand mit entsprechend Krimineller Energie ist. Bei SSL-Geschützten Seiten (https://) ist dieses mitlesen nicht möglich.
Onlineshops sollten sowieso ihren Kunden nur SSL-Geschützte Seiten zur Verfügung stellen.
b) SEO-Ranking
Darum geht es mir dann doch ;) Google wertet Domains mit SSL-Verschlüsselung mittlerweile etwas besser als welche ohne. Siehe auch: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html. Reicht doch als Grund oder?
Fazit
Meine Domains bei all-inkl.com sind seit paar Tagen alle mit SSL-Zertifikaten von Let’s Encrypt geschützt. WordPress stellte sich hier etwas an (gibt genug Anleitungen dazu), der Fotobastler (Koken) und Patricks Galerie (Piwigo) waren hingegen sehr kooperativ. Wer Meine Piwigo-Galerie lief vorher mit Gallery3 – auch dieses hat sich problemlos umstellen lassen.
Pingback: Ein neues zu Hause | cube-server.org
Pingback: WordPress: Websites auf all-inkl.com mit kostenlosen SSL-Zertifikaten ausstatten » perun.net