Datenschutz ist heutzutage ein hohes Gut. Es ist deshalb die, fast schon moralische, Pflicht von Webseiten-Betreibern, ihre Seite mit einem SSL Zertifikat abzusichern. In der Praxis hat sich in jüngster Geschichte Let's Encrypt als Aussteller etabliert. Aber damit du nicht alle deine Subdomains einzeln absichern musst kannst du auch Wildcard Zertifikate ausstellen, die für deine gesamte Domain ausreichen.
SSL Zertifikate dienen der Verschlüsselung der Kommunikation mit Webseiten. Dass die von dir benutzte Webseite ein gültiges Zertifikat benutzt erkennst du an dem kleinen Schloss, das dir dein Browser anzeigt:
Damit dein Browser ein Zertifikat als sicher kennzeichnet, muss es von einer anerkannten Certificate Authority (CA) ausgestellt werden. Die meisten CA's lassen sich diesen Service gut bezahlen. Dabei gibt es verschiedene Arten von Zertifikaten. Normale Zertifikate decken einen oder mehrere Domain Namen ab. So zum Beispiel meine-domain.de und www.meine-domain.de. Möchtest du nun auch noch blog.meine-domain.de abdecken brauchst du ein weiteres Zertifikat. Um das zu umgehen, gibt es Wildcard Zertifikate, die eine Domain und ihre Subdomains abdeckt.
Diese Zertifikate werden mit meine-domain.de und *.meine-domain.de ausgewiesen. Mit einem solchen Zertifikat brauchst du dich nicht mehr sorgen, wenn du eine neue Subdomain ins Leben rufst. Diese Annehmlichkeit lassen sich CA's natürlich besonders gut bezahlen.
Wer keine gesteigerte Lust hat, Geld für obligatorische Zertifikate ohne direkten Mehrwert auszugeben ist bei Let's Encrypt gut aufgehoben. Let's Encrypt ist eine Initiative, die die Welt mit kostenlosen SSL Zertifikaten versorgt und hat Stand Februar 2020 bereits eine Milliarde kostenlose SSL Zertifikate ausgestellt.
Zuerst hat Let's Encrypt nur einfache Zertifikate ausgestellt, erst Anfang 2018 kamen dann Wildcard Zertifikate dazu. Hier setzen wir an, um uns ein kostenloses Wildcard SSL Zertifikat zu besorgen.
Um Let's Encrypt Zertifikate direkt auf eurem Server zu generieren benötigt ihr das Tool certbot, das mittlerweile für alle gängigen Betriebssysteme verfügbar ist und sich auf Debian und Ubuntu ganz einfach per apt install certbot
installieren lässt. Sobald Certbot installiert ist braucht ihr nur drei Sachen, um euch euer Zertifikat auszustellen:
Nachdem ihr euch in SSH und bei eurem DNS Anbieter eingeloggt habt, seid ihr nur noch wenige Schritte von eurem Zertifikat entfernt. Wir werden dies jetzt an der Domain felix-klauke.de
durchspielen. Alles beginnt mit folgendem Befehl:
sudo certbot certonly --manual --preferred-challenges dns -d felix-klauke.de -d *.felix-klauke.de
Wichtig ist hier, dass wir dns als challenge benutzen, da für Wildcard Zertifikate ein erhöhtes Maß an Kontrolle nötig ist. Als Reaktion auf den Befehl geben wir unsere Email Adresse an und stimmen zu, dass unsere IP Adresse geloggt wird (Das ist leider zwingend erforderlich). Daraufhin bekommen wir folgenden Anweisungen, die wir in unserem DNS Management umsetzen:
Das sollte dann so aussehen (Hier wird Cloudflare als DNS Provider benutzt):
Nur eine Bestätigung später sind eure Zertifikate fertig generiert:
Optional könnt ihr auch euren Webserver direkt mit den Zertifikaten konfigurieren lassen, indem ihr statt --manual
einfach z.B. --nginx
benutzt (Vorausgesetzt eine entsprechende Server Konfiguration existiert bereits).
Das Ausstellen von Zertifikaten ist kinderleicht und blitzschnell. Worauf wartest du? Hol auch du dir dein Wildcard Zertifikat!