Diese Anleitung erklärt, wie Sie ein SSL-Zertifikat aus dem Infomaniak Manager herunterladen oder exportieren.

Vorwort

• Das Herunterladen des Zertifikats erzeugt eine Datei im Format .zip.
• Das Archiv enthält die Dateien .key und .crt (sowie _windows.pfx & .protected.key je nach Zertifikatstyp):
  
• Es wird empfohlen, dieses Zertifikat und seinen privaten Schlüssel an einem sicheren Ort aufzubewahren, da Letzterer den Zugriff auf Ihre verschlüsselten Daten ermöglichen könnte.

Ein SSL-Zertifikat exportieren oder herunterladen

Um auf die Verwaltung Ihrer Zertifikate zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?):
   
2. Filtern Sie bei Bedarf Ihre Zertifikatstypen, indem Sie auf das dafür vorgesehene Symbol klicken.
3. Zeigen Sie verschiedene Zertifikatstypen wie Let's Encrypt, Sectigo DV & EV an...
4. Fügen Sie die Zertifikate hinzu, die angezeigt werden sollen.
5. Wenden Sie die Filter an:
   
6. Die Tabelle zeigt nur noch die von Ihnen ausgewählten Zertifikatstypen an.

Ein Let's Encrypt-Zertifikat exportieren

1. Klicken Sie direkt auf den Namen, der dem Zertifikat Let's Encrypt in der Liste zugewiesen ist:
   
2. Klicken Sie auf das Aktionsmenü ⋮ rechts neben dem betreffenden Objekt in der angezeigten Tabelle.
3. Wählen Sie Zertifikat exportieren und folgen Sie den Anweisungen, um das Archiv auf Ihr Gerät herunterzuladen:
   

Ein Sectigo-Zertifikat exportieren

1. Klicken Sie direkt auf den Namen, der dem Zertifikat in der Zertifikatsliste zugewiesen ist.
2. Klicken Sie auf die Schaltfläche Verwalten.
3. Klicken Sie auf Zertifikat herunterladen und folgen Sie den Anweisungen, um das Archiv auf Ihr Gerät herunterzuladen:
   

Dieser Leitfaden erklärt, wie Sie einen oder mehrere CAA-Eintrag(e) hinzufügen oder ändern in der DNS-Zone (eines Domainnamens), die auf dem Manager von Infomaniak verwaltet wird.

Vorwort

• Ein CAA-Eintrag ermöglicht es, eine Zertifizierungsstelle zu spezifizieren, die berechtigt ist, Zertifikate für eine Domain auszustellen.

CAA hinzufügen

Um diesen Eintragstyp in einer DNS-Zone zu verwalten:

1. Hier klicken, um auf die Verwaltung Ihrer Domain im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen der betreffenden Domain.
3. Klicken Sie auf DNS-Zone im linken Seitenmenü.
4. Klicken Sie auf die Schaltfläche, um einen Eintrag hinzuzufügen:
   
5. Klicken Sie auf die Optionsschaltfläche CAA um einen Eintrag hinzuzufügen.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Geben Sie die für Ihre DNS-Zone erforderlichen CAA-Werte ein: Wenn es darum geht, ein SSL-Zertifikat zu validieren, nehmen Sie die folgenden Informationen zur Kenntnis.
8. Speichern Sie Ihre Informationen, indem Sie auf die Schaltfläche am unteren Rand der Seite klicken.

Hinzufügen von CAA zur Validierung eines SSL-Zertifikats…

… Sectigo

Im Falle der Validierung eines SSL-Zertifikats von Sectigo, folgen Sie der allgemeinen Anleitung, geben Sie jedoch speziell die folgenden Daten ein:

• Wählen Sie „Ausgestellt für Zertifizierungsstelle“.
• Geben Sie den Flag: 0 ein.
• Geben Sie sectigo.com an.

… Let's Encrypt

Im Falle einer Validierung eines SSL-Zertifikats von Let's Encrypt, folgen Sie der allgemeinen Anleitung, geben Sie jedoch die folgenden Daten speziell an:

• Wählen Sie „Ausgestellt für Zertifizierungsstelle“.
• Geben Sie den Flag: 0 ein.
• Geben Sie letsencrypt.org an.

Dieser Leitfaden erklärt, wie man die detaillierten Informationen, die von Qualys SSL Labs (https://www.ssllabs.com/ssltest/) bereitgestellt werden, korrekt interpretiert. Diese können ohne den entsprechenden Kontext manchmal technisch oder alarmierend erscheinen.

Vorwort

• Qualys SSL Labs ist ein weit verbreitetes Analyse-Tool zur Bewertung der SSL/TLS-Konfiguration von Websites.
• Die Warnungen in ihren Berichten sind oft nur technische Details, die keine Auswirkungen auf die Sicherheit oder das SEO der Website haben.

Mehrere Zertifikate in den SSL Labs-Berichten

Wenn SSL Labs eine Website analysiert, können mehrere nummerierte Zertifikate (Zertifikat #1, Zertifikat #2 usw.) angezeigt werden. Dies geschieht aus mehreren Gründen:

1. Hauptzertifikat (#1): Das Zertifikat, das präsentiert wird, wenn SNI (Server Name Indication) verwendet wird.
   • SNI ist eine TLS-Erweiterung, die es einem Server ermöglicht, mehrere SSL-Zertifikate für verschiedene Domänen auf derselben IP-Adresse zu hosten. Wenn ein Browser eine Verbindung herstellt, gibt er den Domainnamen an, den er erreichen möchte.
2. Sekundäres Zertifikat (#2): Das Zertifikat, das präsentiert wird, wenn SNI nicht verwendet wird oder bei einer direkten Verbindung per IP.

Ein Hinweis "No SNI" im Zertifikat #2 ist kein Fehler. Er bedeutet einfach, dass SSL Labs getestet hat, was passiert, wenn ein Client eine Verbindung herstellt, ohne SNI-Informationen bereitzustellen. In diesem Fall:

• Der Server stellt ein Backup-Zertifikat (oft ein generisches oder Vorschau-Zertifikat) bereit.
• Diese Situation betrifft nur sehr veraltete Clients, die SNI nicht unterstützen.
• Moderne Browser verwenden alle SNI und erhalten daher das Zertifikat #1.

Probleme mit der Zertifikatskette

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Diese Warnungen bedeuten nicht unbedingt, dass das Zertifikat fehlerhaft ist:

• Incorrect order: Die Zwischenzertifikate werden nicht in der optimalen Reihenfolge präsentiert.
• Extra certs: Zusätzliche, nicht notwendige Zertifikate sind enthalten.
• Contains anchor: Das Root-Zertifikat ist in der Kette enthalten.

Das TLS-Protokoll ermöglicht es, das Root-Zertifikat auszulassen, da es normalerweise bereits in den Zertifikatspeichern der Browser vorhanden ist. Es einzuschließen ist kein Fehler, sondern eine Redundanz.

"Alternative names mismatch"

Für das Hilfszertifikat (#2) ist die Warnung "MISMATCH" normal, da:

• Dieses Zertifikat ist für eine andere Domain (preview.infomaniak.website) ausgelegt.
• Es wird nur angezeigt, wenn SNI nicht verwendet wird.
• Der Browser, der dieses Zertifikat erhält, würde es als nicht mit der angeforderten Domain übereinstimmend identifizieren, dies beeinflusst jedoch keine normalen Verbindungen mit SNI.

In Bezug auf SEO-Bedenken:

• Google und andere Suchmaschinen verwenden moderne Browser, die SNI unterstützen.
• Sie erhalten das Zertifikat #1, das für Ihre Domain gültig ist.
• Warnungen bezüglich des Zertifikats #2 haben keinen Einfluss auf die Suchmaschinenoptimierung.
• Nur Probleme mit dem Hauptzertifikat (#1) könnten die SEO beeinflussen.

Diese Konfiguration ist perfekt für ein Shared Hosting geeignet, bei dem mehrere Websites dieselbe Infrastruktur teilen, wobei ein Vorschauzertifikat als Backup-Lösung dient.

Dieser Leitfaden erklärt, wie Sie ein Zertifikat erstellen und dann automatisch erneuern können, indem Sie eine wildcard über eine DNS-Herausforderung mit Certbot und dem Plugin dns-infomaniak verwenden.

1. Installation des DNS-Infomaniak-Plugins

DNS-Plugins sind mit Certbot nicht standardmäßig installiert. Um certbot und das Plugin dns-infomaniak korrekt zu installieren, um einen möglichen Fehler The requested dns-infomaniak plugin does not appear to be installed zu vermeiden, beachten Sie die offiziellen Certbot-Anweisungen und wählen Sie die richtigen Software → System und konsultieren Sie dann die Registerkarte Wildcard.

2. Erstellen des Wildcard-Zertifikats

Öffnen Sie ein Terminal und führen Sie den folgenden Certbot-Befehl aus, um das Zertifikat manuell zu erstellen:

certbot certonly --manual \
-d *.domain.tld \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory

3. Erstellen Sie die TXT-Eintragung

Über die Domainverwaltung des Infomaniak Managers, erstellen Sie die angeforderte TXT-Eintragung für _acme_challenge.domain.tld.

4. Erstellen Sie die Konfigurationsdatei für die Erneuerung

Öffnen Sie ein Terminal und erstellen oder bearbeiten Sie die Datei: /etc/letsencrypt/renewal/domain.tld.conf. Beispiel für die empfohlene Konfiguration:

cert = /etc/letsencrypt/live/domain.tld/cert.pem
privkey = /etc/letsencrypt/live/domain.tld/privkey.pem
chain = /etc/letsencrypt/live/domain.tld/chain.pem
fullchain = /etc/letsencrypt/live/domain.tld/fullchain.pem
[renewalparams]
authenticator = manual
manual_auth_hook = /root/infomaniak-auth.sh
manual_cleanup_hook = /root/infomaniak-clean.sh
server = https://acme-v02.api.letsencrypt.org/directory
pref_challs = dns-01
account = xxxxx
key_type = rsa

Einige Fehler stammen von automatisch von Certbot erstellten Dateien, die veraltete oder falsche Felder enthalten (version = ..., cert-path = ..., usw.). Erstellen Sie immer die Datei renewal neu, indem Sie dem obigen Beispiel folgen.

5. Erstellen Sie das Skript infomaniak-auth.sh

Über die API-Verwaltung des Infomaniak Managers, erstellen Sie ein Infomaniak-API-Token mit dem Bereich domain, das XXXXXXX im folgenden Skript ersetzt.

Die in Ihrer Konfiguration angegebene Datei muss unbedingt mit dem tatsächlichen Namen des Skripts übereinstimmen. Beispiel: Wenn Sie infomaniak-auth.sh in der Konfiguration verwenden, erstellen Sie nicht infomaniak-auth-domain.xyz.sh.

Öffnen Sie ein Terminal und erstellen Sie die Datei /root/infomaniak-auth.sh ohne Tabulatoren am Zeilenende (diese verursachen Fehler in Bash) mit:

#!/bin/bash
INFOMANIAK_API_TOKEN="XXXXXXX"
# Ajout de l'enregistrement TXT via le plugin DNS Infomaniak
/usr/bin/certbot \
  --authenticator dns-infomaniak \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "$CERTBOT_DOMAIN" \
  --agree-tos

Das Skript muss ausführbar gemacht werden:

chmod +x /root/infomaniak-auth.sh

6. Erstellen Sie ein Reinigungsskript

Erstellen Sie die Datei /root/infomaniak-clean.sh

#!/bin/bash
# Optionnel : suppression de l'entrée DNS temporaire
exit 0

Das Skript muss ausführbar gemacht werden:

chmod +x /root/infomaniak-clean.sh

7. Testen Sie die Erneuerung

Bevor Sie einen Cron verwenden, testen Sie immer mit diesem Befehl, der mögliche Fehler anzeigt (Skript nicht gefunden, falscher Dateiname, fehlende Berechtigungen, fehlendes Plugin usw.):

certbot renew --dry-run

8. Konfigurieren Sie eine Cron-Aufgabe

0 0 */30 * * /usr/bin/certbot renew --quiet --config /etc/letsencrypt/renewal/domain.tld.conf

Ändern Sie 30 Tage oben entsprechend der gewünschten Häufigkeit. Der Cron wird automatisch verwenden:

• die Datei domain.tld.conf
• das Authentifizierungsskript infomaniak-auth.sh
• das Plugin dns-infomaniak

Diese Anleitung erklärt, wie…

1. … eine CSR und einen privaten Schlüssel erstellen, um ein Zertifikat von einer Zertifizierungsstelle (CA) zu beantragen,
2. … dieses Zertifikat für Ihre Infomaniak-Website importieren, mithilfe der CRT, die Sie von der CA erhalten haben.

Vorbemerkung

• Obwohl Infomaniak alle SSL-Zertifikate anbietet, die Sie benötigen könnten…
  • kostenlose Let's Encrypt Zertifikate für persönliche Websites (nur möglich mit bei Infomaniak gehosteten Websites),
  • DV Zertifikate von Sectigo für berufliche/private Websites, die nicht im Handelsregister eingetragen sind,
  • EV Zertifikate von Sectigo für Unternehmen, die im Handelsregister eingetragen sind,
• … es ist auch möglich, ein SSL-Zertifikat zu installieren, das woanders erhalten wurde (Zwischenzertifikat/intermediate von einer Zertifizierungsstelle Ihrer Wahl), benutzerdefinierte oder selbstsignierte Zertifikate.

1. Eine CSR (Certificate Signing Request) erstellen

Eine CSR (Certificate Signing Request oder Zertifikatsignieranfrage) ist eine codierte Datei, die die notwendigen Informationen zum Anfordern eines SSL/TLS-Zertifikats enthält.

Sie muss auf Ihrer Seite erstellt werden, um sicherzustellen, dass der private Schlüssel unter Ihrer Kontrolle bleibt, indem Sie beispielsweise OpenSSL verwenden.

Passen Sie den folgenden Befehl an und führen Sie ihn in einer Anwendung vom Typ Terminal (Kommandzeilenschnittstelle, CLI / Command Line Interface) auf Ihrem Gerät aus:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Erläuterungen

• newkey rsa:2048: Erzeugt einen neuen RSA-Schlüssel mit 2048 Bit.
• keyout domain.xyz.key: Gibt die Datei an, in der der private Schlüssel gespeichert wird.
• out domain.xyz.csr: Gibt die Datei an, in der die CSR gespeichert wird.
• addext „subjectAltName = ...“: Fügt zusätzliche Domänen über die Erweiterung SAN (Subject Alternative Name) hinzu, die erforderlich ist, um alle gewünschten Domänen im Zertifikat zu enthalten (die Hauptdomäne domain.xyz + jede andere zugehörige Domäne oder Subdomäne, wie www.domain.xyz).

Nach der Erstellung können Sie den Inhalt der CSR mit dem folgenden Befehl überprüfen:

openssl req -in domain.xyz.csr -noout -text

Dadurch wird überprüft, dass alle in subjectAltName aufgeführten Domänen korrekt enthalten sind.

Sobald die CSR erstellt wurde, können Sie diese an die Zertifizierungsstelle (CA) senden, um Ihr SSL/TLS-Zertifikat zu erhalten.

2. Externes Zertifikat importieren

Nach der Validierung stellt die CA ein Zertifikat (domain.xyz.crt) und manchmal ein Zwischenzertifikat (ca_bundle.crt) aus. Um auf die Verwaltung der SSL-Zertifikate zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigen?).
2. Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugeordnet ist.
3. Klicken Sie auf SSL-Zertifikate im linken Seitenmenü.
4. Klicken Sie auf die blaue Schaltfläche Zertifikat installieren:
   
5. Wählen Sie das benutzerdefinierte Zertifikat aus.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Importieren Sie Ihr Zertifikat und den privaten Schlüssel, entweder durch Importieren der Dateien .crt und .key oder durch Kopieren und Einfügen.
8. Klicken Sie auf Abschließen:
   

Alternative Befehl zum Generieren eines selbstsignierten Zertifikats (optional)

Wenn Sie ein lokales Zertifikat nur für Tests oder ohne eine CA (nicht für die Produktion empfohlen) benötigen, können Sie diesen Befehl verwenden:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Dies erzeugt sowohl ein selbstsigniertes Zertifikat (domain.xyz.crt) als auch einen privaten Schlüssel (domain.xyz.key). Selbstsignierte Zertifikate werden jedoch von Browsern oder öffentlichen Systemen nicht als gültig anerkannt. Sie eignen sich nur für interne oder Entwicklungsumgebungen.

Ein Zwischenzertifikat importieren

Beim Hinzufügen eines benutzerdefinierten SSL-Zertifikats ist es möglich, das Zwischenzertifikat zu importieren (durch Importieren der .crt Datei oder Einfügen der vom Zertifizierungsstellen bereitgestellten Daten):

Dieser Leitfaden erklärt, wie Sie eine Zertifikatsanforderung (CSR) für einen Domainnamen und alle seine Subdomains mit einem Webhosting (ausgenommen kostenloses Hosting des Typs Starter) erstellen.

Damit können Sie die Verbindung zu Ihrem Domainnamen und allen seinen Subdomains per SSL verschlüsseln.

Wildcard-Zertifikat einrichten

1. Domain-Alias mit Sternchen * hinzufügen

Um einen Alias des Typs * zu Ihrer Website hinzuzufügen:

1. Hier klicken, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen des betreffenden Produkts:
   
3. Klicken Sie dann auf den Pfeil ‍, um den Abschnitt Domains dieser Website zu erweitern.
4. Klicken Sie auf die Schaltfläche Domain hinzufügen:
   
5. Geben Sie den hinzuzufügenden Domainnamen in dieser Form ein:
   • *.domain.xyz (das Sternchen ist erforderlich, gefolgt von einem Punkt und dem Domainnamen der Website, in diesem Beispiel domain.xyz)
6. Klicken Sie auf die Schaltfläche Bestätigen, um den Vorgang abzuschließen:
   

2. SSL-Zertifikat installieren oder aktualisieren

Beispiel für die Aktualisierung des bestehenden Zertifikats, um die Wildcard-Subdomain * zu integrieren:

1. Hier klicken, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen des betreffenden Produkts.
3. Klicken Sie auf SSL im linken Seitenmenü.
4. Klicken Sie auf das Aktionsmenü ⋮, das sich rechts befindet.
5. Klicken Sie auf Zertifikat ändern:
   
6. Wählen Sie dasselbe Zertifikat aus, das Sie bereits besitzen.
7. Klicken Sie auf die Schaltfläche Weiter:
   
8. Stellen Sie sicher, dass das kürzlich hinzugefügte Subdomain ausgewählt ist.
9. Klicken Sie auf die Schaltfläche Installieren unten:
   
10. Warten Sie, bis die Erstellung oder Aktualisierung abgeschlossen ist.

Dieser Leitfaden erklärt, wie Sie ein kostenloses SSL-Zertifikat von Let's Encrypt auf einer bei Infomaniak gehosteten Website installieren.

Einleitung

• Sobald das Zertifikat installiert ist, ist Ihre Website über http und https zugänglich …
  • Falls erforderlich, leiten Sie alle Ihre Besucher automatisch auf die sichere https-Website um.
• Wenn Sie einen kürzlich hinzugefügten Alias-Domänennamen in Ihre Website einbinden möchten, die bereits ein Zertifikat besaß, müssen Sie es aktualisieren.
• Für mehrere Subdomänen beachten Sie diesen anderen Leitfaden.
• Let's Encrypt begrenzt die Installation von Zertifikaten auf:
  • 100 Subdomänen
  • 20 Zertifikate für 7 Tage pro registrierte Domäne
  • 5 fehlgeschlagene Anfragen pro Konto pro Hostname pro Stunde

Ein kostenloses SSL-Zertifikat auf einer Website installieren

Voraussetzungen

• Damit die Installation möglich ist, müssen die DNS-Einträge der Domäne korrekt konfiguriert sein, um auf die betreffende Website zu verweisen.
• Wenn gerade eine Änderung auf dieser Ebene vorgenommen wurde, funktionieren möglicherweise nicht alle Operationen sofort.

Um auf die Websites zuzugreifen, um dort ein SSL-Zertifikat zu installieren:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugewiesen wurde:
   
3. Klicken Sie auf Konfigurieren unter SSL-Zertifikat:
   
4. Klicken Sie auf die Schaltfläche Zertifikat installieren:
   
5. Wählen Sie das kostenlose Zertifikat aus.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Überprüfen oder wählen Sie die betreffenden Domänen aus.
8. Klicken Sie auf die Schaltfläche Installieren:
   
9. Warten Sie einige Minuten, bis das Zertifikat auf der Website erhalten wird.

Dieser Leitfaden schlägt Lösungen vor, um häufige Probleme und Fehler zu beheben, die auftreten können, wenn Sie versuchen, Ihre Website unter https nach der Aktivierung eines SSL-Zertifikats anzuzeigen.

Der Webbrowser zeigt automatisch die HTTP-Version der Website an, wenn Sie versuchen, darauf über HTTPS zuzugreifen

Es wird empfohlen, die folgenden Maßnahmen zu ergreifen:

• Leeren Sie den Cache Ihrer Anwendungen oder Ihrer Website.
• Überprüfen Sie, ob die Seiten und die Skripte der Website keine Umleitungen zur http-Version der Website enthalten.
• Überprüfen Sie, ob die Datei .htaccess der Website keine Umleitungen zur http-Version der Website enthält.
• Legen Sie die https-Adresse der Website als Standard fest:
  • mit WordPress Infomaniak
  • für die anderen Fälle

Die Website wird falsch angezeigt (fehlende Bilder, nicht unterstützte Stylesheets usw.) oder zeigt eine Warnung in der Adressleiste an

Es wird empfohlen, die folgenden Maßnahmen zu ergreifen:

• Leeren Sie den Cache Ihrer Anwendungen oder Ihrer Website.
• Überprüfen Sie, ob die Seiten und die Skripte nicht auf externe Ressourcen in http verweisen; die Website whynopadlock.com kann Ihnen helfen, die nicht gesicherten Elemente Ihrer Website zu identifizieren.
• Nehmen Sie auch Kenntnis von diesem anderen Leitfaden zu diesem Thema.

"Diese Webseite enthält eine Umleitungs-Schleife", "ERR_TOO_MANY_REDIRECTS"

Wenn Ihr Webbrowser diesen Fehler anzeigt, wird empfohlen, die folgenden Maßnahmen zu ergreifen:

• Wenn die Website mit einer Webanwendung wie WordPress oder Joomla funktioniert, deaktivieren Sie die Erweiterungen nacheinander, um diejenige zu identifizieren, die das Problem verursacht.
• Überprüfen Sie, ob die Seiten und die Skripte der Website keine Umleitungen zur Version http der Website enthalten.
• Versuchen Sie, HSTS zu deaktivieren.
• Wenn Prestashop verwendet wird, muss SSL auf allen Seiten aktiviert werden:
  1. Fügen Sie Ihre SSL-Domäne hinzu:
     • Gehen Sie zu Einstellungen > SEO & URLs.
     • Im Abschnitt "Shop-URL" geben Sie die Adresse Ihrer Website im Feld "SSL-Domäne" ein (ohne https://, nur www.domain.xyz).
  2. Aktivieren Sie SSL:
     • Gehen Sie zu Einstellungen > Allgemeine Einstellungen.
     • Oben auf der Seite klicken Sie auf "Hier klicken, um das HTTPS-Protokoll zu verwenden, bevor der SSL-Modus aktiviert wird."
     • Eine neue Seite wird sich mit Ihrer Website in der gesicherten HTTPS-Version öffnen.
  3. Erzwingen Sie die Verwendung von SSL auf der gesamten Website:
     • Kehren Sie zu Einstellungen > Allgemeine Einstellungen zurück.
     • Stellen Sie die Option "SSL aktivieren" auf JA.
     • Stellen Sie auch "SSL für alle Seiten erzwingen" auf JA.

Ein altes SSL-Zertifikat wird angezeigt - SSL-Cache leeren

Webbrowser speichern SSL-Zertifikate, um die Navigation zu beschleunigen. Normalerweise ist das kein Problem. Wenn Sie jedoch Seiten für Ihre Website entwickeln oder ein neues Zertifikat installieren, kann der SSL-Status des Browsers störend sein. Zum Beispiel könnten Sie das Schloss-Symbol in der Adressleiste des Browsers nach der Installation eines neuen SSL-Zertifikats nicht sehen.

Das Erste, was Sie in diesem Fall tun sollten, ist sicherzustellen, dass die Domain auf die IP-Adresse des Servers zeigt (A- und AAAA-Einträge) und wenn immer noch das falsche SSL-Zertifikat zurückgegeben wird, leeren Sie den SSL-Cache:

• Chrome: Gehen Sie zu den Einstellungen und klicken Sie auf Einstellungen. Klicken Sie auf Erweiterte Einstellungen anzeigen. Unter Netzwerk klicken Sie auf Proxyeinstellungen ändern. Das Dialogfeld Internetoptionen wird angezeigt. Klicken Sie auf die Registerkarte Inhalt. Klicken Sie auf SSL-Zustand löschen, und klicken Sie dann auf OK. Nehmen Sie weitere Hinweise in diesem anderen Leitfaden zur Kenntnis.
• Firefox: Gehen Sie zu Chronik. Klicken Sie auf Letzte Chronik löschen und wählen Sie Aktive Verbindungen aus, dann klicken Sie auf Jetzt löschen.

Verlust der CSS-Formatierung

Wenn die Website ohne CSS-Stil angezeigt wird, analysieren Sie das Laden der Seiten mit der Browserkonsole. Möglicherweise gibt es Fehler mit gemischten Inhalten (mixed content), die Ihre Styles .css betreffen, die behoben werden müssen, damit sie wieder korrekt geladen werden.

Cloudflare

Wenn Sie Cloudflare verwenden, nehmen Sie sich diesen anderen Leitfaden zu diesem Thema zur Kenntnis.

Dieser Leitfaden erklärt, wie Sie ein SSL-Zertifikat unabhängig von seinem Typ deinstallieren, das ursprünglich über den Infomaniak Manager installiert wurde. Wenn Ihr Zertifikat kostenpflichtig ist und Sie das laufende Angebot lieber kündigen möchten, nehmen Sie sich bitte diesen anderen Leitfaden zur Kenntnis.

SSL-Zertifikat entfernen

Um ein Infomaniak-Zertifikat zu deinstallieren:

1. Klicken Sie hier, um auf die Verwaltung Ihres SSL-Zertifikats im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen des betreffenden Produkts:
   
3. Klicken Sie auf das Aktionsmenü ⋮ rechts neben dem betreffenden Element.
4. Klicken Sie auf Deinstallieren:
   
5. Bestätigen Sie die Deinstallation des Zertifikats.

Dieser Leitfaden beschreibt die Bedingungen und das Verfahren zur Erlangung eines Sectigo EV SSL-Zertifikats bei Infomaniak.

Vorwort

• SSL-Zertifikate mit erweiterten Validierung (EV) können nur an Organisationen, Unternehmen und Gesellschaften vergeben werden, die bei einer anerkannten staatlichen Behörde (wie einem Handelsregister) rechtmäßig registriert sind.
  • Die DV-Zertifikate von Sectigo und Let's Encrypt unterliegen dieser Einschränkung nicht.
  • Vergleichen Sie die verfügbaren SSL-Zertifikate
• Bei Problemen mit der Validierung von DV- oder EV-Zertifikaten, nehmen Sie sich bitte die Zeit, diesen anderen Leitfaden.

Validierungsverfahren für EV-Zertifikate

Die Erlangung eines EV SSL-Zertifikats kann bis zu 24 Stunden in Anspruch nehmen und erfordert gültige Informationen vom Kunden.

Dieses Verfahren wird alle 12 Monate wiederholt, unabhängig von der gewählten Abonnementdauer für das EV-Zertifikat.

1. Überprüfung der Unternehmensdaten

Die Daten, die zum Zertifikat hinzugefügt werden, müssen zunächst von einer unabhängigen Quelle überprüft werden:

• der rechtliche oder handelsrechtliche Name
• die Rechtsform
• die Adresse
• die Postleitzahl
• die Region / der Kanton / das Département
• das Land / die Landescode

Achtung:

• Der Name des Unternehmens muss genau mit dem im Register oder der Handelskammer eingetragenen übereinstimmen; der Auftrag kann nur bearbeitet werden, wenn der angegebene Name registriert und korrekt vermerkt ist.
• Nur der eingetragene rechtliche Name oder der Markenname gefolgt vom rechtlichen Namen in Klammern ist zulässig [Beispiel: Handelsname (Rechtlicher Name)]; für Einheiten ohne rechtlichen Namen können alle Handelsnamen verwendet werden.
• Es ist verboten, eine Postanschrift zu verwenden.

Angesichts dessen kann es notwendig sein, einen neuen Antrag mit korrekten Daten im CSR zu stellen, und Infomaniak kann auch Ihre Zustimmung benötigen, um Änderungen an den bei der Bestellung angegebenen Informationen vorzunehmen.

2. Überprüfung der Daten im WHOIS-Verzeichnis

Das WHOIS-Verzeichnis zeigt die Informationen des Besitzers einer Domain an. Diese Daten müssen mit den bei der Bestellung des EV-SSL-Zertifikats angegebenen Informationen übereinstimmen.

Um die Informationen einer Domain im WHOIS zu aktualisieren:

• Wenn Ihre Domain bei Infomaniak verwaltet wird, nehmen Sie sich diesen anderen Leitfaden zur Kenntnis hier.
• Wenn Ihre Domain nicht bei Infomaniak verwaltet wird, wenden Sie sich an Ihren Hosting-Anbieter/Registrar.

3. Vertrag & Validierung für das EV-Zertifikat

Nach der Bestellung eines EV-Zertifikats erhält die von der Bestellung benannte Kontaktperson des Unternehmens eine E-Mail von der Zertifizierungsstelle Sectigo mit den folgenden Dokumenten:

• das Antragsformular für das Zertifikat
• der Zertifikatsvertrag

Diese Dokumente sind vorab ausgefüllt und die Kontaktperson muss sie online mit Hilfe eines zusätzlichen Codes validieren. Dieser wird von einem Telefonroboter von Sectigo (die Rufnummer stammt in der Regel aus den Niederlanden, +31 88 775 77 77) mündlich an Ihre beim Handelsregister oder der Handelskammer registrierte Nummer übermittelt.

Jeder Zertifikatsantrag wird telefonisch validiert, einschließlich der Verlängerungen und Neuausstellungen von Multi-Domain-Zertifikaten.

4. Domainüberprüfung (nur für externe Websites)

Dieser Schritt überprüft, ob Sie die Kontrolle über die Domain (falls diese extern zu Infomaniak ist) haben, für die das Zertifikat beantragt wird. Die Domains von bei Infomaniak gehosteten Websites werden automatisch validiert.

Jede (Sub-)Domain muss individuell über eine der in diesem anderen Leitfaden beschriebenen Methoden genehmigt werden hier.

Dieser Leitfaden beschreibt die Bedingungen und das Verfahren zur Verwendung eines Sectigo-Zertifikats von Infomaniak auf einer bei einem Drittanbieter gehosteten Website.

Vorwort

• Sie haben die Möglichkeit, von den vorteilhaften Tarifen von Infomaniak für Ihre SSL-Zertifikate zu profitieren, während Sie Ihre Websites bei einem anderen Hosting-Anbieter verwalten.

Installation eines Sectigo-Zertifikats

Aufgrund der verschiedenen Anbieter wird die Installation Ihres Zertifikats nicht automatisch erfolgen:

1. CSR erhalten

Exportieren Sie die CSR-Konfigurationsdatei von Ihrem Hosting-Anbieter und geben Sie sie bei der Bestellung Ihres Zertifikats bei Infomaniak ein.

2. Eigentum an der Domain bestätigen

Bestätigen Sie die im Zertifikat enthaltenen Domains über eine der folgenden Methoden:

• Eingabe eines Validierungscodes, der an eine der folgenden E-Mail-Adressen gesendet wurde (die vollständige E-Mail-Adresse muss auf der zu validierenden Domain existieren, hier z.B. “domain.xyz”):
  • admin@domain.xyz
  • administrator@domain.xyz
  • hostmaster@domain.xyz
  • postmaster@domain.xyz
  • webmaster@domain.xyz
• Erstellung eines eindeutigen CNAME-Eintrags in den DNS-Einstellungen der Domain.
• Validierungs-TXT-Datei, die per FTP auf Ihre Website hochgeladen werden muss.

Dieser Leitfaden erklärt die Hauptunterschiede zwischen einem EV- und einem DV-Zertifikat.

SSL-EV-Zertifikate: für Unternehmen

Das SSL-EV-Zertifikat von Sectigo kann nur an Unternehmen ausgestellt werden, die in einem offiziellen Register eingetragen sind.

Es bietet das höchste Vertrauensniveau bei Ihren Kunden und bietet einzigartige Vorteile zusätzlich zu den Vorteilen eines DV-Zertifikats:

• Name Ihrer Gesellschaft in der Navigationsleiste
• Schloss in der Navigationsleiste
• dynamisches Sicherheits-Siegel
• Validierung Ihres Domainnamens
• manuelle Authentifizierung der Kontaktdaten und der Identität Ihres Unternehmens
• Garantie bis zu 1.750.000 USD für Endnutzer
• Support 7/7

Die Aktivierung eines SSL-EV-Zertifikats kann bis zu 24 Stunden dauern und erfordert Maßnahmen von Ihnen.

SSL-DV-Zertifikate: für Unternehmen und Privatpersonen

Das DV-Zertifikat von Sectigo steht Privatpersonen und Unternehmen offen. Es enthält nicht alle oben genannten Vorteile, bietet aber zusätzliche Vorteile gegenüber den kostenlosen SSL-Zertifikaten von Let's Encrypt:

• dynamisches Sicherheits-Siegel
• Validierung Ihres Domainnamens
• Garantie bis zu 10.000 USD für Endnutzer
• Support 7/7

Die Aktivierung eines SSL-DV-Zertifikats erfolgt sofort.

Und die Zertifikate von Let's Encrypt?

Ein kostenloses Zertifikat von Let's Encrypt bietet die gleiche Verschlüsselungsstufe wie ein EV- oder DV-Zertifikat. Allerdings bieten die Zertifikate von Let's Encrypt nicht die folgenden Vorteile:

• manuelle Validierung der Kontaktdaten und der Authentizität Ihres Unternehmens (EV)
• Garantie für Endnutzer im Falle von Betrug (EV/DV)
• Support bei Fragen

Zusammengefasst sorgen die Zertifikate von Let's Encrypt für die Verschlüsselung der Kommunikation zwischen Ihren Benutzern und Ihrer Website. Sie garantieren den Internetnutzern jedoch nicht, dass sie sich auf einer legitimen Website befinden, deren Identität von einer Zertifizierungsstelle überprüft wurde.

Die Sectigo-Garantie ist ein finanzielles Engagement von Sectigo, der Zertifizierungsstelle (CA), das darauf abzielt, den Endnutzer zu schützen.

Sie gilt nur, wenn der Nutzer einen finanziellen Verlust erleidet, der auf einen Validierungsfehler von Sectigo bei der Ausstellung des Zertifikats zurückzuführen ist.

Sie deckt keine Sicherheitslücken Ihres Servers oder falsche Konfigurationen auf Ihrer Seite ab.

Je höher das Validierungsniveau (DV < OV < EV) ist, desto höher ist in der Regel der Betrag der Sectigo-Garantie.

Vielen Dank, dass Sie sich für Infomaniak entschieden haben, um Ihre Websites mit einem EV- oder DV-SSL-Zertifikat von Sectigo zu sichern.

Haupt-SSL-Anleitungen

• Ein EV-SSL-Zertifikat von Sectigo bestellen
• Unterschied zwischen EV- und DV-Zertifikat verstehen
• Ein Sectigo-Zertifikat auf einer externen Website (anderer Hosting-Anbieter) verwenden
• Die Sectigo-Garantie für SSL-Zertifikate verstehen
• Ein Problem im Zusammenhang mit SSL/https beheben
• Ein kostenloses Let's Encrypt SSL-Zertifikat auf einer Website installieren
• Ein kostenloses "Wildcard" SSL-Zertifikat installieren
• Ein SSL-Zertifikat deinstallieren
• Ein Let's Encrypt SSL-Zertifikat aktualisieren (z. B. nach dem Hinzufügen/Löschen von Aliasen)

Zusätzliche Hilfe

• Nehmen Sie Kenntnis von allen FAQs zum SSL
• Infomaniak-Support kontaktieren

Dieser Leitfaden erklärt, wie Sie ein dynamisches Vertrauenssiegel auf einer mit einem SSL-Zertifikat von Sectigo gesicherten Website hinzufügen.

Vorwort

• Infomaniak bietet als Hosting-Anbieter SSL-Zertifikate an, um die Websites seiner Kunden zu sichern
• Sectigo (früher bekannt als Comodo) ist ein anerkannter Anbieter von SSL-Zertifikaten, der verschiedene Sicherheitsstufen bietet
• Das "dynamische Vertrauenssiegel" oder "Sectigo Trust Seal" / "Sectigo Trust Logo" ist ein visuelles Element, das Webseitenbesitzer auf ihren Seiten anzeigen können, um Besuchern zu signalisieren, dass ihre Verbindung gesichert ist. Dies ist ein Vertrauenszeichen, das den Benutzern mitteilt, dass die auf der Website durchgeführten Transaktionen und Informationsaustausche verschlüsselt und durch ein von Sectigo ausgestelltes SSL-Zertifikat geschützt sind.
• Durch die Verwendung eines SSL-Zertifikats von Sectigo und die Anzeige des dynamischen Vertrauenssiegels profitiert eine Website bei Infomaniak nicht nur von einer Sicherung des Datenaustauschs, sondern auch von einem Vertrauenszuwachs der Benutzer, der im E-Commerce und zum Schutz personenbezogener Daten unerlässlich ist.

Vertrauenssiegel hinzufügen

So funktioniert ein dynamisches Vertrauenssiegel:

1. Validierung: Um ein solches Siegel zu erhalten, muss der Website-Besitzer zunächst ein gültiges SSL-Zertifikat von Sectigo erhalten, was einen Validierungsprozess erfordert; je nach gewähltem Zertifikatsniveau (Domain Validation - DV, Organization Validation - OV oder Extended Validation - EV) kann diese Validierung mehr oder weniger tiefgehend sein
2. Installation: Sobald das SSL-Zertifikat erhalten und auf dem Infomaniak-Webserver installiert ist, kann die Website dann sichere HTTPS-Verbindungen herstellen
3. Anzeige des Siegels: Sectigo stellt einen HTML-Code oder ein Skript bereit, das der Website-Besitzer dann in seine Website integrieren kann; dieser Code ermöglicht die Anzeige des dynamischen Vertrauenssiegels von Sectigo
4. Aktualisierung: Das Siegel wird oft in Echtzeit aktualisiert, um den aktuellen Status des SSL-Zertifikats widerzuspiegeln; wenn das Zertifikat abläuft oder widerrufen wird, spiegelt das Siegel dies ebenfalls wider und warnt potenzielle Besucher, dass die Website möglicherweise nicht mehr sicher ist
    

Das Vertrauenssiegel besteht aus einem Bild und einem HTML-Code. Letzterer funktioniert nur, wenn ein Sectigo-Zertifikat auf der Website installiert ist und in diesem Fall ein interaktives Logo erzeugt, das die Zertifikatsdaten anzeigt.

Speichern Sie eines der folgenden Bilder

Klicken Sie mit der rechten Maustaste auf das zu speichernde Bild und klicken Sie dann auf Bild speichern unter...

• Klein
• Mittel
• Groß

Bild auf Ihrer Website hochladen

Senden Sie das Bild auf Ihren Webserver (über FTP oder Ihr CMS) und notieren Sie sich die URL zum Zugriff auf dieses Bild für den nächsten Schritt (z.B. https://domain.xyz/wp-content/uploads/sectigo.png).

Erhalten Sie den Code, der in Ihre Seiten integriert werden soll

Geben Sie die vollständige Adresse Ihres Bildes auf der Seite https://www.trustlogo.com/install/index2.html ein, um zu überprüfen, ob das Bild erreichbar ist.

Klicken Sie auf die Schaltfläche Weiter auf derselben Seite, um die 2 Codes zu erhalten, die Sie in die Kopfzeile Ihrer (oder Ihrer) Webseite(n) kopieren und einfügen können:

Wichtig:

• Im Code entspricht CL1 einem SSL-Zertifikat DV ; ersetzen Sie CL1 durch SC5‍ für ein SSL-Zertifikat des Typs EV.

Dieser Leitfaden beschreibt die Gültigkeitsregeln für SSL-Zertifikate EV und DV (gültig ab dem 1. September 2020).

Gültigkeitsdauer der SSL-Zertifikate

Nach einer Sitzung des CA/B Forum, an der die großen Akteure des Webs (Safari, Google Chrome, Mozilla Firefox, etc. - mehr erfahren) teilnahmen, wurde beschlossen, die maximale Gültigkeitsdauer der SSL-Zertifikate auf 397 Tage zu begrenzen. Diese Änderung zielt darauf ab, das Risiko des Missbrauchs von Zertifikaten zu begrenzen und das Sicherheitsniveau der Zertifikate zu erhöhen. Es ist nicht ausgeschlossen, dass die maximale Gültigkeitsdauer eines Zertifikats in den kommenden Jahren weiter verkürzt wird. Einige Akteure wie Apple, Google oder sogar Sectigo drängen in diese Richtung.

SSL-Zertifikate DV von Sectigo

SSL-Zertifikate DV von Sectigo, deren Dauer 1 Jahr überschreitet, werden von Infomaniak automatisch erneuert (Zertifikat wird im Vormonat seiner Ablaufdatum neu ausgestellt).

Es ist notwendig, das Zertifikat auf Ihrer Website neu zu installieren, wenn diese nicht von Infomaniak verwaltet wird.

SSL-Zertifikate EV von Sectigo

SSL-Zertifikate EV von Sectigo müssen jedes Jahr validiert werden, unabhängig von der gewählten Abonnementdauer.

Es ist notwendig, das Zertifikat auf Ihrer Website neu zu installieren, wenn diese nicht von Infomaniak verwaltet wird.

Dieser Leitfaden erklärt, wie Sie ein Problem bei der Installation eines SSL-Zertifikats (Let's Encrypt oder Sectigo) beheben können, wenn Sie Cloudflare mit strengen Sicherheitsregeln wie Länder- oder IP-Adressen-Filterung verwenden.

SSL-/Geoblocking-Einstellungen anpassen

Wenn ein SSL-Zertifikat über Infomaniak (kostenloses Let's Encrypt oder Sectigo) angefordert wird, muss die Zertifizierungsstelle überprüfen, dass Sie der rechtmäßige Besitzer der Domain sind. Diese Überprüfung kann über HTTP (über spezielle Dateien, die auf Ihrer Website platziert werden), DNS oder E-Mail erfolgen:

• Let's Encrypt verwendet /.well-known/acme-challenge/.
• Sectigo verwendet in der Regel /.well-known/pki-validation/ (oder DNS/E-Mail, je nach gewählter Option).

Wenn diese Überprüfungen fehlschlagen (z.B. weil Cloudflare den Zugriff blockiert), kann das Zertifikat nicht ausgestellt oder erneuert werden. Let's Encrypt überprüft jedoch nicht mehr nur von einem einzigen Ort aus. Seit einiger Zeit (und noch mehr seit März 2024) führt es seine Überprüfungen gleichzeitig aus mehreren Ländern aus – einschließlich neuer Länder wie Schweden oder Singapur. Ergebnis: Wenn eines dieser Länder durch Ihre Cloudflare-Einstellungen blockiert wird, kann die Zertifikatsanfrage fehlschlagen, selbst wenn alles andere korrekt konfiguriert ist.

Schlimmer noch: Selbst wenn Sie versuchen, eine Ausnahme nur für die Adresse der Herausforderung (.well-known/acme-challenge) zu machen, funktioniert dies möglicherweise nicht mit bestimmten Cloudflare-Regeln. Tatsächlich werden die Sperrregeln für Länder oder IP-Adressen vor jeder Ausnahme basierend auf URL-Pfaden angewendet.

SSL/TLS-Modus anpassen

In Cloudflare verwenden Sie den Modus Full oder Full (strict). Diese Modi tolerieren vorübergehend ein abgelaufenes oder selbstsigniertes Zertifikat, bis die Validierung abgeschlossen ist:

Validierungspfade freigeben

Vermeiden Sie blockierende "IP Access Rules" und bevorzugen Sie "Custom Rules", die die Pfade ohne Einschränkungen freigeben:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Geoblocking vorübergehend deaktivieren

Wenn notwendig, deaktivieren Sie vorübergehend die geografische oder IP-Sperre, bis die Validierung abgeschlossen ist, und aktivieren Sie dann Ihre Schutzmaßnahmen nach der Ausstellung oder Erneuerung des Zertifikats.

Dieser Leitfaden erklärt, wie Sie zwei unterschiedliche EV- oder DV-SSL-Zertifikate auf derselben Website hinzufügen.

Vorwort

• Da es nicht möglich ist, zwei SSL-Zertifikate auf derselben Website zu installieren, müssen Sie zwei identische Websites erstellen.

Erstellung der zweiten Website

Voraussetzungen

• Entfernen Sie alle möglichen Alias-Domänennamen von Ihrer Website.

Um auf das Webhosting zuzugreifen, um eine Website hinzuzufügen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen des betreffenden Produkts.
3. Klicken Sie auf die Schaltfläche Website hinzufügen:
   
4. Fortfahren, ohne ein Tool zu installieren:
   
5. Klicken Sie auf Apache und wählen Sie dieselbe PHP-Version wie die Hauptwebsite::
   
6. Wählen Sie zwischen der Verwendung eines Domänennamens oder eines Subdomänennamens.
7. Geben Sie den Namen der Domain oder des Subdomänennamens an.
8. Klicken Sie auf Erweiterte Optionen.
9. Aktivieren (oder nicht) das Let's Encrypt SSL-Zertifikat auf der zukünftigen Website.
10. Wählen Sie das Kontrollkästchen Speicherort manuell festlegen aus.
11. Wählen Sie denselben Speicherort wie die Hauptwebsite:
    
12. Klicken Sie auf die blaue Schaltfläche Weiter, um mit der Erstellung der Website zu beginnen.

SSL-Zertifikat installieren

Sobald die zweite Website erstellt ist (jede Hinzufügung/Änderung kann bis zu 48 Stunden dauern, um sich zu verbreiten), können Sie ein SSL-Zertifikat installieren (falls Sie sich entschieden haben, das Zertifikat im obigen Punkt 9 nicht zu installieren).

Um auf die Website-Verwaltung zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).
2. Klicken Sie direkt auf den Namen des betreffenden Produkts.
3. Klicken Sie auf SSL-Zertifikate im linken Seitenmenü.
4. Klicken Sie auf die blaue Schaltfläche SSL-Zertifikat installieren und folgen Sie dem Vorgang.

Dieser Leitfaden gilt für Sie, wenn Sie Probleme mit einem Sectigo SSL-Zertifikat vom Typ DV oder EV haben.

Sectigo-Änderung (Juni 2025)

Seit Juni 2025 verwendet Sectigo eine neue Validierungsinfrastruktur namens MPIC, die die erforderlichen Überprüfungen für die Ausstellung von SSL-Zertifikaten (insbesondere EV und OV) von Servern auf der ganzen Welt und nicht nur aus den USA durchführt.

Ein Challenge ist eine Methode, die von der Zertifizierungsstelle verwendet wird, um zu überprüfen, dass der Antragsteller tatsächlich die Kontrolle über die Domain hat. Dies kann durch eine HTTP-Anfrage, einen DNS-Eintrag oder eine E-Mail erfolgen. Für EV- und OV-Zertifikate wird dieser Challenge mit Überprüfungen der Identität des Unternehmens kombiniert.

Mit dieser neuen Methode können die Validierungsanfragen aus jedem Land oder von jedem Internetanbieter stammen. Wenn Ihre Website oder Ihr Server Geoblocking-Regeln, eine Webanwendungs-Firewall (WAF) oder einen Dienst wie Cloudflare mit Zugriffsbeschränkungen nach Land oder ASN verwendet, können diese Überprüfungen blockiert werden, was zu einem Validierungsfehler führt.

Auch wenn Sectigo hauptsächlich über OV- und EV-Zertifikate spricht, kann diese Entwicklung auch die DV-Zertifikate indirekt beeinflussen, da die Domainvalidierung immer auf der Möglichkeit beruht, auf die erforderlichen Ressourcen zuzugreifen.

Dieser Leitfaden hilft Ihnen bei der Diagnose und Behebung des Fehlers "Ihre Verbindung ist nicht privat" (oder NET::ERR_CERT_AUTHORITY_INVALID). Diese Sicherheitswarnung kann sowohl Besucher einer Website als auch deren Administratoren betreffen.

Vorwort

• Diese Warnung ist ein Schutzmechanismus Ihres Browsers. Sie zeigt an, dass keine sichere Verbindung mit dem Server hergestellt werden konnte, aus einem der folgenden Gründe:
  • Die Website besitzt kein Sicherheitszertifikat SSL/TLS.
  • Das installierte Zertifikat ist abgelaufen oder falsch konfiguriert.
  • Die Verbindung zwischen Ihrem Gerät und dem Server wird abgefangen oder gestört.
• Achtung: Auf einer Website mit diesem Fehler sind die von Ihnen eingegebenen Daten (Passwörter, Kreditkartennummern) nicht verschlüsselt und können von Dritten abgefangen werden.

Lösungen für Besucher

Wenn Sie diesen Fehler auf einer Website sehen, die Sie nicht verwalten, kann das Problem manchmal von Ihrer eigenen Konfiguration stammen. Hier sind die Punkte, die Sie überprüfen sollten:

• Überprüfen Sie die Uhrzeit Ihres Geräts: Wenn Ihr Computer oder Smartphone nicht auf das richtige Datum/Uhrzeit eingestellt ist, schlägt die Zertifikatsvalidierung fehl.
• Testen Sie im privaten Modus: Wenn der Fehler verschwindet, leeren Sie den Cache und die Cookies Ihres Browsers.
• Überprüfen Sie Ihr Netzwerk: Vermeiden Sie öffentliche WLAN-Netzwerke, die ihre eigenen Verbindungsportale erzwingen können.
• Antivirus und Firewall: Einige Sicherheitssoftware analysiert HTTPS-Verbindungen und kann falsche Positivmeldungen verursachen.

Lösungen für Infomaniak-Website-Besitzer

Wenn Sie der Administrator der Website sind, müssen Sie sicherstellen, dass Ihr SSL-Zertifikat aktiv und gültig ist, um alle Ihre Domänennamen abzudecken.

1. Ist das SSL-Zertifikat installiert?

Wenn Ihre Website noch auf HTTP läuft, müssen Sie ein Zertifikat generieren (kostenlos über Let's Encrypt oder kostenpflichtig). Informieren Sie sich über die bei Infomaniak verfügbaren Zertifikate.

Wichtig: Wenn Sie nach der SSL-Installation Aliase (sekundäre Domänennamen) zu Ihrer Website hinzugefügt haben, müssen Sie das Zertifikat aktualisieren, damit es diese integriert.

2. Gültigkeit und Ablauf überprüfen

Bei Infomaniak werden die Zertifikate automatisch erneuert, aber es kann manchmal zu technischen Problemen kommen. Um den Status Ihres Zertifikats zu überprüfen:

1. Klicken Sie hier, um auf die Verwaltung Ihrer Zertifikate im Manager zuzugreifen (Hilfe benötigt?).
2. Überprüfen Sie den Status und das Ablaufdatum im Dashboard:
   

3. HTTPS erzwingen und "Mixed Content" beheben

Wenn Ihr Zertifikat gültig ist, der Fehler jedoch weiterhin besteht (oder das Schloss nicht grün ist), kann es sein, dass Ihre Website weiterhin Elemente (Bilder, Skripte) über HTTP lädt. Um dies zu beheben, nehmen Sie sich diesen anderen Leitfaden zur Kenntnis.