Aktuelle Einschränkungen bzgl. SSL auf v3
Momentan bestehen auf einigen Accounts auf unserer v3-Hosting-Plattform Probleme bei der Erneuerung der kostenlosen SSL-Zertifikate. In diesem Artikel erklären wir kurz die Hintergründe und auf welche Art die Probleme nachhaltig gelöst werden. Der Einfachheit halber steht nachfolgend „SSL“ für „SSL-Zertifikat“.
SSLs sind unerlässlich, um die Sicherheit von Webseiten zu gewährleisten. Sie verschlüsseln den Datenverkehr zwischen einem Webserver und einem Browser und schützen so vor potenziellen Angriffen. Als Webhosting-Anbieter ist es uns daher wichtig, unseren Kunden die Nutzung von SSLs auf möglichst einfache Art anzubieten. Zu diesem Zweck nutzen wir die kostenlosen SSL-Kontingente des etablierten Zertifikats-Ausstellers „Sectigo„, die über das cPanel-Modul „Auto SSL“ automatisch bereitgestellt werden.
SSL im v3-Account generieren
Alle v3-User bekommen für sämtliche Domains, Websites und E-Mail-Konten automatisch die benötigten SSL registriert, installiert und erneuert. Möglich macht das unser „Auto SSL“ Tool, womit auch eigene SSLs manuell installiert oder gelöscht werden können (für technisch versierte Anwender).
Anzahl der SSL-Zertifikate je Domain
Allerdings gibt es eine Einschränkung bei Sectigo: Der Anbieter beschränkt die maximale Anzahl an kostenlosen Zertifikaten, die pro Domain ausgestellt und erneuert werden dürfen. Dies bedeutet, dass wir uns an bestimmte Limits halten müssen (aktuell 500 SSLs pro Domain), um unsere Kunden weiterhin mit SSL-Zertifikaten auszustatten.
Das klingt zunächst so, als wenn ausreichend SSLs pro Account ausgestellt werden können. Wenn nicht die bisherige Domain-Struktur der Accounts mit den Server-Domains verbunden wäre:
Haupt-Domain-Struktur auf v3
Die Haupt-Domain eines Accounts kann frei gewählt werden, z.B. „meinedomain.de“. Jede zusätzliche Domain in einem Account (Addon- oder Alias- bzw. geparkte Domain) wird automatisch als Sub-Domain der Haupt-Domain angelegt, was in der Natur eines cPanel-Webservers liegt und nicht geändert werden kann.
So wird mit einer zusätzlichen Addon-Domain „beispiel.org“ automatisch die Subdomain „beispiel.meinedomain.de“ angelegt und zeigt auf das gleiche Verzeichnis wie die dazugehörige Addon-Domain.
Allerdings hatten wir in den ersten Jahren von v3 für unsere Kunden jeweils eine eigene interne Haupt-Domain mit jedem neuen Account vergeben, z.B. „beispiel.macbay.net“ oder „beispiel.macbay.org, wie das bereits unter macbay.de der Fall war. Diese Sub-Domains einer der Macbay-Domains nennen wir „Inklusiv-Domains“, da diese kostenlos genutzt werden konnten.
Hiermit konnten User, die noch keine eigene Domain hatten, schon mal eine Website nutzen wollten, diese schon einmal unter der Inklusiv/Domain aufsetzen, bis sie sich für eine eigene Domain entschieden hatten.
Jedenfalls wurden dementsprechend für neue v3-Accounts sämtliche Addon-Domains als Sub-Sub-Domain von macbay.net bzw. macbay.org angelegt. Ein Beispiel:
- Kunde bekommt einen neuen Hosting-Account auf v3 zusammen mit der Haupt-Domain „username.macbay.net“ eingerichtet
- Zu jeder zusätzlichen Addon-Domain des Kunden wird nun automatisch eine Sub-Domain unter der Haupt-Domain angelegt
- Legt der Kunde nun „meier.de“ als eigene Addon-Domain an, wird hierzu auch die Sub-Domain „meier.username.macbay.net“ automatisch angelegt
Problem dieser Struktur in Verbindung mit SSL
Wir erinnern uns: Je Domain können maximal 500 SSLs ausgestellt werden. Da wir mittlerweile über 500 Domains über die oben beschriebene Haupt-Domain-Struktur generiert haben, die regelmäßig erneuert werden, sind die Limits erreicht und Sectigo verweigert die weitere Ausstellung bzw. Erneuerung bestehender Zertifikate.
Lösung
Da eine Haupt-Domain eines v3-Accounts problemlos von unseren Admins geändert werden können, werden wir nun sukzessive all Haupt-Domains auf sogenannte „noexist“-Domains abändern. Das hat zur Folge, dass Sectigo die Addon-Domains eines Acccount nicht mehr unseren Domains „macbay.net“ oder macbay.org“ als verbunden betrachtet und die SSLs ausstellt und erneuert.
Einschraenkung bei Haupt-Domain-Umstellung
Allerdings würde hiermit auch die Inklusiv-Domain eines Accounts nicht mehr zur Verfügung stehen. Daher werden wir mit allen bereits auf v3-umgezogenen Kunden individuell klären, ob sie ihre Inklusiv-Domain aktiv nutzen, oder ob wir diese durch eine „noexist“-Domain ersetzen können. Ihre eigenen Addon- oder Sub-Domains bleiben weiterhin bestehen.
Bei Fragen hierzu, oder wenn Sie die Domain-Umstellung früher benötigen, schreiben Sie uns gerne eine Nachricht über unser Kontaktformular.