Dieser Leitfaden erklärt, wie man die detaillierten Informationen, die von Qualys SSL Labs (https://www.ssllabs.com/ssltest/) bereitgestellt werden, korrekt interpretiert. Diese können ohne den entsprechenden Kontext manchmal technisch oder alarmierend erscheinen.

Vorwort

• Qualys SSL Labs ist ein weit verbreitetes Analyse-Tool zur Bewertung der SSL/TLS-Konfiguration von Websites.
• Die Warnungen in ihren Berichten sind oft nur technische Details, die keine Auswirkungen auf die Sicherheit oder das SEO der Website haben.

Mehrere Zertifikate in den SSL Labs-Berichten

Wenn SSL Labs eine Website analysiert, können mehrere nummerierte Zertifikate (Zertifikat #1, Zertifikat #2 usw.) angezeigt werden. Dies geschieht aus mehreren Gründen:

1. Hauptzertifikat (#1): Das Zertifikat, das präsentiert wird, wenn SNI (Server Name Indication) verwendet wird.
   • SNI ist eine TLS-Erweiterung, die es einem Server ermöglicht, mehrere SSL-Zertifikate für verschiedene Domänen auf derselben IP-Adresse zu hosten. Wenn ein Browser eine Verbindung herstellt, gibt er den Domainnamen an, den er erreichen möchte.
2. Sekundäres Zertifikat (#2): Das Zertifikat, das präsentiert wird, wenn SNI nicht verwendet wird oder bei einer direkten Verbindung per IP.

Ein Hinweis "No SNI" im Zertifikat #2 ist kein Fehler. Er bedeutet einfach, dass SSL Labs getestet hat, was passiert, wenn ein Client eine Verbindung herstellt, ohne SNI-Informationen bereitzustellen. In diesem Fall:

• Der Server stellt ein Backup-Zertifikat (oft ein generisches oder Vorschau-Zertifikat) bereit.
• Diese Situation betrifft nur sehr veraltete Clients, die SNI nicht unterstützen.
• Moderne Browser verwenden alle SNI und erhalten daher das Zertifikat #1.

Probleme mit der Zertifikatskette

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Diese Warnungen bedeuten nicht unbedingt, dass das Zertifikat fehlerhaft ist:

• Incorrect order: Die Zwischenzertifikate werden nicht in der optimalen Reihenfolge präsentiert.
• Extra certs: Zusätzliche, nicht notwendige Zertifikate sind enthalten.
• Contains anchor: Das Root-Zertifikat ist in der Kette enthalten.

Das TLS-Protokoll ermöglicht es, das Root-Zertifikat auszulassen, da es normalerweise bereits in den Zertifikatspeichern der Browser vorhanden ist. Es einzuschließen ist kein Fehler, sondern eine Redundanz.

"Alternative names mismatch"

Für das Hilfszertifikat (#2) ist die Warnung "MISMATCH" normal, da:

• Dieses Zertifikat ist für eine andere Domain (preview.infomaniak.website) ausgelegt.
• Es wird nur angezeigt, wenn SNI nicht verwendet wird.
• Der Browser, der dieses Zertifikat erhält, würde es als nicht mit der angeforderten Domain übereinstimmend identifizieren, dies beeinflusst jedoch keine normalen Verbindungen mit SNI.

In Bezug auf SEO-Bedenken:

• Google und andere Suchmaschinen verwenden moderne Browser, die SNI unterstützen.
• Sie erhalten das Zertifikat #1, das für Ihre Domain gültig ist.
• Warnungen bezüglich des Zertifikats #2 haben keinen Einfluss auf die Suchmaschinenoptimierung.
• Nur Probleme mit dem Hauptzertifikat (#1) könnten die SEO beeinflussen.

Diese Konfiguration ist perfekt für ein Shared Hosting geeignet, bei dem mehrere Websites dieselbe Infrastruktur teilen, wobei ein Vorschauzertifikat als Backup-Lösung dient.