Dieser Leitfaden erklärt, wie man die detaillierten Informationen, die von Qualys SSL Labs (https://www.ssllabs.com/ssltest/) bereitgestellt werden, korrekt interpretiert. Diese können manchmal technisch oder alarmierend erscheinen, wenn der richtige Kontext fehlt.

Vorwort

• Qualys SSL Labs ist ein weit verbreitetes Analyse-Tool zur Bewertung der SSL/TLS-Konfiguration von Websites.
• Die Warnungen in ihren Berichten sind oft nur technische Details, die keinen Einfluss auf die Sicherheit oder das SEO der Website haben.

Mehrere Zertifikate in den SSL Labs-Berichten

Wenn SSL Labs eine Website analysiert, kann es mehrere nummerierte Zertifikate anzeigen (Zertifikat #1, Zertifikat #2 usw.). Dies geschieht aus mehreren Gründen:

1. Hauptzertifikat (#1): Das Zertifikat, das angezeigt wird, wenn SNI (Server Name Indication) verwendet wird.
   • SNI ist eine TLS-Erweiterung, die es einem Server ermöglicht, mehrere SSL-Zertifikate für verschiedene Domänen auf derselben IP-Adresse zu hosten. Wenn ein Browser eine Verbindung herstellt, gibt er den Domänennamen an, den er erreichen möchte.
2. Sekundäres Zertifikat (#2): Das Zertifikat, das angezeigt wird, wenn SNI nicht verwendet wird oder bei einer direkten IP-Verbindung.

Ein Hinweis "No SNI" im Zertifikat #2 ist kein Fehler. Er bedeutet einfach, dass SSL Labs getestet hat, was passiert, wenn sich ein Client ohne SNI-Informationen verbindet. In diesem Fall:

• Der Server stellt ein Ersatzzertifikat (oft ein generisches oder Vorschauzertifikat) bereit.
• Diese Situation betrifft nur sehr veraltete Clients, die SNI nicht unterstützen.
• Moderne Browser verwenden alle SNI und erhalten daher das Zertifikat #1.

Probleme mit Zertifikatsketten

"Kettenprobleme: Falsche Reihenfolge, Zusätzliche Zertifikate, Enthält Anker"

Diese Warnungen bedeuten nicht unbedingt, dass das Zertifikat fehlerhaft ist:

• Incorrect order: Die Zwischenzertifikate werden nicht in der optimalen Reihenfolge präsentiert.
• Extra certs: Unnötige zusätzliche Zertifikate sind enthalten.
• Contains anchor: Das Stammzertifikat ist in der Kette enthalten.

Das TLS-Protokoll ermöglicht es, das Stammzertifikat wegzulassen, da es normalerweise bereits in den Zertifikatspeichern der Browser vorhanden ist. Es ist nicht falsch, es einzubeziehen, aber es ist redundant.

„Alternative names mismatch“

Für das Backup-Zertifikat (#2) ist die Warnung "MISMATCH" normal, weil:

• Dieses Zertifikat ist für eine andere Domain (preview.infomaniak.website) konzipiert.
• Er wird nur angezeigt, wenn SNI nicht verwendet wird.
• Der Browser, der dieses Zertifikat erhält, würde es als nicht mit der angeforderten Domain übereinstimmend identifizieren, aber dies beeinträchtigt die normalen Verbindungen mit SNI nicht.

Was SEO-Bedenken betrifft:

• Google und die anderen Suchmaschinen verwenden moderne Browser, die SNI unterstützen.
• Sie erhalten das Zertifikat #1, das für Ihre Domain gültig ist.
• Die Warnungen bezüglich Zertifikat #2 haben keinen Einfluss auf die Suchmaschinenoptimierung.
• Nur Probleme mit dem Hauptzertifikat (#1) könnten die SEO beeinflussen.

Diese Konfiguration ist perfekt für ein Shared Hosting geeignet, bei dem mehrere Websites dieselbe Infrastruktur teilen, mit einem Vorschau-Zertifikat als Backup-Lösung.