Video-Tutorial ansehen

Mit der Erweiterung SSL It! können Sie Ihre Websites mit SSL/TLS-Zertifikaten von den vertrauenswürdigen Zertifizierungsstellen Let’s Encrypt und DigiCert (Symantec, GeoTrust und RapidSSL) oder einem anderen SSL/TLS-Zertifikat Ihrer Wahl schützen. Außerdem können Sie:

  • Sicherheit für Websitebesucher erhöhen, da von HTTP auf HTTPS umgeleitet wird
  • Für mehr Sicherheit sorgen, da Webbrowser nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen können
  • Datenschutz erhöhen und die Leistung der Website dank OCSP-Anheftung verbessern
  • Sicherheit von über SSL/TLS-Zertifikate verschlüsselte Verbindungen mithilfe von Protokollen und Verschlüsselungsverfahren von Mozilla erhöhen

Erste Schritte mit SSL It!

  1. Die Erweiterung SSL It! ist standardmäßig installiert.
  2. Um alle Funktionen von SSL It! optimal zu nutzen, installieren Sie die aktuellsten Versionen der Erweiterungen DigiCert SSL und Let’s Encrypt.

Wenn Sie das SSL/TLS-Zertifikat einer Domain verwalten möchten, gehen Sie zu Websites & Domains > Ihre Domain. Unter „SSL/TLS-Zertifikate“ finden Sie den aktuellen Sicherheitsstatus der Domain:

image-status.png

Sichern von Websites mit SSL/TLS-Zertifikaten

Über die Erweiterung SSL It! können Sie Websites mithilfe von kostenlosen oder kostenpflichtigen SSL/TLS-Zertifikaten (derzeit sind nur Zertifikate von DigiCert verfügbar) bzw. mithilfe von SSL/TLS-Zertifikaten schützen, die Sie bereits besitzen.

So schützen Sie eine Website mit einem kostenlosen SSL/TLS-Zertifikat von Let’s Encrypt:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
  2. Klicken Sie unter Basisschutz auf „Kostenlos nutzen“.
  3. Geben Sie die E-Mail-Adresse an, die für dringende Benachrichtigungen und zur Wiederherstellung von verloren gegangenen Schlüsseln genutzt werden soll.
  4. Wählen Sie aus, was Sie neben der Hauptdomain noch sichern möchten:
    • Wenn Sie eine www-Subdomain bzw. Domain-Aliasse haben, klicken Sie das Kontrollkästchen „Für die Domain und jeden ausgewählten Alias die „www“-Subdomain einschließen“ an.
    • Wenn Sie Webmail verwenden, klicken Sie das Kontrollkästchen „Webmail auf dieser Domain schützen“ an.
    • Falls Sie alle der erwähnten Varianten und weitere Subdomains haben, wählen Sie das Optionsfeld „Wildcard-Domain schützen (inklusive www und Webmail)“ aus.
  5. Klicken Sie auf Kostenlos nutzen.

Ein SSL/TLS-Zertifikat von Let’s Encrypt wird ausgestellt und automatisch installiert.

Bemerkung: Wenn Sie eine Domain mit einem SSL/TLS-Zertifikat von Let’s Encrypt schützen und dann neue Domains, Subdomains, Domain-Aliasse oder Webmail zum Abonnement hinzufügen, stellen Sie das SSL/TLS-Zertifikat von Let’s Encrypt erneut aus, damit die neuen Elemente automatisch in den Schutz aufgenommen werden. Gehen Sie dazu zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und aktivieren Sie die Option „Websites schützen“.

So rufen Sie ein kostenpflichtiges SSL/TLS-Zertifikat ab:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.

  2. Suchen Sie nach einem SSL/TLS-Zertifikat, das Sie kaufen möchten. Weitere Informationen zum Zertifikat, etwa Gültigkeitsdauer und Validierungstyp, finden Sie unter „Details anzeigen“. Klicken Sie für das Zertifikat, das Sie erwerben möchten, auf „Jetzt kaufen“. Sie werden dann automatisch zum Online-Shop von Plesk weiterleitet.

  3. Geben Sie Ihre Adresse und Zahlungsinformationen ein und schließen Sie den Kauf ab.

  4. Klicken Sie im Browser auf die Schaltfläche „Zurück“, um zu Plesk zurückzukehren.

  5. Die Bearbeitung der Bezahlung kann eine Weile dauern. Um den Zahlungsstatus zu aktualisieren, klicken Sie auf „Neu laden“. Der Status wird automatisch einmal pro Stunde aktualisiert.

    image-waiting-payment.png

  6. Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.

    image-payment-received.png

  7. Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.

  8. Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.

Bemerkung: Für bestimmte Typen von SSL/TLS-Zertifikaten (z. B. EV) sind zusätzliche Aktionen erforderlich. Sie erhalten möglicherweise einen Anruf oder eine E-Mail und müssen eventuell Dokumente einreichen, damit die Zertifizierungsstelle Ihre Anwendung validieren kann.

Nachdem das SSL/TLS-Zertifikat installiert wurde, sehen Sie unter Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate Informationen zum installierten SSL/TLS-Zertifikat (Name, Zertifizierungsstelle, E-Mail-Adresse usw.), zu den gesicherten Komponenten sowie andere Optionen wie „Von HTTP auf HTTPS umleiten“ oder „HSTS“.

Hochladen von SSL/TLS-Zertifikaten

Laden Sie Ihr eigenes Zertifikat in den folgenden Fällen hoch:

  • Sie haben bereits ein Zertifikat, das Sie zum Schutz Ihrer Domain einsetzen möchten.
  • Sie möchten ein Zertifikat installieren, das Sie nicht über SSL It! abrufen können.

So laden Sie ein SSL/TLS-Zertifikat hoch:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und klicken Sie auf „Hochladen“.

    image-upload.png

  2. Suchen Sie nach der .pem-Datei des SSL/TLS-Zertifikats, das Sie hochladen möchten, und klicken Sie auf Öffnen.

Das SSL/TLS-Zertifikat wird automatisch auf der Domain installiert.

Erneuern von SSL/TLS-Zertifikaten

Um sicherzustellen, dass Ihre Website ohne Unterbrechungen geschützt ist, müssen Sie die installierten SSL/TLS-Zertifikate rechtzeitig erneuern. Dabei unterstützt Sie die Erweiterung SSL It!.

SSL It! erneuert kostenlose SSL/TLS-Zertifikate von Let’s Encrypt und DigiCert automatisch 30 Tage vor Ablauf.

image-renew.png

Kostenpflichtige SSL/TLS-Zertifikate können über SSL It! nicht automatisch verlängert werden. Sie haben jedoch die folgenden Optionen:

  • Stellen Sie die Zertifikate manuell erneut aus.
  • Ersetzen Sie abgelaufene SSL/TLS-Zertifikate automatisch mit kostenlosen Zertifikaten von Let’s Encrypt.

So stellen Sie kostenpflichtige SSL/TLS-Zertifikate erneut aus:

  1. Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.

  2. Klicken Sie auf „Zertifikat erneut ausstellen“. Sie werden dann automatisch zum Online-Shop von Plesk weiterleitet.

  3. Geben Sie Ihre Adresse und Zahlungsinformationen ein und schließen Sie den Kauf ab.

  4. Klicken Sie im Browser auf die Schaltfläche „Zurück“, um zu Plesk zurückzukehren.

  5. Die Bearbeitung der Bezahlung kann eine Weile dauern. Um den Zahlungsstatus zu aktualisieren, klicken Sie auf „Neu laden“. Der Status wird automatisch einmal pro Stunde aktualisiert.

    image-waiting-payment.png

  6. Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.

    image-payment-received.png

  7. Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.

  8. Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.

So ersetzen Sie abgelaufene kostenpflichtige SSL/TLS-Zertifikate automatisch durch kostenlose Zertifikate von Let’s Encrypt:

  1. Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.
  2. Aktivieren Sie „Websites schützen“.

Wenn Ihr kostenpflichtiges SSL/TLS-Zertifikat nun abläuft, stellt SSL It! automatisch ein kostenloses SSL/TLS-Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Das neue Zertifikat sollte innerhalb einer Stunde ausgestellt werden, nachdem das bisherige Zertifikat abgelaufen ist.

Aufheben der Zuweisung von SSL/TLS-Zertifikaten

  1. Gehen Sie zu Websites & Domains > Ihre Domain, deren SSL/TLS-Zertifikate Sie nicht mehr verwenden möchten > SSL/TLS-Zertifikate.
  2. Klicken Sie auf Zertifikatzuweisung aufheben und dann auf OK.

Erhöhen der Sicherheit von Websites und verschlüsselten Serververbindungen

Eine Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu schützen, reicht jedoch nicht, um für den Rundumschutz Ihrer Website zu sorgen. SSL ist eine komplexe Technologie, die verschiedene Funktionen wie Verschlüsselungsalgorithmen für Schlüssel, sichere Verschlüsselungsverfahren und HSTS umfasst. Über SSL können Sie Folgendes tun:

  • Sicherheit der Websitebesucher erhöhen
  • Leistung der Website verbessern
  • Sicherheit aller verschlüsselten Verbindungen des Servers steigern

Wenn Sie die folgenden Funktionen aktivieren, können Sie das Ranking Ihrer Website in den Ergebnissen von Suchmaschinen verbessern:

  • „Von HTTP auf HTTPS umleiten“: Eine permanente und SEO-freundliche 301-Umleitung wird von der nicht sicheren HTTP-Verbindung auf die sichere HTTPS-Version der Website oder von Webmail eingerichtet.
  • HSTS: Webbrowser können nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen.
  • OSCP: Der Webserver und nicht der Webbrowser des Besuchers ruft den Status des Website-Zertifikats von der Zertifizierungsstelle ab. Das Zertifikat kann dabei gültig, gesperrt oder unbekannt sein.
  • Durch TLS-Versionen und Verschlüsselungsverfahren von Mozilla werden über SSL/TLS-Zertifikate geschützte Verbindungen (Website, E-Mail, Plesk usw.) noch sicherer.

Vorsicht: Bevor Sie diese Funktionen aktivieren, vergewissern Sie sich, dass Ihre Website ohne Probleme über HTTPS erreicht werden kann. Andernfalls können Besucher möglicherweise nicht auf Ihre Website zugreifen.

Bemerkung: Falls Sie HSTS oder die OCSP-Anheftung bereits manuell in Ihrem Webserver eingerichtet haben, löschen Sie diese Anpassungen, bevor Sie HSTS oder die OCSP-Anheftung in SSL It! aktivieren.

So erhöhen Sie die Sicherheit von Websites und verschlüsselten Serververbindungen:

  1. Schützen Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle.

  2. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.

  3. Wenn Sie ein Upgrade von früheren Plesk Versionen auf Plesk Obsidian durchgeführt haben, aktivieren Sie „Von HTTP auf HTTPS umleiten“. Die Umleitung gilt dann standardmäßig auch für Webmail. In neuen Installationen von Plesk Obsidian ist die Umleitung für die Domain und Webmail standardmäßig aktiviert.

    Bemerkung: Wenn Webmail nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht einsetzen, heben Sie die Auswahl von „Webmail auf dieser Domain schützen“ auf.

  4. Setzen Sie HSTS ein:

    1. Aktivieren Sie HSTS.

    2. Vergewissern Sie sich, dass ein gültiges SSL/TLS-Zertifikat zum Schutz der Website eingesetzt wird. Dies sollte während des Zeitraums „Max. Alter“ zutreffen. Das gilt auch für Subdomains und die Webmail-Subdomain. Falls das SSL/TLS-Zertifikat vor diesem Zeitraum abläuft und HSTS aktiviert ist, können Besucher nicht auf Ihre Website zugreifen.

    3. Wenn Ihre Subdomains nicht über ein gültiges SSL/TLS-Zertifikat geschützt sind oder Sie keine Subdomains einsetzen, heben Sie die Auswahl von „Subdomain einschließen“ auf.

    4. Wenn Ihre Webmail-Subdomain nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht einsetzen, heben Sie die Auswahl von „Webmail auf dieser Domain schützen“ auf.

    5. Klicken Sie auf HSTS aktivieren.

      Bemerkung: Falls das SSL/TLS-Zertifikat vor dem Zeitraum „Max. Alter“ abläuft, Sie jedoch HSTS verwenden möchten, sollten Sie die Option „Websites schützen“ aktivieren. Wenn das SSL/TLS-Zertifikat dann abläuft, stellt SSL It! automatisch ein kostenloses Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Die Website bleibt geschützt und HSTS funktioniert weiterhin.

  5. Aktivieren Sie „OCSP-Anheftung“.

  6. Aktivieren Sie die TLS-Versionen und Verschlüsselungsverfahren von Mozilla:

    1. Gehen Sie zu Erweiterungen > Tab „Meine Erweiterungen“ und klicken Sie neben SSL It! auf Öffnen.
    2. Aktivieren Sie „TLS-Versionen und -Verschlüsselungen von Mozilla“, behalten Sie die Einstellung „Ausgewogen (empfohlenen)“ bei und klicken Sie dann auf Aktivieren und synchronisieren.
    3. Um auf dem aktuellen Stand zu bleiben, klicken Sie alle paar Monate auf „Jetzt synchronisieren“.

Nachdem Sie die Sicherheit Ihrer Website und Ihres Servers über SSL verbessert haben, können Sie die SSL-Sicherheit Ihrer Website bewerten.

Bekannte Probleme und Einschränkungen

  • OCSP-Anheftung funktioniert nur für Websites, die über nginx mit Apache oder nur nginx bereitgestellt werden. Wenn Ihre Websites nur über Apache laufen, müssen Sie „OCSP-Anheftung“ nicht aktivieren.
  • Die OCSP-Anheftung funktioniert möglicherweise nicht für SSL/TLS-Zertifikate von bestimmten Anbietern (z. B. kostenlose Zertifikate von DigiCert), wenn nicht die komplette Vertrauenskette vorhanden ist. Um herauszufinden, ob Ihr Zertifikat die OCSP-Anheftung unterstützt, führen Sie den SSL Labs-Test in Ihrer SSL-Konfiguration aus.
  • Die automatische Synchronisierung von TLS-Versionen und Verschlüsselungsverfahren von Mozilla wird derzeit nicht unterstützt.

Bewerten der SSL-Sicherheit Ihrer Website

In den gängigen Suchmaschinen wie Google werden Websites mit hohem SSL-Schutz weiter oben in den Ergebnissen angezeigt. Über die Erweiterung SSL It! haben Sie Zugriff auf eines der beliebtesten Testtools: Qualys SSL Labs. Damit können Sie Folgendes erreichen:

  • SSL-Schutz der Website einstufen
  • Mögliche Optimierungen erkennen
  • Bestnote A+ erreichen (nach Erhöhung des SSL-Schutzes, falls notwendig)

So bewerten Sie die SSL-Sicherheit Ihrer Website:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
  2. Klicken Sie auf „SSL Labs-Test ausführen“.

Die Website von Qualys SSL Labs wird in einem neuen Tab geöffnet und der Test beginnt automatisch. Nachdem der Test abgeschlossen wurde, erhalten Sie die Bewertung. Dies kann einige Minuten dauern.

Wenn Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle geschützt und alle Sicherheitsmaßnahme in SSL It! aktiviert haben, erhalten Sie in der Regel die Bestnote A+.

Anpassen der Liste von SSL/TLS-Zertifikaten, die in SSL It! verfügbar sind

Wenn Sie eine Domain mit einem SSL/TLS-Zertifikat schützen möchten und SSL It! öffnen, sehen Sie vier verfügbare SSL/TLS-Zertifikate von verschiedenen Zertifizierungsstellen. Es gibt jedoch noch mehr.

In SSL It! ist eine Liste der SSL/TLS-Zertifikate verfügbar, die installiert werden können. Sie können auswählen, welche Zertifikate in der Oberfläche von SSL It! für Sie, Kunden und Reseller zu finden sind.

So passen Sie die Liste der verfügbaren SSL/TLS-Zertifikate an:

  1. Stellen Sie eine Verbindung über SSH zum Plesk Server her und führen Sie die folgenden Befehle aus, um die vollständige Liste der verfügbaren SSL/TLS-Zertifikate abzurufen:

    plesk ext sslit --product –list
    
  2. Kopieren Sie die Anbieter- und Produkt-IDs (in der dritten Spalte) der SSL/TLS-Zertifikate, die in der Oberfläche von SSL It! zu sehen sein sollen.

    image-product-list.png

  3. Fügen Sie nach folgendem Muster einen Eintrag zur Datei panel.ini hinzu:

    [ext-sslit]
    filteredProducts = composite vendor & product ID1,composite vendor & product ID2,
    

    Wenn Sie möchten, dass in SSL It! nur zwei SSL/TLS-Zertifikate von RapidSSL zu sehen sind, fügen Sie die folgenden Zeilen zu panel.ini hinzu:

    [ext-sslit]
    filteredProducts = rapid-ssl__rapid-ssl,rapid-ssl__rapid-ssl-wildcard
    

Wenn eine Domain nicht über ein Zertifikat geschützt ist, sieht die Oberfläche von SSL It! so aus:

image-rapidSSL.png

Bemerkung: Wenn Sie ein Anbieter von SSL/TLS-Zertifikaten sind und diese über SSL It! verkaufen möchten, wenden Sie sich per E-Mail an uns: email: extension@plesk.com. Wir unterstützen Sie dabei, eine Erweiterung für die Integration von SSL/TLS-Zertifikaten zu erstellen, und helfen Ihnen beim Veröffentlichen der Zertifikate in SSL It!.