1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
Warnungen für SSL-Labs-Tests lösen
In diesem Leitfaden wird erläutert, wie die detaillierten Informationen, die von der Kommission zur Verfügung gestellt wurden, richtig interpretiert werden können. Qualys SSL Labs (https://www.ssllabs.com/ssltest/) die manchmal technisch oder alarmierend erscheinen können, ohne einen geeigneten Kontext zu haben.
Präambel
- Qualys SSL Labs ist ein weit verbreitetes Analysewerkzeug zur Bewertung der SSL/TLS-Konfiguration von Websites.
- Warnungen in ihren Berichten sind oft nur technische Details ohne Auswirkungen auf die Sicherheit oder die SEO der Website.
Mehrere Zertifikate in SSL-Labs-Berichten
Wenn SSL Labs eine Website analysiert, kann es mehrere nummerierte Zertifikate anzeigen (Zertifikat #1, Zertifikat #2, etc.). Dies geschieht aus mehreren Gründen:
- Hauptzertifikat (#1): Das ausgestellte Zertifikat, wenn das SNI (Servername Indication) verwendet wird.
- Der SNI ist eine TLS-Erweiterung, die es einem Server ermöglicht, mehrere SSL-Zertifikate für verschiedene Domains auf einer IP-Adresse zu hosten. Wenn ein Browser sich einloggt, gibt er den Domainnamen an, den er verbinden möchte.
- Sekundärbescheinigung (#2): Das Zertifikat, das vorgelegt wird, wenn der SNI nicht verwendet wird oder bei einer direkten IP-Verbindung.
Ein Hinweis "No SNI" in der Bescheinigung #2 ist kein Fehler Es bedeutet einfach, dass SSL Labs getestet hat, was passiert, wenn ein Kunde ohne SNI-Informationen einloggt. In diesem Fall gilt Folgendes:
- Der Server dient als Backup-Zertifikat (oft ein generisches oder ein Vorschau-Zertifikat).
- Dies gilt nur für sehr veraltete Kunden, die den SNI nicht unterstützen.
- Moderne Browser nutzen alle das SNI und erhalten daher das Zertifikat #1.
Probleme mit der Zertifikatskette
"Chain issues: Incorrect order, Extra certs, Contains anchor"
Diese Warnungen bedeuten nicht notwendigerweise, dass das Zertifikat fehlerhaft ist:
Incorrect order: Die Zwischenbescheinigungen sind nicht in der optimalen Reihenfolge angegeben.Extra certs: Zusätzliche Zertifikate sind nicht erforderlich.Contains anchor: Das Wurzelzertifikat ist im String enthalten.
Das TLS-Protokoll lässt das Root-Zertifikat zu, da es normalerweise bereits in den Browser-Zertifikatspeichern vorhanden ist. Es ist kein Fehler, sondern Redundanz.
“Alternative names mismatch”
Für die Hilfsbescheinigung (#2) die Warnung "MISMATCH" ist normal, weil:
- Dieses Zertifikat ist für einen anderen Bereich bestimmt (
preview.infomaniak.website). - Es wird nur dann vorgelegt, wenn das NIS nicht verwendet wird.
- Der Browser, der dieses Zertifikat empfängt, würde es als nicht korrespondierend für die gewünschte Domain identifizieren, aber es berührt nicht die normalen Verbindungen mit SNI.
SEO-Beunruhigung:
- Google und andere Suchmaschinen verwenden moderne Browser, die SNI unterstützen.
- Sie erhalten das #1-Zertifikat, das für Ihre Domain gültig ist.
- Die Warnungen in Bezug auf das Zertifikat #2 haben keinen Einfluss auf die Referenzierung.
- Nur Probleme mit dem Hauptzertifikat (#1) könnten den SEO beeinträchtigen.
Diese Konfiguration eignet sich hervorragend für ein mutualisiertes Hosting, bei dem mehrere Standorte die gleiche Infrastruktur haben, mit einem Vorschauzertifikat, das als Rückschlaglösung dient.