Umstellung zur Nutzung von SNI bei Bestellung neuer SSL-Zertifikate

Ab dieser Woche werden wir bei Neubestellungen von SSL-Zertifikaten SNI einsetzen, was die Vergabe eigener IPv4-Adressen für diese nicht mehr notwendig macht. Hiermit möchten wir verantwortungsvoll mit der immer knapperen Ressource IPv4-Adresse umgehen. Diese Änderung gilt nur für neue Zertifikate. Laufende und durch Sie verlängerte Zertifikate sind davon nicht betroffen. Sie behalten die vorhandenen IPv4-Adressen, damit sich für Sie keine ggf. notwendigen Änderungen ergeben.

Gerne möchten wir nachfolgend noch weitere Details dazu ausführen, um Sie genau über die Änderung zu informieren.

Wie war der bisherige Hintergrund bezüglich der Notwendigkeit eigener IPv4-Adressen bei SSL-Zertifikaten?

Um als Nutzer die Authentizität einer Webseite im Internet zu überprüfen, verwendet man in der Regel digitale Zertifikate. Da der verschlüsselte Verbindungsaufbau zum Server bereits stattfindet, bevor die angefragte URL übertragen wird, ist es mit TLS-1.0/SSL-Verschlüsselung nicht möglich, mehrere Domains unter einer IP-Adresse zu nutzen (sogenanntes Virtual Hosting). Grund für diese Einschränkung ist, dass der Server bei mehreren Zertifikaten nicht weiß, welches Zertifikat, das meist nur für eine Domain gilt, er benutzen müsste. Zum Zeitpunkt der Spezifikation von SSL/TLS wurde die Möglichkeit von Virtual Hosting nicht vorgesehen.

Was ist SNI und wie funktioniert es fortan?

Server Name Indication (SNI) ist eine Erweiterung des Standards Transport Layer Security (TLS), die es ermöglicht, dass sich mehrere verschlüsselt abrufbare Websites unterschiedlicher Domains einen Server auf dem TLS Port 443 teilen, auch wenn dieser nur eine IP-Adresse besitzt. Beim Aufbau einer TLS-Verbindung fordert der Client, der die Verbindung aufgebaut hat, vom Server ein digitales Zertifikat an, welches für die Verschlüsselung der Verbindung benötigt wird. Der Server sendet standardmäßig das mit seiner IP-Adresse verbundene Zertifikat zurück. Um unter einer IP-Adresse aber einen Server für verschiedene Hosts mit verschiedenen Zertifikaten zu betreiben, ist es erforderlich, dass der Client dem Server den gewünschten Host vor der Übermittlung des Zertifikats, also bevor über die Verbindung ein verschlüsselter Kanal aufgebaut wurde, mitteilt. SNI ist eine Erweiterung von TLS, die es dem Client erlaubt, diese Information unverschlüsselt zu übertragen.

Wie lief eine Bestellung eines SSL-Zertifikats bisher bei uns ab?

  1. Sie bestellten bei uns ein SSL-Zertifikat für Domain www.domain.tld im Kundenmenü.
  2. Wir nahmen die Bestellung an und kümmerten uns um die Bereitstellung durch unsere Partner.
  3. Wir oder Sie als Kunde bekamen abhängig vom gewählten Zertifikatstyp eine Aufforderung zur Validierung der Bestellung mittels Approver-E-Mail oder DNS-Approval.
  4. Nach erfolgreicher Validierung bekamen wir von unseren Partnern das neue Zertifikat zugesandt.
  5. Falls das Zertifikat direkt aus Ihrem Webserver bei uns gehostet werden sollte, benötigte es nun eine neue IPv4-Adresse.
  6. Auf dem betroffenen Webserver aktivierten wir die IPv4-Adresse und passten die Konfiguration des Webservers an.
  7. Wir erstellen für die betroffenen Sub-Domains entsprechende Nameserver A-Einträge, die auf die neue IPv4 Adresse verwaisten.
  8. Das Zertifikat wurde in Rechnung gestellt.

Wie läuft zukünftig eine Bestellung eines SSL-Zertifikats ab?

Schritt 1-4 bleiben gleich!

  1. Sie bestellen bei uns ein SSL-Zertifikat für Domain www.domain.tld im Kundenmenü.
  2. Wir nehmen die Bestellung an und kümmern uns um die Bereitstellung durch unsere Partner.
  3. Wir oder Sie als Kunde bekommen abhängig vom gewählten Zertifikatstyp eine Aufforderung zur Validierung der Bestellung mittels Approver-E-Mail oder DNS-Approval.
  4. Nach erfolgreicher Validierung bekommen wir von unseren Partnern das neue Zertifikat zugesandt.
  5. Auf dem Webserver wird die Konfiguration so angepasst, das Aufrufe auf (www.)domain.tld ein SSL-Zertifikat verwenden. Falls es nicht bei uns gehostet werden soll, stellten wir es im Kundenmenü zum Download bereit.
  6. Grundsätzlich müssen wir nun keine eigenen Nameserver A-Einträge mehr erstellen, da ‚domain.tld‘ und ‚*.domain.tld‘ schon auf den jeweiligen Webserver (Ziel ‚auto‘) zeigen. Sollte dies in Ausnahmefällen nicht so sein, wird ein neuer A-Record mit Ziel ‚auto‘ erstellt.
  7. Das Zertifikat wird in Rechnung gestellt.

Was ändert sich für Sie als Kunde?

Von den nachfolgenden Änderungen sind nur neu bestellte SSL-Zertifikate betroffen:

  • Da das Zertifikat nun über die IP des Webservers aufgerufen wird und jeder Webserver bei uns auch eine IPv6 -Adresse hat, können die neuen Zertifikate direkt über IPv6 aufgerufen werden.
  • In der SSL-Zertifikatsübersicht im Kundenmenü zeigen wir die IP des betroffenen Webservers an.
  • Sie sehen bei den Nameservereinträgen zur jeweiligen Domain für das neue SSL-Zertifikat keinen zusätzlichen Nameserver-Eintrag mehr.

Weiterführende technische Erklärungen zu SNI: https://de.wikipedia.org/wiki/Server_Name_Indication

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.