Uberspace: HTTPS/TLS fĂĽr die eigene Domain

Verschlüsselung über HTTPS beschäftigte mich schon länger. Spätestens seit Google im letzten Jahr bekannt gab, HTTPS als Ranking-Faktor zu berücksichtigen, war bei mir dann die Entscheidung getroffen, tibormartini.de künftig ausschließlich per HTTPS auszuliefern.

Kostenlose TLS-Zertifikate – die Suche nach dem besten Anbieter

Auf der Suche nach einem kostenlosen Zertifikat bin ich zunächst auf StartSSL gestoßen, wo neben HTTPS-Zertifikaten unter anderem auch S/MIME-Zertifikate zur Verschlüsselung und/oder Signierung von E-Mails beantragt werden können. Letzten Endes entschied ich mich aber gegen den Dienst, da StartSSL inzwischen nur noch für nichtkommerzielle Zwecke verwendet werden kann und im Zweifelsfall für den Widerruf des Zertifikats pauschal $25 verlangt – und deswegen auch nach Heartbleed die Zertifikate nicht kostenlos tauschte.

Vor ein paar Tagen bin ich dann in einer Facebook-Gruppe (wieder) auf Wosign aufmerksam geworden. Wosign bietet ebenfalls kostenlose TLS-Zertifikate an, ist dabei aber deutlich weniger restriktiv. Den einen oder anderen stört vielleicht, dass Wosign aus China operiert – aus technischer Sicht ist das aber unbedenklich.

Anleitung: Auf Uberspace das HTTPS-Zertifikat installieren

Bei Uberspace (die ich in Sachen Kundendienst, Service, Geschwindigkeit und Funktionsumfang übrigens nur weiterempfehlen kann) ging die eigentliche Installation des Zertifikats dann problemlos vonstatten.

Zum Ablauf: Von Wosign erhaltet ihr eine Mail mit einem Link zu einer Archiv-Datei (euredomain_sha256_en.zip), in der die Zertifikate enthalten sind. Zunächst muss die Archiv-Datei entpackt werden, damit ihr an die Zertifikate herankommt. Das Passwort dafür entspricht dem Zertifikatspasswort, dass ihr bei der Erstellung des Zertifikats ausgewählt habt.

In dem Ordner aus der entpackten Archiv-Datei liegen wiederum mehrere Archiv-Dateien. Die Zertifikate, die für die Installation notwendig sind, liegen in der Archiv-Datei for Apache.zip. Auch die for Apache.zip muss also entpackt werden – nachdem das geschehen ist, habt ihr drei einzelne Dateien (1_root_bundle.crt, 2_euredomain.crt, 3_euredomain.key). Alle drei Dateien müsst ihr auf euren Uberspace ins Home-Verzeichnis (oder einen Unterordner im Home-Verzeichnis) hochladen.

AnschlieĂźend geht es wie im Uberspace-Wiki beschrieben per SSH weiter. Der Befehl, um eure drei Dateien zum Import durch Uberspace vorzubereiten, lautet:

uberspace-prepare-certificate -k /home/EUERNUTZERNAME/3_euredomain.key -c /home/EUERNUTZERNAME/2_euredomain.crt -i /home/EUERNUTZERNAME/1_root_bundle.crt

AbschlieĂźend mĂĽsst ihr nur noch die Ausgabe aus dem Terminal kopieren und per Mail an hallo@uberspace.de senden. Bei mir war das Zertifikat dann bereits nach wenigen Minuten aufgeschaltet und fĂĽr meinen Blog nutzbar.

Damit eure Seite nicht doppelt (einmal als HTTP-, einmal als HTTPS-Version) in den Suchergebnissen auftaucht, solltet ihr zum Abschluss noch in der .htaccess eine Weiterleitung von HTTP auf HTTPS einrichten. Das sieht beispielsweise so aus:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://euredomain.com/$1 [R,L]

Bildnachweis
By Almonroth (Own work) [CC BY-SA 3.0], via Wikimedia Commons