Community Tip - Sicherheits-FAQ

Vor dem Posten bitte lesen

Bitte beachten Sie diesen Beitrag und die verlinkten Beiträge und verwenden Sie :search: oben rechts, um nach Ihrem Problem zu suchen. In diesem Community-Tipp finden Sie Antworten zu den am häufigsten gestellten Fragen zu SSL/TLS. Mit der :search:-Funktion erhalten Sie zusätzliche Ratschläge und Informationen.

Hintergrund
Diese Sicherheits-FAQ befassen sich mit Cloudflare Spectrum, Cloudflare Access, Free Universal SSL, Edge-Zertifikaten, selbstsignierten Zertifikaten und Ursprungszertifikaten, TLS, HSTS und allem weiteren, was die SSL/TLS-App betrifft.

Umleitungsschleife
Wenn Sie den „Flexible SSL“-Modus unter der Registerkarte „Übersicht“ der SSL/TLS-App von Cloudflare verwenden und HTTPS für Ihren Ursprungsserver erzwingen, ist dies die wahrscheinlichste Ursache des Problems. Im „Flexible“-Modus wird der zwischen Ihrem Ursprungsserver und Cloudflare ausgetauschte Traffic nicht verschlüsselt. Ihr Ursprungsserver erzwingt https und anschließend wird die Anfrage an Cloudflare weitergeleitet wird. Cloudflare versucht dann erneut, dieselbe http-Anfrage zu senden, sodass es zu einer Endlosschleife kommt. Dieses Problem wird in diesem Knowledge Base-Leitfaden behandelt – Warum verursacht der „Flexible SSL“-Modus eine Umleitungsschleife?

Es gibt mehrere Möglichkeiten, dieses Problem zu beheben:

In diesem Community-Tutorial erfahren Sie mehr über SSL:
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Zu tiefe Subdomain-Ebene/Benutzerdefinierte Zertifikate und Extended Validation-Zertifikate
Beachten Sie bitte: Sobald Cloudflare unser „Universal SSL“-Angebot erfolgreich in Ihrer Zone bereitgestellt hat, decken diese Zertifikate nur eine einzige Ebene von Subdomains ab (*.example.com, nicht *.*.example.com):

  • Funktionieren wird: www.example.com
  • Funktionieren wird: example.com
  • Funktionieren wird: test.example.com
  • NICHT funktionieren wird: www.test.example.com
  • NICHT funktionieren wird: staging.www.example.com

Sollten Sie ein Zertifikat benötigen, das mehrere Subdomain-Ebenen abdeckt, können Sie ein Dediziertes SSL-Zertifikat mit benutzerdefinierten Hostnamen erwerben, bei dem Sie Subdomains mit beliebig vielen Ebenen angeben können.

Falls Sie lieber Ihr eigenes Zertifikat als ein von uns bereitgestelltes Universal SSL-Zertifikat verwenden möchten, müssen Sie ein Upgrade auf unseren Business-Tarif durchführen und ein benutzerdefiniertes Zertifikat hochladen.

Bitte beachten Sie, dass Cloudflare derzeit keine „Extended Validation“-Zertifikate anbietet. Wenn Sie ein solches Zertifikat verwenden möchten, müssen Sie es separat erwerben und per benutzerdefiniertem SSL-Upload in Ihr Cloudflare-Konto hochladen.

Optional können Sie den erweiterten Zertifikatemanager erwerben und ein dediziertes Zertifikat mit benutzerdefiniertem Hostnamen erstellen.

Verständnis des erweiterten Zertifikatemanagers
Verwaltung von dedizierten SSL-Zertifikaten

Unterstützte Clients (nur SNI)

Unsere SSL-Zertifikate in den kostenpflichtigen Tarifen (Pro, Business und Enterprise) funktionieren mit allen Desktop-Browsern. Wenn Sie sich also Sorgen bezüglich der Kompatibilität machen oder viele Benutzer mit alten Browserversionen haben, empfiehlt sich ein Upgrade auf einen unserer kostenpflichtigen Tarife.

Sowohl dedizierte Zertifikate als auch Universal SSL verwenden Server Name Indication (SNI)-Zertifikate mit dem Elliptic Curve Digital Signature Algorithm (ECDSA). SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:

Desktop-Browser, die unter Windows Vista oder OS X 10.6 oder höher installiert sind:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (mit aktiviertem TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Mobile Browser

  • Mobile Safari für iOS 4.0
  • Android 3.0 (Honeycomb) und höher
  • Windows Phone 7

Beachten Sie, dass alle API-Dienste oder Zahlungs-Gateways, die mit Ihrer Website kommunizieren, ebenfalls SNI und ECDSA unterstützen müssen, um sich über Cloudflare mit Ihrer Website verbinden zu können.

SSL-Modi – SSL zum Ursprungsserver

Cloudflare bietet die folgenden SSL-Modi an:

  1. Flexible SSL: SSL wird bei den Edge-Servern von Cloudflare beendet. Der Datenaustausch zwischen Ihrem Client und Cloudflare ist verschlüsselt, zwischen Cloudflare und Ihrem Ursprungsserver jedoch nicht. Hierfür benötigen Sie kein Zertifikat.
  2. Full SSL: SSL wird bei dem Edge-Server von Cloudflare beendet. Dann folgt eine erneute Verschlüsselung und die Daten werden voll verschlüsselt an Ihre Server zurückgesandt. Ein SSL-Zertifikat muss auf Ihrem Server installiert sein. Sie können bei dieser Option ein selbstsigniertes Zertifikat verwenden.
  3. Full SSL (Strict): Für diese Option gilt das Gleiche wie für Full SSL, allerdings muss das verwendete Zertifikat von einer offiziellen Zertifizierungsstelle (Certificate Authority – CA) wie GlobalSign signiert worden sein. Wenn Sie Full SSL Strict aktivieren möchten, können Sie ein kostenloses Cloudflare-Ursprungszertifikat bei Ihrem Host installieren.

Eine vollständige Übersicht über unsere SSL-Einstellungen finden Sie [hier] (https://support.cloudflare.com/hc/de/articles/200170416).

Wenn Sie die Konfigurationsoptionen Full oder Full (Strict) verwenden möchten, benötigen Sie ein Zertifikat auf Ihrem Ursprungs-Webserver.

Wenn Sie die Option Full (Strict) verwenden, muss dieses SSL-Zertifikat gültig sein und entweder von einer Zertifizierungsstelle (Certificate Authority – CA) signiert sein oder unseren Origin CA-Service nutzen.

Fehler bei gemischten Inhalten und Umleitungsschleifen

Wenn Sie feststellen, dass bei HTTPS-Verbindungen das grüne Vorhängeschloss in Ihrem Browser fehlt, besteht wahrscheinlich ein Problem mit Mixed Content (gemischten Inhalten). Das bedeutet, dass Ihre Website über HTTPS, ein Teil der Ressourcen jedoch über HTTP geladen wird. Um dies zu beheben, müssen Sie Ihren Quellcode bearbeiten und alle Ressourcen so ändern, dass sie über einen relativen Pfad oder direkt über HTTPS geladen werden.

Zum Beispiel, wenn Sie Ihre Bilder mit einer vollständigen URL laden:

<img src="http://example.com/image.jpg" />

Dies sollte geändert werden in:

<img src="//example.com/image.jpg" />

Wenn Sie das http: entfernen, verwendet der Browser das Protokoll, das vom Besucher bereits benutzt wird. Weitere Informationen dazu finden Sie in diesem Artikel. Alternativ können Sie in diesem Fall ein „Mixed-Content Fixer“-Plug-In installieren, das die Zeichenfolge http in diesen Abschnitten durch https ersetzt. Für Wordpress haben wir mit dem SSL Insecure Content Fixer-Plug-In gute Erfahrungen gemacht.

Eine Alternative wäre, die Funktion Automatic HTTPS Rewrites zu aktivieren, die diese Fehler möglicherweise automatisch für Sie behebt. Beachten Sie, dass geladene JavaScript- oder CSS-Ressourcen nicht automatisch neu geschrieben werden und dass Warnungen zu gemischten Inhalten weiterhin angezeigt werden.

In der Regel treten diese Probleme nur bei Benutzern des „Flexible SSL“-Diensts von Cloudflare auf. Ob Sie den „Full SSL“- oder „Flexible SSL“-Service von Cloudflare verwenden, finden Sie heraus, indem Sie sich beim Cloudflare-Dashboard anmelden, dort auf die Registerkarte „Übersicht“ in der SSL/TLS-App klicken und dann unten bei der SSL-Einstellung nachsehen.

Benutzer des flexiblen SSL

Im „Flexible“-Modus wird der Traffic zwischen Ihrem Ursprungsserver und Cloudflare nicht verschlüsselt. Ihr Ursprungsserver erzwingt https und anschließend wird die Anfrage an Cloudflare weitergeleitet. Cloudflare versucht dann erneut, dieselbe http-Anfrage zu senden, sodass es zu einer Endlosschleife kommt. Ich konnte bestätigen, dass Ihre Website tatsächlich eine HTTPS-Umleitung erzwingt.

Es gibt mehrere Möglichkeiten, dieses Problem zu beheben:

Zusätzlich fügt Cloudflare auch einen X-Forwarded-Proto-Header hinzu, der anhängig vom Protokoll, das der Benutzer zum Aufrufen der Website verwendet, http oder https unterstützen kann, z. B.:

X-Forwarded-Proto: https

Wenn die Einstellung „Flexible SSL“ verwendet wird und ein Besucher für die Anfrage bei Cloudflare HTTPS verwendet (Cloudflare sendet die Anfrage per HTTP an den Ursprungsserver). In diesem Szenario kann der Ursprungsserver erkennen, dass der Besucher HTTPS verwendet, indem er diesen Header prüft.

Zertifikat nicht bereitgestellt
Überprüfen Sie die DNS-App-Einträge, um sicherzustellen, dass (example.com) und www.example.com oder example.com mit einer orangefarbenen Wolke gekennzeichnet sind.

Damit das Universal SSL-Zertifikat von Cloudflare bereitgestellt werden kann, müssen Sie bei allen erforderlichen Einträgen die orangefarbene Wolke aktivieren. Sobald der DNS-Eintrag mit einer orangefarbenen Wolke gekennzeichnet ist, beginnt die Bereitstellung Ihres Universal SSL-Zertifikats von Cloudflare.

Weitere Informationen dazu finden Sie in der nachstehenden Kurzanleitung zur Einrichtung:

Sonstige SSL/TLS-Fehler

Behebung von Fehler 520: Webserver zeigt einen unbekannten Fehler anBehebung von Fehler 521: „Web server is down“
Behebung von Fehler 525: „SSL handshake failed“
Behebung von Fehler 526: „Invalid SSL certificates“

Sie benötigen weitere Hilfe?
Diese Community aus Cloudflare-Nutzern kann Ihnen vielleicht weiterhelfen. Loggen Sie sich bei Cloudflare ein und stellen Sie Ihre Frage in der Community. Wenn Sie einen Beitrag in der Community verfassen, sollte dieser so viele Informationen wie möglich enthalten: die genaue Fehlermeldung, die Ihnen angezeigt wird, die URLs, unter denen der Fehler auftritt, einen Screenshot des Fehlers und die Schritte, die zum Auftreten des Fehlers führen. Bitte geben Sie an, welche Maßnahmen Sie zur Fehlerbehebung ergriffen haben, damit wir Ihnen helfen können.

Kommentare von Experten erwünscht
Dieser Community-Tipp bleibt offen für Beiträge von Community-Experten und Leute, die mit diesem Thema vertraut sind. Wir freuen uns sehr über Kommentare wie: „Diese drei Dinge sollten Sie immer ausprobieren“, oder „Machen Sie das zuerst“ oder „Meiner Erfahrung nach“.

Dies ist ein Cloudflare Community-Tipp. Um andere Tipps zu lesen, klicken Sie hier.

Çevirme…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: Diesen Tipp übersetzen

AQSECT 030321