HTTPS

Wir setzen auf unseren Hosting-Servern Wildcard-SSL-Zertifikate ein, die auf den Namen *.servername.uberspace.de ausgestellt sind. Liegt dein Uberspace wiebke also auf unserem Server argon, so wird dein Uberspace über unser Zertifikat für *.argon.uberspace.de mit abgedeckt - im Klartext heißt das, dass dein Uberspace dann unter der Adresse https://wiebke.argon.uberspace.de/ ohne Warnmeldung in allen gängigen Browsern abrufbar ist.

Wir empfehlen dir ausdrücklich, davon Gebrauch zu machen. Insbesondere, wenn du „administrative“ Tätigkeiten durchführst, z.B. das Konfigurationsinterface deines Shops oder deines Blogs aufrufst, sollte das grundsätzlich nur per HTTPS geschehen, da hierbei sensible Daten durchs Internet übertragen werden. Manche Shopsysteme bieten auch die Möglichkeit, in der Konfiguration eine HTTP-URL (für das „normale“ Browsen im Shop) sowie zusätzlich auch eine HTTPS-URL (unter anderem für die Abwicklung der Bezahlung) anzugeben. Bitte mache soweit möglich von dieser Möglichkeit Gebrauch, nicht nur um deinetwillen, sondern auch der Sicherheit deiner Besucher wegen.

Wie du weißt, kannst du deinen Uberspace per HTTP sowohl über seinen „internen“ Namen als auf über deine eigene Domain abrufen, wenn du eine hast aufschalten lassen. Per HTTPS ist das leider nicht möglich, denn hierzu muss der vom Besucher im Browser aufgerufene Hostname mit dem im SSL-Zertifikat genannten Hostnamen übereinstimmen. Das ist bei deiner eigenen Domain leider nicht der Fall, weil das Zertifikat ja auf unseren Hostnamen lautet, nicht auf deine Domain.

Hast du ein eigenes SSL-Zertifikat, beispielsweise von CAcert oder von StartCom? Dann kannst du dieses problemlos mit deinem Uberspace nutzen.

1. Bitte lade sowohl den privaten Schlüssel als auch das zugehörige SSL-Zertifikat per SSH/SFTP auf deinen Uberspace hoch. Bitte sende uns diese Dateien nicht per unverschlüsselter E-Mail. Das SSL-Zertifikat wäre wertlos, wenn der private Schlüssel potentiell mitgelesen werden könnte.
2. Der private Schlüssel muss auf deine Uberspace unverschlüsselt vorliegen, denn wir (genaugenommen unser Webserver) muss ihn ja lesen können. Wenn er verschlüsselt ist, kannst du ihn auf der SSH-Shell mit openssl rsa < verschluesselt.key > unverschluesselt.key entschlüsseln.
3. Bitte stelle sicher, dass privater Schlüssel und Zertifikat auch wirklich zueinander passen (das Zertifikat ist vereinfacht gesagt eine signierte Form des öffentlichen Schlüssels, der das Gegenstück zum privaten Schlüssel darstellt). Mit der Ausgabe des Modulus beider Dateien kannst du prüfen, ob der private Schlüssel und das Zertifikat zueinander passen.
4. Sollten Zwischenzertifikate mit installiert werden (die ausstellende Zertifizierungsstelle würde dich entsprechend darauf hinweisen), lege sie bitte mit dazu ab.
5. Gib uns dann kurz unter hallo@uberspace.de Bescheid, damit wir die Zertifikatsdateien in unsere HTTPS-Konfiguration übernehmen können.

Bitte beachte, dass wir Server Name Indication (SNI) verwenden, um mehrere SSL-Zertifikate auf einer einzelnen IP-Adresse abbilden zu können. Praktisch alle aktuellen Browser unterstützen SNI seit mindestens zwei Generationen; allerdings ist SNI-Support unter Windows XP nicht gegeben - auch aktuelle Versionen des Internet Explorers können hier nicht mit SNI umgehen (andere Browser nutzen ihre eigenen SSL-Bibliotheken und unterstützen SNI auch unter Windows XP). Nun ist Windows XP auch schon über zehn Jahre alt, und sein Mainstream-Support ist im April 2009 ausgelaufen. Gleichzeitig ist der IPv4-Adresspool bekanntermaßen erschöpft, so dass es für uns schlicht keine Option ist, dedizierte IPv4-Adressen für SSL-Zertifikate zu vergeben. Tut uns leid, aber User mit einem Internet Explorer unter Windows XP müssen hier schlicht draußen bleiben oder einen alternativen Browser benutzen.