Hetzner und das SSL-Problem

Gestern habe ich davon erzählt, dass ich im Moment dabei bin, zu Hetzner umzuziehen. Wenn ihr mich heute fragt, würde ich sagen, dass das ein riesengroßer Fehler war!

Wieso? Weil Hetzner - mit zigtausend Kunden - nicht einmal in der Lage ist, SSL ordentlich einzurichten. Man muss dazu wissen: Hetzner lässt sich das Aufschalten von SSL ca. 40€ Setupgebühr pro Domain und ca. 36€ laufenden Kosten pro Jahr und pro Domain fürstlich bezahlen! Das ist einfach nur eine Farce! "Überzeugend professionell", wie sich Hetzner selber bewirbt, ist das jedenfalls nicht! In meinen Augen grenzt das eher an Unfähigkeit! Und zwar im großen Stil!

Wozu man SSL unter anderem benötigt und wie man mehrere Domains über eine IP mit SSL absichern kann, hatte ich in diesem Artikel schon einmal lang und breit erklärt. Bei Hetzner scheint dieses Wissen jedoch noch nicht angekommen zu sein. Und viel mehr noch! Selbst das Wissen über SSL-Tunnel-Proxies wie dem hier beschriebenen Programm stunnel scheint dieses Unternehmen namens Hetzner nicht zu besitzen. Aus diesem Grund müssen sie für jede Domain, die SSL benötigt, erneut in der Apache-Konfiguration herumfrickeln. Lässt sich ja schließlich auch gut Geld damit verdienen!

Ich denke, Hetzner wird bei jeder SSL-Bestellung folgendes machen:

  1. Eine neue IP-Adresse bestellen. Denn wie Unwissende wissen, benötigt man für jede Domain eine eigene IP.
  2. Die neue IP-Adresse auf den Server aufschalten.
  3. Im DNS die Domain mit der neuen IP verknüpfen.
  4. In der Apache-Konfiguration rumfrickeln, um die SSL-Unterstützung einzubauen und die Domain mit der neuen IP zu verknüpfen.
  5. Sich freuen, weil man jetzt ca. 40€ für das Setup kassiert und jährlich ca. 36€ oben drauf kriegt.

Leute, die wissen, was für Tools es auf dem Markt gibt und was mit SSL-Zertifikaten alles möglich ist, würden hingegen soetwas tun:

  1. Einmalig beim Aufsetzen des Servers stunnel installieren und konfigurieren. Ab da an den Apache-SSL-Support in die Tonne treten.
  2. Einmalig für den Kunden eine neue IP-Adresse bestellen.
  3. Einmalig für den Kunden die neue IP-Adresse auf den Server aufschalten.
  4. Im DNS alle Domains des Kunden mit der neuen IP verknüpfen.
  5. In der stunnel-Konfiguration einmalig die IP für alle wichtigen Dienste (HTTP, POP3, IMAP, SMTP) mit dem Zertifikatspfad des Kunden verbunden.
  6. Nur ein einziges Mal Setupgebühren bezahlen und auch nur für eine einzige IP-Adresse bezahlen. Wer trotzdem für jede Domain eine eigene IP und ein eigenes Zertifikat wünscht, kann ja gerne mehr bezahlen.

Ich finde es traurig, dass man Hetzner nicht einmal dieses Fachwissen zutrauen darf - denn sie haben es einfach nicht! Und falls (hoffentlich) die IT-Spezialisten von Hetzner diesen Artikel lesen und etwas an ihrer Infrastruktur ändern wollen: In diesem Artikel könnt ihr nachlesen, wie ihr stunnel beim (bezahlten) Setup konfigurieren würdet.

Und bevor ich es vergesse: Wer derzeit so blöd ist, sich bei Hetzner ein Hostingpaket zu holen, sollte wissen, dass diese genialen IT-Fachkräfte NICHT in der Lage sind, die Dienste IMAP, POP3 und SMTP mit eurem eigenen Zertifikat (für dessen Benutzung ihr ca. 40€/Setup + ca. 36€/Jahr bezahlt) abzusichern. Durch deren Apache-Gefrickel können sie nur den Webserver absichern. Für alle anderen Dienste müsst ihr über eine tolle, wunderschöne, äußerst seriöse your-server.de-Adresse gehen. Ja, das ist geballte Kompetenz.

Frage an die Leser: Würdet ihr es mit dem, kostenlos im Internet verfügbaren, Wissen besser hinkriegen?
Angepisste Grüße, Kenny

30 Kommentare » Schreibe einen Kommentar

  1. Pingback: weizenspr.eu – trennt Spreu vom Weizen | my-azur.de

  2. Geht zu UBERSPACE und gut ist, da zahlst du auch für nichts extra und kannst sogar den Preis selbst bestimmten. Solltest nur halt etwas Zeit für die Einarbeitung in die Shell-bash mitbringen, sofern du dich damit nicht schon auskennst. 😉

    Mehr als Webhosting, also Server und Co. gibt es dort auch. 🙂

    • Nein danke. Ich habe zwar einen Account bei Uberspace, nutze diesen allerdings nicht. Mit meinem dedizierten Server bin ich wunschlos glücklich.

  3. Pingback: weizenspr.eu – trennt Spreu vom Weizen | My-azur.de

  4. Es gibt sicherlich billigere, ganz klar. Jedoch ich habe in der lezten Zeit echt nur Positiver gehört. Und die Jungs und Mädels sind Ja auch nicht dumm, soll heisen daß die sich weiter bilden und auch dazu lernen.

    LG Kupa

  5. Ich bin schön länger auf der Suche nach einen geeigneten Anbieter und stosse immer wieder über nen Namen Hetzner. Anscheinend liefern die gute abeit ab. Viele sin echt zufreiden mit denen. Die Preise sind auch moderat.

    LG Dabid

  6. Wenn ich mal Groß bin... Nein, wenn mein Webspace Hoster das aufkomen nicht beweltigen kann werde ich mich auch für Hetzner entscheiden.

    HAbe viel gelesen und es passt schon.

    LG

  7. Das scheint aber nur ein Problem zu sein. Ansonsten sind die Meisten von Hetzner doch überzeugt. Die Preise sind doch vernünftig, oder ?

    Ich habe mich nähmlich dazu etwas informiert weil in nacher Zukunft Umzüge anstehen werden.

    LG Tomek

    • Ich sage mal so: Bei Hetzner kann man Features nutzen, die ich anderswo bisher noch nicht gesehen habe oder die anderswo extrem eingeschränkt waren. Dafür muss man sich jedoch das teure Level-19 Hosting-Paket leisten. Je nach technischem Wissen ist da ein vHost von Hetzner wesentlich günstiger - man muss sich dann allerdings um alles selber kümmern.

  8. Hallo,

    also wenn du ein signiertes Zertifikat bestellst, fällt Variante 2 („die der Profis“) flach. Ich habe jetzt nicht alle verlinkten Beiträge gelesen, aber ich denke du weißt, wofür diese Zertifikate sind und damit sollte auch irgendwie klar sein, warum du für jede Domain ein extra Zertifikat brauchst.

    Zudem sollte man auch nicht vergessen, dass du wohl keinen eigenen Server hast und diesen mit anderen teilst.

    Ich meine die Server bei Hetzner sind wirklich sehr günstig und für dein Setup könntest du dort selbst ein Zertifikat signieren oder dir eines bestellen.

    LG Daniel

    • Hallo Daniel, signierte Zertifikate sind primär dazu da, um sichergehen zu können, dass man wirklich mit dem Server verbunden ist, mit dem man denkt, verbunden zu sein. Mehr ist bei einem Shared Server nicht möglich. Warum man deshalb für jede Domain ein eigenes Zertifikat braucht, erschließt mir trotzdem nicht - habe ich im Moment schließlich auch nicht. Dass SSL-Proxies ein gangbarer Weg sind, sieht man übrigens bei anderen Anbietern.

      Was das nun damit zu tun hat, dass ich keinen eigenen Server bei Hetzner stehen habe, erschließt sich mir gerade nicht. Was der Preis der Server bei Hetzner damit zu tun hat, dass sie für jede Domain und Subdomain die SSL-Einrichtung kassieren wollen, verstehe ich auch nicht. Und was die Kritik an der umständlichen SSL-Bereitstellung mit dem Erzeugen/Bestellen des Zertifikats zu tun hat, ist mir ebenfalls schleierhaft.

      • Hi,
        Man kann natürlich ein Zertifikat für mehr als eine Domain auf demselben Server verwenden aber dafür ist das Zertifikat nicht gedacht. Das Zertifikat ist ein absoluter Identitätsnachweis für Domain + Server (wird ja auch dementsprechend signiert). Genau deswegen wird dir auch jedes Mal ein neues Zertifikat registriert, weil es sonst nicht dem eigentlichen Nutzen entspricht.

        Ein SSL Zertifikat kann für eine Domain auch mehr als einen Server beinhalten aber das Zertifikat gilt immer nur für eine Domain (Webadresse). – sonst wäre es auch witzlos.

        Alle zusätzlich eingetragenen Domainnamen (wenn mehr als eine Domain auf dem Server gehostet wird) in einem Zertifikat sind „Subject Alternative Names“ und das sind glaube ich auch nur maximal 3 oder 4. – Das weiß ich ehrlich gesagt nicht genau.

        Die Anspielung auf den Server habe ich nur gegeben, weil du dort ein eigenes selbst signiertes oder gekauftes Zertifikat nach deinen Wünschen nutzen kannst, ohne auf die Shared-Server Standards von Hetzner angewiesen zu sein (war auch nur ein Beispiel, da muss man sich nicht dran aufhängen.)

        Letztendlich hilft es eigentlich immer bei Hetzner eine email an den Support, zu schicken. Ich habe damit gute Erfahrungen gemacht.

        LG Daniel

        • Zu deiner Aussage, dass es witzlos ist, einen Server mit mehr als einem Zertifikat zu versehen, möchte ich dich gerne mal auf das Thema "SubjectAltNames" hinweisen.
          Es ist keineswegs so, dass es für den Fall "mehrere Domains in einem Zertifikat" keine Anwendungsfälle gibt - bestes Beispiel dafür ist das Virtual Domain Hosting. Das heißt: Mehrere Domains sind auf einem Server über eine einzelne IP erreichbar. In diesem Fall ist es garnicht möglich, jede Domain über ein eigenes Zertifikat zu bedienen, da das Zertifikat schon ausgewählt werden muss, während noch nicht einmal feststeht, welche Domain überhaupt angefragt wird.

          Du wirst es nicht glauben, aber ich habe zig Mails zu dem Thema mit dem Support von Hetzner ausgetauscht - gebracht hat es garnichts. Lösen musste ich das Problem selber.

          P.S.: Ich hoffe, ich habe den Kommentar so verschoben, wie du es gewollt hast. 😉

          • Ja, danke … und das mit den „Subject Alternative Names“ genau das hatte ich ja auch schon in meinem Kommentar oben erwähnt. Ich glaube aber das dies auf 4 extra Domänen beschränkt ist. – Allerdings steck ich da nicht 100% drin.

            LG Daniel

            • Ja, dass man ein Zertifikat für mehrere Domains nutzen kann, hattest du erwähnt. Mir ging es darum, zu zeigen, dass anscheinend so viele Leute genau diesen Anwendungsfall sehen, dass es mit den SubjectAltNames eine standardisierte Möglichkeit dazu gibt. Die Menge der Domains im SubjectAltNames-Feld ist übrigens (soweit ich es bisher gesehen habe) nicht beschränkt.
              Zudem denke ich weiterhin, dass es - zumindest bei Shared Hosts - sowieso witzlos ist, mehr als ein Zertifikat einzusetzen. Die Vertrauenswürdigkeit wird bei einer solch unsicheren Plattform durch mehrere Zertifikate nicht gesteigert - außer für den außen stehenden Beobachter.

    • Das sind keine Anschuldigungen. Das sind TATSACHEN. [...]

      Kenny: Vielen Dank für die erneute Information darüber, wofür die Person schon alles verurteilt worden sein soll.

  9. Ich muss auch sagen das Hetzner, seine Kunden regelrecht verarscht auf gut deutsch gesagt. die wollen für zeug was selbstverständlich unverschämte preise!
    1 mal hetzner und nie wieder hetzner!

    IP beantragen ist auch sehr sehr schlimm bei hetzner!
    Einfach Kunden feindlich diese Firmenstrategie!!!

    Lina

  10. Kenny,

    über eine Lösung mit Stunnel hatte ich genau in diesem Zusammenhang (wenn auch nicht bei Hetzner) auch schon einmal nachgedacht. Es gibt dabei einen Haken:

    Es kann mit einigen PHP-basierten Anwendungen (z.b.phpMyAdmin) passieren, dass zwar die Anmeldeseite SSL-verschlüsselt wird, phpMyAdmin nach Klicken des Anmeldebuttons aber ganz normal über Port 80 weitermacht und die Verbindung somit auf einmal nicht mehr verschlüsselt ist. Der Webserver hört ja schließlich nur auf Port 80 und setzt seine internen Variablen, die viele PHP-Anwendungen auswerten, entsprechend.
    Zahlreiche Content-Management-Systeme verhalten sich ebenso. Das ist nicht im Sinne des Erfinders.

    Per htaccess Port 443 erzwingen ist hier keine Lösung, denn es entsteht dadurch eine Endlosschleife Stunnel Port 443 -> Apache Port 80 -> htaccess -> Stunnel Port 443 -> Apache Port 80 -> htaccess -> und so weiter, d.h. der Browser steigt aus mit: "Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann."

    Hast Du da eine Lösung?

    Gruß
    Dominik

    • Hi Dominik, ich hatte ja schon per E-Mail geantwortet, wollte diese nun aber für alle verfügbar machen. Generell handelt es sich hierbei in der Tat um ein Problem. Um es zu umgehen, muss man dazu übergehen, SSL auf der Serverseite zu erzwingen. Bei WordPress gab es früher z.B. ein Plugin, mit dem man HTTPS für den Adminbereich erzwingen konnte - diese Funktion ist seitdem in den WordPress-Core übernommen worden.
      Wenn man also solch einem Problem ausgesetzt ist, sollte man zuerst einmal gucken, ob die verwendete Software eine Option besitzt, um SSL für die zu schützenden Bereiche zu erzwingen. Damit sorgt die Software dann selber dafür, dass die ganzen Links automatisch umgeschrieben werden.
      Sollte es solch eine Funktion nicht geben, hat man die Möglichkeit, sich im Web auf die Suche nach Addons/Plugins zu machen (falls die genutzte Software soetwas unterstützt). Meist findet man etwas zu dem Thema, wenn man zusätzlichen Begriffen wie "force SSL" sucht.
      Sollte auch das erfolglos bleiben, hat man bei PHP-Anwendungen zumindest noch die Möglichkeit, sich solch eine Funktion selber zu basteln. Eine Möglichkeit ist dann z.B., herauszufinden, auf welcher Basis die internen Links generiert werden. Diese könnte man dann so abändern, dass (optional) statt HTTP immer ein HTTPS in die Adresse eingefügt wird. Praktisch ist es, wenn hierfür einfach nur die $_SERVER-Variable ausgelesen wird, da man diese dann einfach entsprechend anpassen kann. Oft wird auch eine extra wurden-wir-per-SSL-aufgerufen-Funktion dazwischen geschaltet, da verschiedene Webserver diesen Status unterschiedlich angeben - diese kann man dann ebenso modifizieren.

      Ein einfaches Heilmittel in der Art "drücke einfach Knopf S" habe ich leider nicht parrat.

      • Hi Kenny,

        danke für die schnelle Reaktion. Eine "drücke auf Knopf S" Lösung habe ich nicht erwartet. Nur sollte man sich diese Probleme aber bewusst machen, es ist eben etwas anderes, als SSL direkt im Apachen zu aktivieren.
        PHP-Anwendungen umschreiben ist zwar eine Möglichkeit, aber man hat dann mit jedem Update das Problem, dass die Änderungen evtl. überschrieben werden und man daran denken muss.

        Stunnel ist eine Möglichkeit, aber ich bin mittlerweile wieder dazu übergegangen, für SSL eine IP aufschalten zu lassen, falls nötig.

        • Ja, die Anpassung muss man leider nach einem Update wieder neu einspielen - falls man denn Fremdsoftware angepasst hat.

          Wenn ich mir überlege, wieviel Arbeit ich mir sparen würde, wenn Hetzner einen SSL-Proxy anbieten würde, würde ich trotzdem lieber auf dieses Pferd setzen. ^_^

    • Habe mich nun - nachdem mein Blog inzwischen 75 Topsy-Trackbacks beherbergte - doch dafür entschieden, die Topsy-Trackbacks zu entfernen...

  11. Kenny, man bestellt sich auch kein Hosting-Paket bei Hetzner, sondern nur einen Server, nix anderes! Hosting können andere Anbieter sicher besser, aber günstige Server anbieten, für die man selbst verantwortlich ist, kann nur Hetzner.

    Und 40 Tacken für ein SSL-Zertifikat ist doch schon wieder günstig, bei VeriSign ist das billigste für rund 350 tacken, bei GlobalSign immerhin noch 142.

    Ach, manchmal glaube ich ja, du machst dir gern mehr Probleme, als einem gut tut. ;o)

    • Wer spricht hier von Zertifikat? Du glaubst doch nicht wirklich, dass du für die 40€ das Zertifikat bekommst #bwahaha ? Mit den 40€ bezahlst du den Aufwand, den Hetzner treibt, um dir den SSL-Support in ihre Apache-Konfig reinzufrickeln.

      Sorry, aber das Hosting-Paket hat sich so eigentlich ziemlich gut angehört. Bevor ich bei einem eigenen Server alles selber managen muss und obendrein auch noch mind. doppelt so viel bezahle, lasse ich das ganze lieber von Profis machen. Nur leider bin ich bei Hetzner anscheinend nicht an Profis geraten.

      • Hab dich ja eigentlich als kompetenten Server-Admin eingestuft. Hey, trau dich, ich mach es auch, und meist läuft der Server soweit rund, dass es kaum Probleme gibt. Hab ihn zwar auch schon ein paar Mal abgeschossen, aber immer wieder schnell gerettet.

        Nachdem, was ich so die letzten Jahre lese, höre und selbst so an Problemchen und Unzulänglichkeiten im Hosting-Bereich habe, mache ich es mir tatsächlich selbst.

        Wenn Stress, dann wirklich selbst gemachter; wenn Shice am Laufen, dann wenigstens von mir verursacht. Wenn Problemlösungen, dann garantiert auch von mir vorgenommen und verstanden.

        Profis können vielleicht mal helfen, aber letztlich sollte und muss man es doch auch mal selbst lernen. Hab z. B. auch hier schon den einen oder anderen nutzbaren Tipp gefunden.

        Ab und an versuche ich ja auch in meinen Blogs wieder etwas Hilfe in die Welt fließen zu lassen.

        Achja, Hosting-Pakete klingen immer irgendwie vielversprechend, sind es aber meist nie. In den USA z. B. habe ich mittlerweile schon die tollsten Versprechen gelesen, dass einem schon schlecht wird. ;o)

        • Das böse ist ja: Die Domains, die jetzt zu Hetzner gezogen sind, liefen vorher per DynDNS-Anbieter auf meiner eigenen Kiste (ein T23). Ich habe also schon selber gehostet - also wirklich selber selber. Hatte zu dem Zweck ja auch schon einige Sachen selber gebastelt. Nur das selber hosten scheitert irgendwann am benötigten Upstream.

          Wie du ja weißt, hatte ich mal den EQ4 ins Auge gefasst. Mit knapp 70€/Monat wäre der jedoch dreimal so teuer gewesen wie das Hosting-Paket. Okay, das Setup wäre (im Vergleich zum SSL beim Hosting) nur halb so teuer gewesen. Ohgott, allein der Gedanke daran müsste Hetzner doch schon tierisch peinlich sein.

          Morgen gibts übrigens noch einen dritten Artikel zu Hetzners Unzulänglichkeiten. Die kriegen nämlich nicht mal einen Logout gebacken. #peinlich

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.