Bis vor Kurzem war es nur sehr umständlich und kostspielig möglich, Websites zusätzlich oder ausschließlich über eine verschlüsselte, sichere Verbindung (https://) anzubieten. Durch den technischen Fortschritt ist es jedoch mittlerweile mit sehr geringem Aufwand möglich, jede Website derartig abzusichern.
Hinweis: Bevor Sie die Konfiguration vornehmen können, muss ein Administrator die Domain für die Verwendung mit SSL freischalten. Dies ist der Fall, wenn der Abschnitt „Webserver SSL-Einstellungen“ beim Bearbeiten der Domain-Einstellungen fehlt.
Warum HTTPS verwenden?
Selbst wenn Sie keinen Web-Shop betreiben und auf Ihrem Internet-Auftritt auch keine persönlichen Daten erheben, macht es Sinn, die Seite verschlüsselt anzubieten. So schützen Sie z. B. Login-Daten für den Administrationsbereich ihres Content-Management-Systems oder schützen die Privatsphäre Ihrer Besucher, da Dritte den Datenverkehr nicht mitlesen und so die aufgerufenen Inhalte nicht protokollieren können.
Ein weiterer Grund ist, dass viele Suchmaschinen (Google, Bing) Websites höher einstufen, wenn diese auch oder ausschließlich über HTTPS angeboten werden.
Auf diesem Server können sie nach einer einfachen, einmaligen Einrichtung ohne weitere eingriffe und ohne irgendwelche Kosten HTTPS verwenden und alle damit verbundenen Vorteile nutzen. Die nötigen Zertifikate werden vollautomatisch vom kostenlosen Anbieter „Let’s Encrypt“ bezogen.
Die Zertifikate gelten jeweils 90 Tage, werden aber alle 60 Tage automatisch neu erstelllt, inklusive dem verwendeten privaten Schlüssel. Sollte also der Schlüssel ungewollt in falsche Hände geraten, könnte der Angreifer nur maximal den mitgeschnittenen Datenverkehr der 60 Tage entschlüsseln, in denen der Schlüssel benutzt wurde.
Einrichtung mit Froxlor
Loggen Sie sich mit Ihren Zugangsdaten im Administrations-Tool „Froxlor“ ein und klicken Sie unter dem Menüpunkt „Domains“ auf „Einstellungen“:
Klicken Sie hinter der entsprechenden Domain auf das Stift-Symbol:
Aktivieren Sie das Häkchen bei „Benutze Let’s Encrypt“ (rot), tragen Sie einen Wert (z. B. 31536000) in das HSTS-Feld (blau) ein und setzen Sie den Haken bei „HSTS für jede Subdomain“.
Wichtig: Lassen sie zu diesem Zeitpunkt die Option „SSL-Weiterleitung“ deaktiviert. Falls diese aktiviert ist, und Sie kein Let’s-Encrpyt-Zertifikat besitzen, deaktivieren Sie bitte diese Option.
Klicken Sie auf „Speichern“. Nach einiger Zeit (ca. 15-20 Minuten) können Sie versuchen, Ihre Website über „https://www.ihre-domain.tld“ aufzurufen. Es sollte dann keine Warnung im Browser erscheinen, sondern – je nach Browser – ein grüner Haken oder ein grünes Schloss vor der Website-Adresse angezeigt werden.
Sofern Sie wünschen, dass Ihre Website ausschließlich über HTTPS erreichbar ist, bearbeiten Sie erneut wie oben beschrieben die Domain, und aktivieren Sie nun die Option „SSL-Weiterleitung“. Für die Erneuerung des Zertifikats darf die Option aktiviert sein.
Sollten Sie mehrere Domains oder Subdomains eingerichtet haben, müssen Sie diese Schritte für jede wiederholen. Wildcard-Zertifikate, die für sämtliche Subdomains gelten, werden derzeit noch nicht von Let’s Encrypt ausgestellt, sind aber in Planung.