Lets Encrypt - welche Einstellungen?

  • Hallo,


    ich habe ein Webhosting-Paket (Expert M int 2018) und betreibe damit meine private Homepage. Im Controlpanel stehen bei mit unter "SSL/TLS-Zertifikate" folgende Einstellungen:

    Von HTTP auf HTTPS umleiten => EIN
    HSTS => AUS
    Websites schützen => Deaktiviert (keine Auswahlmöglichkeit)
    OCSP-Anheftung => AUS


    Hat das so seine Richtigkeit, oder sollte ich etwas ändern?


    Gruß


    akapuma

  • Mit der Umleitung ist schon einmal sicher gestellt, dass per https auf die Seite zugegriffen wird.


    Durch HSTS merkt sich der Browser das auf die Seite beim nächsten mal direkt über https zugegriffen werden soll

    https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security


    Bei OCSP (https://de.wikipedia.org/wiki/…rtificate_Status_Protocol) geht es um Zertifikatssperrlisten, ob die für Let’s Encrypt nun einen Mehrwert bringen würde ich verneinen, schaden kann die Einstellung aber sicher auch nicht.

  • Danke, ich habe mal beides eingeschaltet. Dann noch 3 Fragen:


    Unter "Website & Domains" / "Hosting-Einstellungen" steht: "Dauerhafte, für SEO geeignete 301-Weiterleitung von HTTP zu HTTPS". Das war ausgeschaltet. Soll ich es einschalten?


    Unter "Website & Domains" / "SSL/TLS-Zertifikate" kann ich noch "E-Mails schützen" anklicken. Das habe ich gemacht. War das richtig? Ich bekomme es auch nicht mehr weg.


    Unter "Website & Domains" steht unter meiner Domain bei "SSL/TLS-Zertifikate" "Alles in Ordnung". Unter "hostingxxxxxx.a2f1b.netcup.net" steht allerdings "Domain nicht geschützt". Versuche ich ein Zertifikat zu erstellen bekomme ich die Fehlermeldung:

    Code
    SSL/TLS-Zertifikat konnte für hostingxxxxxx.a2f1b.netcup.net nicht ausgestellt werden.
    Details:
    Let's Encrypt-SSL/TLS-Zertifikat konnte nicht ausgestellt werden für hostingxxxxxx.a2f1b.netcup.net.
    
    Eine der Ratenbegrenzungen von Let's Encrypt wurde überschritten für hostingxxxxxx.a2f1b.netcup.net.
    Einzelheiten dazu finden Sie im zugehörigen Artikel der Wissensdatenbank.

    Was mache ich falsch?


    Gruß


    akapuma

  • Dieser Fehler kommt, wenn innerhalb einer festgelegten Zeit zuviele Zertifikate einer Domain angefordert werden;

    Du hast hier die Default-Domain vom Webhosting genommen, und da gibt es viele ... - hängen alle an der netcup.net-Domain

    (das definiert Let's Encrypt, nicht netcup)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Gefällt mir 1
  • 301 Weiterleitung würde ich aktivieren.


    E-Mailschutz schadet auch nicht, wird sich aber vermutlich gar nicht auswirken, da der Mailserver/Webmail separat laufen.


    LE für die interne Domain kann ignoriert werden, hier würde ich das Hosting ggf. sogar deaktivieren.

  • hier würde ich das Hosting ggf. sogar deaktivieren.

    hiermit wäre ich sehr vorsichtig. ein deaktiviertes Hosting der Stammdomain kann zu einigen kuriosen Fehlern führen (z.B. keine cronjobs möglich, auch bei den anderen Domains).


    Lieber dessen Dokumentenstamm in ein eigenes Verzeichnis leiten und dort einfach per .htaccess sämtlichen Zugriff verbieten.

  • hier würde ich das Hosting ggf. sogar deaktivieren.

    Meine Domain könnte ich deaktivieren, hostingxxxxxx.a2f1b.netcup.net aber nicht. Hier gibt es nur den Button "aktiviert".


    Lieber dessen Dokumentenstamm in ein eigenes Verzeichnis leiten und dort einfach per .htaccess sämtlichen Zugriff verbieten.


    Ich habe ein neues Verzeichnis angelegt, den Dokumentenstamm dorthin verlegt und dort eine .htaccess mit dem Inhalt "Deny from all" abgelegt. Wenn ich per hostingxxxxxx.a2f1b.netcup.net darauf zugreife passiert folgendes:


    - Der Browser blockiert den Inhalt weil er nicht mit einem Sicherheitszertifikat signiert wurde.
    - Ignoriere ich das kommt der Fehler 403 was wohl auf die .htaccess zurückzuführen ist.


    Was mich wundert ist der erste Fehler. Ich habe mal das Bild von "hostingxxxxxx.a2f1b.netcup.net" angehangen. Unter "SSL/TLS-Zertifikate" steht in rot "Domain nicht geschützt". Ich glaube das ist neu - sonst wäre es mir doch aufgefallen.


    Kann ich da irgendetwas machen?


    Gruß


    akapuma

  • Der Fehler kommt da kein gültiges LE Zertifikat angefordert werden kann, stattdessen wird dann vermutlich das selbstsignierte Plesk Zertifikat verwendet.


    Bei der netcup Domain würde ich den Fehler einfach ignorieren und einfach keinen Inhalt ausliefern.

  • Ich denke auch, dass einfach das Standard Plesk Zertifikat ausgeliefert wird. Bei der Hostingdomain würde ich SSL komplett ignorieren. LE bekommt man nur mit Glück aktiviert auf Grund der Rate Limits und wirklich nutzen tut man die Adresse doch ohnehin nicht. Mit der .htaccess ist ja nun der Zugriff ohnehin für alle gesperrt, den Rest kannst du dann getrost ignorieren und dich stattdessen auf die eigenen Domains konzentrieren. :)

  • wachterinvesting.de

    ist die Domain denn von dir?

    ich hatte zu Beginn mal das Phänomen, dass in der Stammdomain auch ein Zertifikat einer mir unbekannten Domain ausgeliefert wurde. Wie sich rausstellte, betraf das auch andere Kunden auf derselben Node - wurde vom Support dann korrigiert.

  • Hallo,


    ich habe den Support angeschrieben. Man schrieb mir daß der Fehler soeben behoben wurde. Es würde nun das richtige default Zertifikat ausgeliefert. Es wird aber immer noch ein Fehler angezeigt (ich denke der Hostingdomainname ist kein Geheimnis und kann hier gepostet werden da ich sowieso alles verboten habe).


    https://www.ssllabs.com/ssltest/analyze.html?d=hosting106941.a2f1b.netcup.net


    Das Zertifikat hätte einen falschen Namen da es auf a2f1b.netcup.net ausgestellt wäre.


    Ist alles in Ordnung?


    Gruß


    akapuma

  • Das Zertifikat hätte einen falschen Namen da es auf a2f1b.netcup.net ausgestellt wäre.


    Ist alles in Ordnung?

    Ja.


    Falls Du wirklich ein gültiges Zertifikat für die Standardsubdomain (hosting106941.a2f1b.netcup.net) haben möchtest, brauchst Du viel Glück. Wie bereits von zahlreichen Vorpostern geschrieben, wird das durch das Rate Limit von Let's Encrypt so gut wie gar nicht klappen. Normalerweise braucht man die Standardsubdomain aber sowieso nicht. Es ist also egal, ob da ein korrektes Zertifikat ausgeliefert wird, wenn man sie eh nicht verwendet und sie auf einen leeren Dokumentenstamm zeigt. Aktuell wird wohl wie gewünscht ein Error 403 ausgegeben und damit kann dort sowieso niemand etwas anstellen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 3
  • Nutze einfach a2f1b.netcup.net - das funktioniert genauso gut bzw. besser. ;)

    Netcup hat wahrscheinlich einfach einen Wildcard-Record gesetzt:

  • Mal dumm gefragt - hätte netcup kein Wildcard-Zertifikat *.a2f1b.netcup.net installieren können?

    Wozu? :/


    Verbinde doch einfach mit a2f1b.netcup.net, ohne hostingXXXXXX oder gar ftps am Anfang.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1
  • Danke Euch beiden! Klappt wunderbar.


    Das war dann wohl ein Verständnisproblem von mir. Ich dachte auf a2f1b.netcup.net lägen ganz viele Kunden und das hostingXXXXXX müsste davor damit der Server weiß das ich es bin. Den Benutzernamen kann ich ja selbst vergeben, und mehrere Nutzer könnten sich ja den gleichen gegeben haben.


    Gruß


    akapuma