Schützen der Wildcard-Domains innerhalb eines Wordpress-Multisite Networks

  • Hallo,


    mal eine kleine Frage von einem Anfänger hier. Ich habe soeben erfolgreich meine erste Wordpress-Multisite angelegt. Im Netzwerk werden neue Seiten im Multisite-Backend über eine Wildcard-Subdomain erstellt. Wie mir im WCP schon beim Erstellen der Wildcard-Subdomain aufgefallen ist, kann man diese - zumindest in meinem Webhosting 4000de - nicht per Let's Encrypt schützen. Und nun die Frage...


    ...gibt es einen anderen Weg, die erstellten Subdomains nach der Erstellung via Let's Encrypt zu schützen? Wenn ich die Subdomain als 'einzelne Distanz' im WCP hinzufüge um für sie ein gesondertes Let's Encrypt Zertifikat zu erstellen überschreibt dies logischerweise alles, was auf dieser Seite ist und verlegt auch den Root in einen eigenen Ordner. Das Häkchen in den Hosting-Einstellungen der Hauptdomain "www-subdomains und Aliase auch schützen" hat nichts geändert /gebracht...


    Liebe Grüße,


    Max

  • In der Plesk Dokumentation zu Lets Encrypt findet sich folgende Passage:

    This feature is available in Let's Encrypt 2.6.0.

    The ability to issue wildcard certificates is disabled by default. This is because Let’s Encrypt requires the new protocol for wildcard certificate requests and the new protocol might not be as stable as the one currently used.

    Es scheint grundsätzlich also die Möglichkeit zu geben, allerdings erfordert das wahrscheinlich eine Änderung seitens netcup. Außerdem weiß ich nicht, ob diese Aussage auch bei der angepassten Version von Plesk, die hier eingesetzt wird, noch zutrifft. Ich denke eine definitive Antwort was hier möglich ist, wird man nur von einem Mitarbeiter bekommen.

  • janxb hier die ziemlich nüchterne Antwort des Supports...War's das jetzt oder gibt es noch andere Möglichkeiten, an ein Let's Encrypt Zertifikat bzw. https für die Wildcard-Subdomains zu kommen?


  • hier die ziemlich nüchterne Antwort des Supports...[..]


    Danke für das Update. Ich sehe das (wie es ab und an mal vorkommt ;) ) anders als der Support: Wildcard-Zertifikate werden ab einer neueren LetsEncrypt-Plugin Version unterstützt, daher ist das für mich keine "kundenabhängige Konfiguration", sondern eine ganz normale Produktpflege bzw. Weiterentwicklung.


    Ansonsten kannst du solche Letsencrypt-Zertifikate natürlich auch manuell (z.B. über die DNS-Challenge) beantragen, dann musst du dich allerdings alle drei Monate manuell um Verlängerung und Hinterlegung im WCP kümmern. Also nicht wirklich praxistauglich..

  • H6G habe mal geguckt und nichts in den LE-Einstellungen gefunden.

    janxb habe ich auch so gesehen und nochmal nachgehakt. Nun kam das:

    Mir ist jetzt noch eine andere Idee gekommen. Im WCP kann man tatsächlich die LE-Zertifikate für die Subdomains einzeln manuell erstellen (also für xy.domain.com etc. etc.), ohne das die Subdomain im WCP vorhanden ist....diese würden, nach meinem Verständnis, dann auch immer wieder automatisch erneuert werden. Einziges fehlendes 'Puzzlestück' ist, das Zertifikat nun zu 'aktivieren'. Da die Multisite-Subdomain ja über das Backend und nicht über Plesk erstellt wurde, kann man das Zertifikat halt nicht für die Domain 'aktivieren', da die Subdomain ja dort nicht angezeigt wird bzw. man sie nicht hinzufügen kann. Gibt es da einen Weg drumherum? (Es lässt sich zudem ein Zertifikat für die Wildcard-Domain erstellen, allerdings ist dieses ja wiegesagt kein Wildcard-Zertifikat, hat also nichts gebracht)

    Eine weitere Alternatividee aus dem Netz ist, sich ein kostenloses WildcardZertifikat von Cloudflare o.Ä. zu holen und dann auf der Domain zu installieren. Hat wer damit schon Erfahrungen gemacht? Da müsste dann ebenfalls immer wieder erneuert werden oder?

  • Eine weitere Alternatividee aus dem Netz ist, sich ein kostenloses WildcardZertifikat von Cloudflare o.Ä. zu holen und dann auf der Domain zu installieren. Hat wer damit schon Erfahrungen gemacht? Da müsste dann ebenfalls immer wieder erneuert werden oder?

    Das kannst du nicht auf die Domain installieren. Dafür musst du DNS über Cloudflare abwickeln und dann geht der Verkehr unverschlüsselt von CF zu Netcup durch

  • Das kannst du nicht auf die Domain installieren. Dafür musst du DNS über Cloudflare abwickeln und dann geht der Verkehr unverschlüsselt von CF zu Netcup durch

    Mit dem Wort "unverschlüsselt" bin ich definitiv nicht einverstanden. Es gibt bei Cloudflare als SSL Setting auch "Full" bzw. "Full Strict", welches dann auch zum getunnelten Service SSL verwendet, bzw. auch auf gültige Zertifikate prüft.


    Zusätzlich kannst du dir bei Cloudflare ein "Origin-Zertifikat" für deine Wildcard-Subdomain herunterladen, welches du dann im WCP hinterlegst. Wichtig: Dieses Zertifikat ist im Browser nicht Trusted. Das ist nur dafür da, wenn du bei Cloudflare SSL-Setting "Full Strict" nutzen möchtest und deine Quelle ansonsten kein valides Zertifikat hat.


    maxruebensal Cloudflare wäre für dich also tatsächlich eine mögliche Lösung, wenn du den einmaligen (sehr moderaten) Aufwand der DNS-Konfiguration auf dich nehmen möchtest.



    Edit: Ergänzend möchte ich aber auch noch mal mein Unverständnis über das Verhalten von netcup zu diesem Thema zum Ausdruck bringen. Die Aussage "might not be as stable" heißt mitnichten, dass der Hersteller die Funktion als "unstable" ansieht. Wildcards gibts es bei LetsEncrypt seit Januar 2018, Probleme im ACME-Protokoll und deren Backend sollten ja wohl so langsam nicht mehr zu erwarten sein. Es ist schade, dass bei solchen Problemen dann doch auf externe Anbieter zurückgegriffen werden muss.

  • Ich sehe das (wie es ab und an mal vorkommt ;) ) anders als der Support:

    Schön für dich. Die aber doch wichtige Passage ist:

    "This is because Let's Encrypt requires the new protocol for wildcard certificate requests and the new protocol might not be as stable as the one currently used."

    Somit ist das keine "ganz normale Produktpflege bzw. Weiterentwicklung" sondern eine Tür, die zu bleibt bis der Kram sicher ist. Aber hey... ist leicht mit schimpfen wenn man vielleicht eine handvoll Kunden betreut und nicht ~7 bis ~8k oder mehr.


    Sind immer dieselben hier, die sich die Li-La-Laune Welt basteln so wie es ihnen gefällt.


  • Ergänzend möchte ich aber auch noch mal mein Unverständnis über das Verhalten von netcup zu diesem Thema zum Ausdruck bringen. Die Aussage "might not be as stable" heißt mitnichten, dass der Hersteller die Funktion als "unstable" ansieht. Wildcards gibts es bei LetsEncrypt seit Januar 2018, Probleme im ACME-Protokoll und deren Backend sollten ja wohl so langsam nicht mehr zu erwarten sein. Es ist schade, dass bei solchen Problemen dann doch auf externe Anbieter zurückgegriffen werden muss.

    Aber was soll netcup deiner Meinung nach machen? Hier ist der Support Artikel von Plesk dazu:

    https://support.plesk.com/hc/e…or-wildcard-certificates-


    Ganz oben steht: "Updated 2 days ago", also ist das wohl ein recht aktueller Stand bei Plesk, wieso auch immer die die Lage so einschätzen.


    Laut dem Artikel bietet Plesk auch nur zwei Optionen für die DNS-Challenge an:

    • Entweder ist Plesk selbst der authoritative DNS für die Domain, dann ist dies kein Problem, was bei netcup aber offensichtlich nicht der Fall ist
    • Man bekommt einen DNS-Eintrag angezeigt und muss diesen händisch übertragen

    Von daher scheint das Problem eher an Plesk zu liegen, ich kann mir kaum vorstellen das netcup hier absichtlich blockiert, im Gegenteil netcup war doch mit unter den ersten Hostern die Let's Encrypt unterstützt haben. Nur vermutlich hat netcup auch nicht genug Marktmacht um Plesk da zu bewegen.


    Und die Lösung den DNS-Eintrag von Hand anzulegen bringt dem Kunden nicht viel, dann kann er auch gleich den kompletten Prozess von Hand erledigen. Vermutlich erhöht das nur den Supportaufwand weil der Prozess fehleranfällig ist (nicht gewartet bis netcup die DNS Server aktualisiert hat etc.) und die wenigsten Leute brauchen ein Wildcard Cert.


    Ist halt immer die Sache, mit einer Eigenentwicklung (als Alternative zu Plesk) könnte man sowas selbst lösen, die kostet aber wiederum viel Zeit und Geld und bist man auch nur annähernd den Funktionsumfang von Plesk erreicht hat, vergeht sehr viel Zeit ins Land. Und man sollte bedenken das netcup einer der günstigsten Anbieter am Markt ist, der Funktionsumfang des Hostings ist sehr beachtlich bereits.


    Wer weiß, vielleicht kann netcup wieder einen "Hack" über das CCP machen, so wie damals als die erste "Version" der Let's Encrypt Zertifikate von seitens netcup ausgerollt wurde, die Frage ist nur ob sich das für die geringe Anzahl potentieller Nutzer lohnen würde, da normale Let's Encrypt Zertifikate einwandfrei laufen.


    Notfalls hat man immer noch die Option auf ein managed Hosting umzusteigen, da ist man ganz Herr seiner vServers und da werden einem solche Wünsche sicherlich erfüllt, kostet halt etwas mehr ;)

  • julian-w Ich verstehe deinen Beitrag leider nicht ganz.. Es gibt von Plesk bereits eine neue Version des LE-Plugins, welche Wildcards unterstützt. Aufgrund der Aussage “might not be as stable” möchte netcup diese Version allerdings nicht installieren. Für mich sieht das also schon so aus, als liegt es an netcup. Plesk könnte liefern, bzw hat es sogar schon.


    Und schon wieder ein Edit: Ich habe noch mal auf der von dir verlinkten Seite gestöbert. Aktuell können wildcard Zertifikate nicht automatisch verlängert werden. Das ist meiner Meinung nach eine krasse Einschränkung des Plugins. Anscheinend besteht hier also doch noch Handlungsbedarf seitens Plesk. Ich nehme also meine Unmutsbekundungen teilweise zurück, trotzdem hätte man das eigentliche Problem eventuell besser kommunizieren können.

  • Es gibt von Plesk bereits eine neue Version des LE-Plugins, welche Wildcards unterstützt.

    Das stimmt eben nur so halb: für Wildcards wird die DNS-Challenge benötigt und diese ist noch nicht vollständig implementiert und funktioniert nur automatisiert, wenn man auch die autoritativen DNS-Server von Plesk nutzt (scheinbar irgendeine Software von Plesk oder sowas), was bei netcup aber nicht der Fall ist.


    Note: If Plesk does not manage the DNS for the domain, the Let’s Encrypt extension cannot add the DNS record automatically. In this case, you will see the following message: “Please add a DNS record with the following parameters”. Add a DNS record with the specified parameters manually. If you are unsure how to do it, ask your DNS hosting provider for assistance.

    Somit ist eine automatisierte Integration eben NICHT möglich, außer man kopiert irgendwelche DNS-Einträge zwischen WCP und CCP hin und her. Scheinbar existiert dafür auch von seitens Plesk keine API um das zu automatisieren, zumindest konnte ich in der öffentlich zugänglichen Dokumentation keine finden. Somit hat netcup auch keine Chance dies zu automatisieren. Somit hilft es einem nicht weiter die Funktion in Plesk freizuschalten, automatisierte Wildcards sind technisch aktuell mit Plesk so nicht möglich.


    Wenn man unbedingt ein Wildcard will muss man so oder so alle 3 Monate selbst Hand anlegen, dann kann man auch das Cert komplett von Hand beantragen, z.B. von seinem Rechner zu Hause aus oder über Webservices wie sslforfree.com, gethttpsforfree.com, zerossl.com (wie vertrauenswürdig das auch immer sein mag).

  • julian-w Wie oben schon geschrieben: nach einigem Überlegen gebe ich dir Recht. Mit den aktuellen Einschränkungen macht es für netcup wenig Sinn, dieses Feature zu unterstützen, bzw. ist es wahrscheinlich gar nicht wirklich möglich. Sorry, falls ich in meinen vorherigen Posts zu negativ geklungen haben sollte.. Trotzdem sind diese Einschränkungen aber keine “Sicherheitsbedenken”, man darf dem Kunden ruhig die wahren Hintergründe einer Entscheidung mitteilen :)

  • Okay, dann gehen wir die Cloudflare Route:


    - auf cloudflare.com einen Account erstellen

    - Website erstellen / Domain hinzufügen als "Free Plan"

    - Alle DNS Werte übertragen von Netcup (CCP => Domains) nach Cloudflare

    - Bei den A und AAAA Werten darauf achten, dass die Wolke aktiviert ist.

    - MX Records dürfen nicht auf einen Wert mit aktivierter Wolke zeigen


    - von "Netcup Nameserver" auf name1.cloudflare.com und name2.cloudflare.com umstellen im CCP. Die genauen Namen teilt dir Cloudflare mit.

    - Das dauert jetzt wirklich lange, eh Cloudflare mitbekommt, dass das alles funktioniert.


    - Cloudflare => Crypo => SSL => Flexible

    - CF, Crypto => Origin Certificates => Create Certficate => Let CF generate... => RSA => *.example.com, example.com => Next => PEM


    Diese beiden Sachen trägst du als Zertifikat + Schlüssel im Plesk ein. Sollte Plesk Dateien haben wollen, speicherst du die Daten als Textdatei mit der Dateiendung .pem

    Jetzt sollte alles funktionieren (ich habe hoffentlich nichts vergessen).


    Wenn das alles funktioniert, kannst du SSL,Flexible auf Full bzw. Full (Strict) umstellen.

    Dann kannst du auch "Always use HTTPS" einschalten.


    Damit brauchst du definitiv nicht alle drei Monate handeln.

    Wenn du E-Mail nutzt, bitte auch verifizieren, dass E-Mail danach noch funktioniert. (Um Überraschungen vorzubeugen).

  • H6G danke super! Den Rest der Domainverwaltung kann ich dann aber immer noch im plesk machen oder ? Weil das Hosting ist ja immer noch bei netcup?

    Und zu dem Ding mit den Wolken...aktiviere ich alle von denen (orange), dann bekomme ich bei den mx records eine warnung (exposing origins ip address)...

    bei welchen der 5 (cname hat ja auch noch ne wolke) sollen nun die wolken aktiviert sein?


    Vollbildaufzeichnung 19.11.2018 171645.bmp.jpg

  • Hay,

    externe domain handelt. Finde deshalb die DNS einstellungen nicht

    Kommt darauf an, "wie" extern die Domains sind.


    - Wenn die Domains bei netcup unabhängig von einem Hosting registriert wurden, findest Du die DNS-Verwaltung im CCP- Domains - und dann gibt es einen Reiter "DNS".

    - Wenn sie nicht bei netcup registriert wurden, findest Du die DNS-Verwaltung beim Provider, bei dem Du die DNS registriert hast.


    CU, Peter