1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Um Zugriff auf die Ressourcen sowie auf Teile des Forums zu erhalten, müsst ihr euren XenForo Validation Token an dieser Stelle hinterlegen. Probleme in diesem Umfeld bitte im Forum melden. Danke!
    Information ausblenden

XF1.x HTTPS mit kostenlosem Zertifikat einrichten

Eine Anleitung, wie und warum man seine Seite auf HTTPS umzustellen kann/sollte,

  1. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    @netrix es geht um eine andere Seite, ich sende sie dir per pn ... stimmt das das man 24 dollar bezahlen muss um die zu löschen und eine neue zu erstellen ?
     
  2. rugk

    rugk Mitglied

    Wenn das angezeigt wird heißt dass ganz genau eines: Das die beiden nicht zusammenpassen. :rolleyes:
    Also nimmst du wohl entweder einen anderen Private Key oder ein anderes Zertifikat von StartSSL. Also wenn du mehrere Zertifikate erstellt haben solltest (lokal), dann musst du schon das richtige CRT nehmen.

    Wenn du das richtige nicht mehr findest, kannst du aber natürlich das ganze nochmal neu machen. Wo wir bei Frage 2 wären:
    Wer oder was ist "die"?
    Gut... da ich jetzt mal nicht so sein möchte, nehme ich an, dass ist das Zertifikat. Und ja StartSSL ist tatsächlich so dreist $ 24,90 dafür zu verlangen, wenn du das Zertifikat widerrufen willst - aber nun ja, bei solch einem gratis Angebot kann es schon mal einen Haken geben.
    Bei dir ist dass allerdings gar nicht nötig. Solange du den privaten Schlüssel deines Zertifikates nicht bei pastebin öffentlich gestellt hast :)happy:) kannst du das einfach auslaufen lassen. Es ist ja nur ein Jahr gültig. Falls du den passenden privaten Schlüssel noch einmal finden solltest kannst du diesen shreddern (also sicher löschen) und dann ist das Zertifikat nutzlos.
    Du solltest einfach in der Lage sein - mit einem neuen lokal erstellen Schlüsselpaar - ein neues Zertifikat anzufordern.

    Und übrigens ist der Grund für die schlechte Bewertung bei SSLLabs (nur) dass du eben noch kein Zertifikat importiert hast bzw. dass immer abgelehnt wurde in All Inkl. Deswegen wird dort einfach das Zertifikat von All Inkl genommen und da dass für eine andere Domain ausgestellt ist (kasserver.com), führt dies zu Problemen.
     
    Zuletzt bearbeitet: 9. Aug. 2015
  3. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    ich hatte glaub ich den Fehler gemacht : ich habe privat key übersprungen (wie in der anderen Anleitung ) und habe danach meine CSR von all-ink. eingegeben. dann alles weiter halt wie in der Anleitung steht.

    nun als ich das gelesen habe :
    habe ich alles deaktiviert , neu aktiviert und dann die Zertifikate von sslstart und mein privat key (mit mac erstellt ) eingefügt und seit dem diese Meldung das beides nicht zusammen passt .

    laut Faq kann ich aber mit keinem anderem privat key das Zertifikat nutze . ist das korrekt ?
    also muss ich ja alles auf zurücksetzte machen, damit ich alles wieder von neu machen kann incl dem privat key erstellen und das dann alles von Startssl in all-inkl einbinden ?
     
  4. rugk

    rugk Mitglied

    Also wenn du das Zertifikat offline mit deinem Mac erstellt hast, dann bekommst du ja zwei Dateien: den privaten Schlüssel (.key) und den öffentlichen (.csr in diesem Fall).
    StartSSL bietet dir dann nochmal an ein Schlüsselpaar zu erstellen - dass hast du aber schon gemacht und dementsprechend ist es richtig, diesen Schritt zu überspringen.
    Das ALL-Inkl CSR hat damit aber auch wiederrum nichts zu tun - du musst dass CSR, welches du lokal erstellt hast verwenden.
    Und ich glaube da hast du ein paar Dateien bzw. Schlüssel durcheinandergebracht.

    Prinzipiell musst du verstehen, dass dir 2 Parteien aufdrängeln wollen das Schlüsselpaar für dich zu erstellen und du das auch jeweils machen kannst, aber (zumindest bei letzerer Instanz) nicht unbedingt machen solltest:
    • All Inkl
    • StartSSL
    Stattdessen erstellt du es:
    • lokal
    und nutzt ab da an immer die lokalen Daten - der Rest brauch dich nicht interessieren. Und selbst wenn All Inkl dir 10x sagt, du kannst das auch bei denen erstellen - du kannst es eben auch ganz einfach bei dir selber erstellen und das ist auch sicherlich sicherer.

    Der Weg der Daten ist praktisch so:
    Lokal --> CA (StartSSL) --> zurück zu dir --> Hoster bzw. Server (All Inkl)
    Sprich All Inkl interessiert dich erst ganz am Ende.

    1. Ja, dass versuchen wir dir ja die ganze Zeit zu erklären... :D
    2. Nein, du musst nicht direkt was zurücksetzen (also wenn du damit den Widerruf des Zertifikates für 25 $ meinst), sondern du kannst einfach von vorne anfangen. Eben nur drauf aufpassen, dass das richtige Schlüsselpaar (dass heißt nicht uimsonst so:D) verwendest.

    Falls du dich vorher noch ein bisschen informieren willst, empfiehlt sich diese Lektüre: https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
    Auf dem Prinzip basiert SSL/TLS und damit auch HTTPS.
     
  5. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    zu 1 ja das ist mir schon klar nur zu2 wie soll das gehen das ich das neue Schlüsselpaar dem Zertifikat zuweise ?
     
  6. rugk

    rugk Mitglied

    Du kannst das neue Schlüsselpaar keinem Zertifikat "zuweisen". Das musst du neu machen.
    Also bei StartSSL mit dem neuen Schlüsselpaar ein neues Zertifikat anfordern. So wie du es eben auch schon vorher gemacht hast.
     
  7. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    dies geht aber nicht weil er dann sagt das auf die domain schon ein Zertifikat besteht:(
     
  8. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

     
    Zuletzt bearbeitet: 9. Aug. 2015
  9. rugk

    rugk Mitglied

    Ach tatsächlich? Das macht StartSSL - auch wenn du das gleiche Konto nutzt...
    Also ich habe es noch nicht ausprobiert, dementsprechend kann ich da nicht viel dazu sagen, aber in diesem Fall hast du dann wohl nur drei Möglichkeiten:
    1. Du sucht nochmal nach dem (richtigen, passenden) Schlüsselpaar und downloadest dir das Zertifikat von StartSSL nochmal.
    2. Du gibt's eine andere Subdomain ein. (also dann statt www zum Beispiel test oder so irgendeine Subdomain für die das Zertifikat auch noch gelten soll)
      Für die Hauptdomain ist das Zertifikat immer gültig. Beachten musst du in diesem Fall natürlich, dass du dann alle Besucher von www.domain.example zu domain.example umleiten musst sonst funktioniert die Verbindung dann nicht.
    3. Du lässt es das alte eben kostenpflichtig widerrufen und erstellst dann das neue.
     
  10. rugk

    rugk Mitglied

    Oder du probierst es bei einer anderen CA nochmal - das ginge natürlich auch. :D
     
  11. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    jetzt funktioniert alles :) hab meinen key und Car vom mac eingeben und alles nach deiner Anleitung gemacht und es funzt :)
     
  12. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    Für das HTTP Strict Transport Secruity hab ich folgendes in meine htaccess dabei geschrieben . nur bekomme ich dann ein 500 error

    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteCond %{HTTPS} off
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R01,NE]
    Header add Strict-Transport-Security "max-age7680000; includeSubDomains"
     
  13. netrix

    netrix Aktives Mitglied Lizenzinhaber

    Nutzt du php als Modul?
    Sonst geht das nicht.
     
  14. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    ja ist doch seit März bei all-inkl drin und man braucht das addhandler nicht mehr
     
  15. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

  16. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    wohl zu früh gefreut obwohl nun alles bei all-inkl geht schient ssllabs nicht zufrieden zu sein ich hab immer noch ein t
     
  17. rugk

    rugk Mitglied

    Hier fehlt ein =... :happy:

    Hier auch... :D

    Und was diese Zeile soll ich mir nicht so ganz klar:
    Lass die einfach weg. Du nutzt Apache ja sicher nicht als Proxy oder so...

    Und übrigens sind in der Ressource auch Beispiele für HSTS und Umleitung zu HTTPS - die könntest du auch nutzen.

    T bedeuted "untrusted". Unter der Bewertung steht übrigens noch die Bewertung, wenn diese "Vertrauensfehler" ignoriert werden ("If trust issues are ignored" ).

    Und dass bedeutet du hast immer noch die gleichen Fehler - zumindest behauptet SSLLabs das. Aber ich habe mal deine Seite direkt mit https:// aufgerufen und es funktioniert - das Zertifikat und die Intermediate-Zertifikate und co sind auch richtig und es klappt eigentlich alles.
    Also ich denke mal hier liegt irgendein Fehler beim SSLLabs vor. Du kannst dass ja mal bei https://community.qualys.com reporten, die können dir da sicher helfen. (Auch in der Development-Version von SSLLabs tritt dieser Fehler auf)
     
    Lemminator gefällt das.
  18. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    das habe ich bei einem anderen ssl test gefunden
    Bildschirmfoto 2015-08-10 um 13.39.52.png
     
  19. rugk

    rugk Mitglied

    Okay, dieser bemängelt also auch es würde ein Intermediate-Zertifikat fehlen - eigentlich ist das ja aber nicht der Fall, oder?
     
  20. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    das ist doch das Sub.class1.server.ca.pem sprich Brückenzertifikat
     
    rugk gefällt das.