Hetzner und SSL: Was lange währt…

In den letzten Tagen habe ich viel über den Hoster Hetzner geschimpft. Mehrfach wurde mir von deren Support mitgeteilt, dass einige Mehrkosten auf mich zukommen würden, wenn ich für alle meine Domains SSL einrichten lassen würde. Nicht nur das! Auch für die SSL-Einrichtung für Subdomains sollte ich zahlen, sobald diese nicht auf ein gemeinsames Document Root verweisen. Schlussendlich hatte ich mir eine Lösung überlegt, mit der ich zumindest die Kosten für die Subdomains einsparen könnte.

Nun hatte ich natürlich langsam die Nase voll und wollte endlich sehen, ob die Arbeit irgendetwas genützt hat. Also habe ich gestern SSL für eine meiner Domains einrichten lassen und das fertige Setup heute getestet.
Was soll ich sagen? Die Subdomains werden korrekt geschützt, wenn sie, wie beschrieben, im gleichen Document Root liegen, wie die eigentliche Domain. Mein gezeigter Trick mit der ".htaccess"-Datei funktioniert also problemlos.
Es gibt aber noch etwas viel besseres! Solange die Addon-Domains auf das gleiche Rootverzeichnis zeigen, wie die SSL-konfigurierte Domain, werden auch diese mit dem eingespielten Zertfikat versorgt :D ! Das nenne ich einen Jackpot :D ! Genau so möchte ich es seit Tagen haben!
Die Domains kann man übrigens über den gleichen Weg behandeln, wie es auch mit den Subdomains gemacht wurde - einfach per ".htaccess"-Datei das tatsächliche Verzeichnis zuordnen. Das klappt wunderbar!

Eine Sache muss man übrigens erledigen, sobald SSL eingerichtet worden ist - nämlich den DNS-Server so konfigurieren, dass die Domains auf die neue IP-Adresse zeigen, für die SSL konfiguriert worden ist. Bei der DNS-Konfiguration heißt das, dass man die IP für den Eintrag "@" und "www" korrekt setzen muss.

Hetzner - Erweiterte DNS-Konfiguration

Ich habe euch auf dem Bild übrigens gleich noch eine weitere Zeile markiert, die ihr - je nach Belieben - zur DNS-Konfiguration hinzufügen könnt. Diese lautet:

1
* IN CNAME www

Die Bedeutung ist schnell erklärt: Jede Subdomain, für kein separater Eintrag existiert, wird auf die IP der www-Subdomain umgelenkt. Dieser Wildcard-Eintrag hat einen riesigen Vorteil: Man muss nicht jedes Mal extra eine neue Subdomain über das Webinterface erstellen, wenn man sie benötigt. Man muss sie einfach nur in der ".htaccess"-Datei berücksichtigen.

Zudem sind mit diesem Wildcard-Eintrag superlustige Sachen möglich :D ! Ich habe z.B. unter der Domain test.coltishware.net eingerichtet, dass alle darunter liegenden Domänen einfach als Text ausgegeben werden. Probiert z.B. mal mit du.bist.doof.test.coltishware.net aus! :-)

Im ersten Augenblick mag das nicht so sinnvoll sein, aber stellt euch mal vor, ihr wollt eine Community aufbauen, in der jeder Benutzer seine persönliche Internetpräsenz bekommt. Hier müsstet ihr nun nicht mehr manuell die Subdomains einrichten, sondern könnt diese einfach per Script verwalten lassen.

Ich bin ob dieser gestalterischen Freiheit jedenfalls heute das erste Mal froh, mich für Hetzners Level-19-Paket entschieden zu haben. Ich hoffe, dieser ganze SSL-Wahnsinn war das erste und einzige Mal, dass ich solche großen Probleme mit Hetzner hatte. Und apropos SSL: Der Support hat mir versichert, dass der Austausch des Zertifikats (wenn es z.B. mal ablaufen sollte) vollkommen unentgeldlich stattfindet.

Gehetzte Grüße, Kenny

5 Kommentare » Schreibe einen Kommentar

  1. Tja, hier regt sich jemand auf, der keine Ahnung hat und sich nie informiert hat! SSL kostet pro Doamin sehr viel! Tja, typische deutsche "Geiz ist Geil" Einstellung!

    • Lieber Heinz, du scheinst dich sehr gut mit meiner fachlichen Qualifikation auszukennen. Magst du mir nicht auch etwas von deiner fachlichen Qualifikation offenbaren? Weshalb genau kostet SSL pro Domain denn sehr viel?

  2. hi,
    danke für ein super Post! Habe da gleich eine Frage Ich wollte auch einen SSL Zertifikat für eine meiner Domains bestellen. Es gibt bei Hetzner aber mehrere Version und ich weiss nicht welches ich nehmen soll:

    kein Zertifikat bzw. selbst signiertes Zertifikat
    Thawte SSL 123-Zertifikat 256 Bit - Domainvalidiert
    Thawte SSL Zertifikat 256 Bit - Adressvalidiert
    Thawte SGC Zertifikat 256 Bit - Adressvalidiert
    Thawte SSL Webserver-Zertifikat mit EV

    ich würde schon das günstigste nehmen ich weiss aber nicht was besser ist.
    Hast du da einen Tipp.

    Soll für ein Shop sein.

    • Für einen Webshop ist ein Zertifikat von einem unbekannten Aussteller (selbst-signiert oder z.B. CAcert) relativ wertlos. Das Problem: Die meisten User kennen sich mit "sowas zwar nicht so aus", aber sie haben zumindest oft genug gehört, dass man Seiten verlassen sollte, die nicht vertrauenswürdig sind. Kommen wir also zu den anderen Varianten...

      Die domainvalidierten Zertifikate sind die günstigsten Zertifikate eines vertrauenswürdigen Zertifikatsausstellers, die man kriegen kann. Dort wird online (meist anhand einer E-Mail an eine Standard-Adresse wie webmaster@hostname) geprüft, ob man Inhaber der entsprechenden Domain ist. Falls ja, wird das Zertifikat ausgestellt.

      Der etwas teurere Schritt ist ein adressvalidiertes Zertifikat. Dort wird sichergestellt, dass der Antragsteller unter der postalischen Adresse des Domain-Inhabers erreichbar ist. Das soll mehr Sicherheit bieten, da man ja Mail-Accounts hacken kann. Ob man da nun ein SSL-Zertifikat oder (das teurere) SGC-Zertifikat nutzt, macht heutzutage keinen Unterschied mehr. Früher bot SGC eine höhere Sicherheit (da längere Schlüssel zulässig waren) - das ist heute jedoch nicht mehr so.

      Und abschließend gibt es dann noch die EV-Zertifikate - EV steht für Extended Validation. Hier werden weitere Maßnahmen getroffen, um die Existenz und Echtheit des Domain-Inhabers sicherzustellen. Diese EV-Zertifikate sind schon relativ teuer - man erkennt sie meist an der grün eingefärbten Adressleiste (z.B. bei Paypal).

      Schlussendlich achtet (imho) jedoch kaum jemand darauf, ob man nun ein domainvalidiertes oder adressvalidiertes Zertifikat nutzt.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.


Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>