Warum SSL heute Pflicht ist
Ein SSL-Zertifikat verschlüsselt die Verbindung zwischen Browser und Server. Ohne SSL warnen Chrome, Firefox und Co. deine Besucher mit einem unübersehbaren "Nicht sicher" in der Adresszeile, Formulare und Logins werden im Klartext übertragen, und auch Suchmaschinen bewerten unverschlüsselte Seiten schlechter. Kurz: HTTPS ist kein Extra mehr, sondern Grundausstattung für jede Website.
Die gute Nachricht: Im KeyHelp-Panel, über das dein Webhosting bei Nytrix läuft, ist ein kostenloses Let's-Encrypt-Zertifikat bereits enthalten. Du brauchst weder eine kostenpflichtige Zertifizierungsstelle noch Kommandozeilen-Akrobatik. Diese Anleitung führt dich Schritt für Schritt durch.
Voraussetzungen prüfen
Bevor du das Zertifikat ausstellst, sollte eine Sache stimmen: Die Domain muss bereits auf den Server zeigen. Let's Encrypt prüft beim Ausstellen automatisch, ob die Domain wirklich zu dir gehört, und das geht nur, wenn die DNS-Einträge sauber gesetzt sind.
- Der
A-Eintrag (und bei BedarfAAAAfür IPv6) der Domain zeigt auf die IP deines Webhosting-Servers. - Falls du
wwwnutzt, ist auch dafür ein Eintrag gesetzt (meist einCNAMEauf die Hauptdomain). - Die DNS-Änderung ist bereits aktiv. Nach einer frischen Umstellung kann das bis zu einige Stunden dauern.
Hast du deine Domain direkt bei Nytrix registriert, verwaltest du diese Einträge bequem in der DNS-Verwaltung. Ist die Domain noch unterwegs, prüfe die Weiterleitung kurz mit einem ping deine-domain.de oder einem DNS-Checker.
Let's-Encrypt-Zertifikat im KeyHelp ausstellen
Jetzt geht es ins Panel. Der Ablauf ist in wenigen Klicks erledigt:
- Melde dich im KeyHelp an und öffne den Bereich Domains.
- Wähle die Domain aus, die ein Zertifikat bekommen soll, und öffne deren Einstellungen.
- Suche den Abschnitt für SSL beziehungsweise das Zertifikat und aktiviere die Option, ein Let's-Encrypt-Zertifikat ausstellen zu lassen.
- Achte darauf, dass sowohl die Hauptdomain als auch die
www-Variante mit ins Zertifikat aufgenommen werden, damit beide Adressen sauber verschlüsselt sind. - Speichere die Einstellung und warte kurz, bis KeyHelp das Zertifikat erzeugt hat.
Im Hintergrund kümmert sich das Panel um die komplette Kommunikation mit Let's Encrypt und die Domain-Validierung. Nach wenigen Augenblicken ist das Zertifikat ausgestellt und deine Seite über https:// erreichbar. Klappt es nicht auf Anhieb, liegt es fast immer am DNS: Zeigt die Domain noch nicht korrekt auf den Server, scheitert die Validierung. Dann hilft nur kurz abwarten und erneut versuchen.
Automatische Verlängerung
Let's-Encrypt-Zertifikate sind bewusst kurzlebig und nur 90 Tage gültig. Das klingt nach Aufwand, ist in der Praxis aber keiner: KeyHelp erneuert das Zertifikat rechtzeitig vor Ablauf automatisch. Du musst dich also nach der einmaligen Aktivierung um nichts mehr kümmern.
Wichtig ist nur, dass die DNS-Einträge dauerhaft korrekt bleiben. Ziehst du später mit der Domain um oder änderst die IP, kann die automatische Verlängerung fehlschlagen, weil die Validierung nicht mehr durchläuft. Ein gelegentlicher Blick auf das Ablaufdatum im Panel schadet daher nicht.
HTTPS erzwingen per Weiterleitung
Ein ausgestelltes Zertifikat allein sorgt noch nicht dafür, dass deine Besucher auch wirklich auf der sicheren Variante landen. Wer http://deine-domain.de eintippt, bleibt sonst auf der unverschlüsselten Seite. Damit das nicht passiert, leitest du allen Verkehr auf HTTPS um.
Schau zuerst im Panel nach, ob es bereits eine Option wie "HTTPS erzwingen" oder "Auf HTTPS umleiten" für die Domain gibt. Ist das der Fall, aktiviere sie einfach. Andernfalls erledigst du die Umleitung über die .htaccess im Wurzelverzeichnis deiner Domain. Trage dort ganz oben diese drei Zeilen ein:
RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Die 301 sorgt dafür, dass es sich um eine dauerhafte Weiterleitung handelt, was auch für Suchmaschinen das richtige Signal ist. Die Datei lädst du entweder über den Dateimanager im Panel hoch oder bearbeitest sie direkt dort. Danach landet jeder Aufruf automatisch auf der verschlüsselten Adresse.
Gemischte Inhalte aufspüren und beheben
Nach der Umstellung kann es passieren, dass das Schloss-Symbol trotz gültigem Zertifikat nicht erscheint oder durchgestrichen ist. Schuld sind meist gemischte Inhalte (englisch "Mixed Content"): Die Seite selbst läuft über HTTPS, lädt aber einzelne Ressourcen wie Bilder, Stylesheets oder Skripte noch über http://. Der Browser stuft die Seite dann als nicht vollständig sicher ein.
So gehst du das Problem an:
- Öffne die Entwicklerkonsole deines Browsers (meist mit
F12) und schau im Reiter Konsole nach Warnungen zu "Mixed Content". Dort steht genau, welche Datei noch über HTTP geladen wird. - Passe absolute Links im Quellcode oder Theme von
http://aufhttps://an, oder nutze protokollrelative beziehungsweise relative Pfade. - Nutzt du ein CMS wie WordPress, stelle die Seiten-URL in den Einstellungen auf die HTTPS-Variante um und durchsuche die Datenbank nach alten HTTP-Verweisen.
Sind alle Ressourcen auf HTTPS umgestellt, zeigt der Browser wieder das geschlossene Schloss, und deine Seite gilt als vollständig verschlüsselt.
Mit Nytrix umsetzen
Das kostenlose Let's-Encrypt-SSL ist bei jedem Webhosting-Tarif von Nytrix dabei, dazu das vollständige KeyHelp-Panel mit Dateimanager, phpMyAdmin, E-Mail- und FTP-Konten sowie Cronjobs. Der Starter-Tarif startet bei 2,99 EUR im Monat (3 GB SSD, 4 Domains, 5 Mail-Konten, 1 Datenbank, 5 TB Traffic) und ist alternativ als Lifetime-Variante für einmalig 149,99 EUR zu haben. Wer mehr Platz braucht, greift zum Standard-Tarif für 8,99 EUR (10 GB SSD, 15 Domains, 20 Mail-Konten, 5 Datenbanken). Die PHP-Version legst du pro Domain selbst fest, von 7.4 bis 8.4.
Abgerechnet wird per Prepaid: Du lädst Guthaben auf und buchst, ganz ohne Mindestlaufzeit oder Vertragsbindung. Brauchst du noch die passende Domain dazu, findest du bei den Domains über 400 TLDs mit kostenlosem WHOIS-Schutz und voller DNS-Verwaltung, sodass du die nötigen A- und CNAME-Einträge fürs SSL direkt selbst setzt. Gehostet wird im Rechenzentrum in Eygelshoven (NL), DDoS-Schutz inklusive.