Der Buchhalter: SSL-Zertifikat für welche Domain?

Moin,

bei einem preisgünstigen Hoster steht (in dem gewählten Leistungspaket) nur ein einziges SSL-Zertifikat zur Verfügung. Ich habe zwei Domains: example.com und www.example.com.

Nach meinem, zugegebenermaßen sehr überschaubaren, Kenntnisstand benötigt man pro Domain ein Zertifikat. Das würde bedeuten, dass ich mich entscheiden muss, für welche Domain das Zertifikat eingerichtet wird. Richtig?

Die andere Domain würde ich dann per .htaccess dauerhaft auf die zertifizierte Domain umleiten, oder spricht etwas dagegen?

Wenn ich soweit richtig liege, dann bliebe noch die Frage, für welche Domain das Zertifikat eingerichtet werden sollte. Ist das eine reine Geschmacksfrage, oder gibt es technische Aspekte oder Konventionen zu berücksichtigen?

Gruß,

der Buchhalter

akzeptierte Antworten

  1. Moin,

    bei einem preisgünstigen Hoster steht (in dem gewählten Leistungspaket) nur ein einziges SSL-Zertifikat zur Verfügung. Ich habe zwei Domains: example.com und www.example.com.

    Nach meinem, zugegebenermaßen sehr überschaubaren, Kenntnisstand benötigt man pro Domain ein Zertifikat. Das würde bedeuten, dass ich mich entscheiden muss, für welche Domain das Zertifikat eingerichtet wird. Richtig?

    Die andere Domain würde ich dann per .htaccess dauerhaft auf die zertifizierte Domain umleiten, oder spricht etwas dagegen?

    Wenn ich soweit richtig liege, dann bliebe noch die Frage, für welche Domain das Zertifikat eingerichtet werden sollte. Ist das eine reine Geschmacksfrage, oder gibt es technische Aspekte oder Konventionen zu berücksichtigen?

    Was darfst Du denn bei deinem Hoster? Hast Du SSH-Zugriff?

    Dann kannst Du LetsEncrypt mit dem Script von GetSSL und der Unterstützung für SNI einsetzen. Die fetten Begriffe einfach mal durch die Suchmaschinen jagen und dann mit deinen konkreten Fragen wiederkommen.

    Sonst neuen Hoster suchen.

    der Buchhalter

    der Buchprüfer

    1. Nein, ich habe keinen Shell-Zugriff. Ich teile dem Support mit, für welche Domain ich gern ein Zertifikat hätte.

      Danke für die Suchbegriffe. Von LetsEncrypt hatte ich hier schon gelesen und mich auch schon ein wenig umgeschaut. Allerdings aus reiner Neugier. Bei meiner aktuellen Situation hilft es ja leider nicht.

      Gruß

      PS: ein Provider-Wechsel ist keine Option, da es nicht um meinen eigenen Webspace geht.

  2. Tach!

    example.com und www.example.com.

    Unterscheiden sich die echten Domains wirklich nur im Teil www oder keine Vorsilbe?

    Nach meinem, zugegebenermaßen sehr überschaubaren, Kenntnisstand benötigt man pro Domain ein Zertifikat.

    Nein, man kann mehrere Subdomains angeben. Oft wird www. und ohne eingetragen. Aber auch die Angabe von noch mehr Subdomains und auch Wildcard-Zertifikate gibt es.

    Das würde bedeuten, dass ich mich entscheiden muss, für welche Domain das Zertifikat eingerichtet wird. Richtig?

    Das kommt jetzt darauf an, was konkret der Hoster bietet.

    Die andere Domain würde ich dann per .htaccess dauerhaft auf die zertifizierte Domain umleiten, oder spricht etwas dagegen?

    Nichts generelles.

    Wenn ich soweit richtig liege, dann bliebe noch die Frage, für welche Domain das Zertifikat eingerichtet werden sollte. Ist das eine reine Geschmacksfrage, oder gibt es technische Aspekte oder Konventionen zu berücksichtigen?

    Das ist am Ende egal, wenn es nur um die Frage "www oder nichts" geht.

    dedlfix.

    1. Unterscheiden sich die echten Domains wirklich nur im Teil www oder keine Vorsilbe?

      Keine Vorsilbe, nur www. (Im Laien-Sprech: eine Domain; mal mit und mal ohne www.)

      Laut des Hosting-Tools ist www. keine Subdomain. Ich kann selbst Sub-Domains einrichten und diese werden dann auch als solche gelistet.

      Das würde bedeuten, dass ich mich entscheiden muss, für welche Domain das Zertifikat eingerichtet wird. Richtig?

      Das kommt jetzt darauf an, was konkret der Hoster bietet.

      Der Hoster bietet genau 1 Zertifikat. In anderen Leistungspaketen kann man unbegrenzt viele Zertifikate einrichten, hier nur eines. Der Hoster fragt nach, für welche Domain ich das Zertifikat gerne eingerichtet hätte. Daraus leite ich ab, dass ich mich entscheiden muss.

      Ich kann/werde noch mal beim Support nachfragen. Allerdings erhoffe ich dort kein Wissenszuwachs auf meiner Seite, daher frage ich hier und hoffe, dass es Hintergrundwissen für mich herausspringt.

      Danke schon mal und Grüße

      PS: es handelt sich um privaten Webspace ohne Professionalitäts-Anspruch. Der Wunsch nach SSL ist primär kosmetischer Natur.

      1. Hallo

        Laut des Hosting-Tools ist www. keine Subdomain. Ich kann selbst Sub-Domains einrichten und diese werden dann auch als solche gelistet.

        Technisch ist „www“ natürlich eine Subdomain. Für Websites wird sie allerdings üblicherweise bereits vom Hostinganbieter eingerichtet, so dass sie nicht unter die selbst einrichtbaren Subdomains – das ist das, was der Hoster normalerweise als Feature Subdomains anbietet – fällt.

        Das würde bedeuten, dass ich mich entscheiden muss, für welche Domain das Zertifikat eingerichtet wird. Richtig?

        Das kommt jetzt darauf an, was konkret der Hoster bietet.

        Der Hoster bietet genau 1 Zertifikat. In anderen Leistungspaketen kann man unbegrenzt viele Zertifikate einrichten, hier nur eines. Der Hoster fragt nach, für welche Domain ich das Zertifikat gerne eingerichtet hätte. Daraus leite ich ab, dass ich mich entscheiden muss.

        Eine Domain ist eine Domain ist eine Domain. Subdomains sind „nur“ Subdomains.

        Ich kann/werde noch mal beim Support nachfragen.

        Das solltest du unbedingt tun. Auch solltest du in die FAQ deines Hosters schauen, du wirst ja nicht der erste Kunde mit dieser Frage sein. Zudem können wir hier zwar alle unsere Erfahrungen miteinander teilen, aber wenn nun gerade dein Hoster der Einzige sein sollte, der das anders handhabt als alle Anderen, hast du mit Zitronen gehandelt.

        Auch mein Hoster bietet in dem von mir gebuchten Paket ein kostenloses Zertifikat an [1]. Es wird automatisch für die Schreibweisen mit und ohne „www“ beantragt. Wenn es weitere Subdomains abdecken soll, muss ich diese meinem Hoster vor Beantragung des Zertifikats mitteilen. Frage bei deinem Hoster nach, wie der das handhabt. Alles andere ist pure Spekulation.

        Tschö, Auge

        --
        Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
        Hohle Köpfe von Terry Pratchett

        1. Für Geld kann ich natürlich weitere Zertifikate und solche mit zusätzlichen Features haben. ↩︎

        1. Hallo Auge,

          Technisch ist „www“ natürlich eine Subdomain.

          Einspruch, umgangssprachlich mag www eine Subdomain sein,aber technisch ist es ein A-Record innerhalb der Domain. Versuch einmal den SOA-Record (Zoneninformation) für www abzufragen.

          Eine Domain ist eine Domain ist eine Domain. Subdomains sind „nur“ Subdomains.

          Und A-Rcords sind nur A-Records oder auch Hosteintrag genannt.

          Gruß

          Fred

          --
          I � Unicode
          1. Tach!

            Technisch ist „www“ natürlich eine Subdomain.

            Einspruch, umgangssprachlich mag www eine Subdomain sein,aber technisch ist es ein A-Record innerhalb der Domain. Versuch einmal den SOA-Record (Zoneninformation) für www abzufragen.

            DNS-Einträge sind für Zertifikate nicht relevant. Es kann auch ein CNAME- oder ein AAAA-Record sein, spielt keine Rolle.

            dedlfix.

          2. Hallo

            Technisch ist „www“ natürlich eine Subdomain.

            Einspruch, umgangssprachlich mag www eine Subdomain sein,

            www ist technisch gesehen eine Subdomain, wie jede andere auch. Ob ich die Subdomain „www“ habe, nur weil das üblich ist, oder „schnasselpassel“, weil das schön lang ist, ist unerheblich.

            aber technisch ist es ein A-Record innerhalb der Domain.

            Wie es jede andere Subdomain auch sein kann.

            So what?

            Tschö, Auge

            --
            Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
            Hohle Köpfe von Terry Pratchett
            1. Hallo Auge,

              www ist technisch gesehen eine Subdomain, wie jede andere auch.

              nein, wenn wir von Technik sprechen ist das falsch.
              forum ist keine Subdomain. forum ist ein Hosteintrag in der Domain selfhtml.org
              Siehe hierzu auch FQDN, z.B. hier oder hier.

              Fred:~$ nslookup forum.selfhtml.org
              Server:         192.168.178.2
              Address:        192.168.178.2#53
              
              Non-authoritative answer:
              Name:   forum.selfhtml.org
              Address: 148.251.91.71
              
              Fred:~$ nslookup -q=soa forum.selfhtml.org
              Server:         192.168.178.2
              Address:        192.168.178.2#53
              
              Non-authoritative answer:
              *** Can't find forum.selfhtml.org: No answer
              
              Fred:~$ nslookup -q=soa selfhtml.org
              Server:         192.168.178.2
              Address:        192.168.178.2#53
              
              Non-authoritative answer:
              selfhtml.org
                      origin = dns01.manitu.net
                      mail addr = hostmaster.manitu.net
                      serial = 2019062201
                      refresh = 10800
                      retry = 3600
                      expire = 604800
                      minimum = 86400
              

              Gruß
              Fred

              --
              I � Unicode
              1. Tach!

                www ist technisch gesehen eine Subdomain, wie jede andere auch.

                nein, wenn wir von Technik sprechen ist das falsch.

                Wenn du von DNS sprichst. Aber DNS ist hier nicht relevant. Die Auflösung des Hostnamens zu einer IP-Adresse kann auch über /etc/hosts oder einen ganz anderen Mechanismus erfolgen.

                Für Zertifikate existieren nur Hostnamen. Das Unterteilen in TLD, SLD, Subdomains ist hier nur dafür da, um die unterschiedlichen Teile des Hostnamens zu bezeichnen.

                Man könnte stattdessen sagen, dass www.example.com und example.com und auch bla.fasel.www.was.weiß.ich.example.com alles gleichermaßen Hostnamen sind, wenn es um Zertifikate geht.

                dedlfix.

                1. Hallo dedlfix,

                  Wenn du von DNS sprichst.

                  Das mache ich, Auges Aussage war: "Technisch ist „www“ natürlich eine Subdomain."

                  Für Zertifikate existieren nur Hostnamen.

                  Somit schließt sich der Kreis.

                  Fred

                  --
                  I � Unicode
                  1. Hallo

                    Wenn du von DNS sprichst.

                    Das mache ich, Auges Aussage war: "Technisch ist „www“ natürlich eine Subdomain."

                    Wer außer dir sprach von DNS? „www“ ist im Kontext von „www.example.com“ eine Third Level Domain (auch Subdomain genannt), ist also die Subdomain „www“ der Domain „example.com“. Dass alles zusammen einen Hostnamen bildet (hier „www.example.com“), einer, der auch genausogut „schnasselpassel.example.com“ lauten könnte. Dass es für den dann auch einen A-Ressource-Record, also eine Übersetzung in eine IP gibt (womit wir beim DNS wären), ist unbestritten.

                    Ich sprach in meinem Beispiel meines Hosters nicht umsonst von den automatisch mitbestellten Hostnamen (um bei der korrekten Terminologie zu bleiben) „example.com“ und „www.example.com“ und den eventuell weiteren, bei der Bestellung des Zertifikats explizit anzugebenden Hostnamen für weitere Subdomains.

                    Des OP Befürchtung war aber unter Anderem, ob sich die Angabe der Hosters, dass das eine kostenlos angebotene Zertifikat für nur eine Domain gültig ist, darauf bezieht, dass es nur für einen Hostnamen gültig wäre. Das würde ja, wie er es auch beschrieb, bedeuten, dass es für „example.com“ oder für „www.example.com“ aber nicht für beide zusammen gültig wäre. Diese Angst ist meiner Erfahrung nach aber unbegründet, da sich das eine Zertifikat üblicherweise für beide Hostnamen gültig ist (ein Hoster, dessen Angebot so wäre, wie es der OP befürchtet, wäre jedenfalls nicht mein Hoster).

                    In diesem Kontext sind die Hostnamen (mit Ausnahme von Wildcardzertifikaten) zwar explizit im Zertifikat angegeben, die Hoster sprechen normalerweise bei „ein Zertifikat für eine Domain“ aber nicht von einem Hostnamen. Sonst könnte mir meiner ja auch nicht anbieten, weitere Subdomains im Zertifikat zu hinterlegen.

                    Tschö, Auge

                    --
                    Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                    Hohle Köpfe von Terry Pratchett
      2. Der Hoster bietet genau 1 Zertifikat.

        Das kann entweder

        1. NUR für www.example.com ODER NUR für example.com,
        2. ODER für www.example.com UND example.com,
        3. ODER, als Wildcard-Zertifikat, für *.example.com

        gelten.

        Ich kann/werde noch mal beim Support nachfragen.

        Richtig! Der muss ja wissen, was für ein Zertifikat er erzeugt und dann von wem zu welchem Preis signieren lässt.

        1. Das kann entweder

          1. NUR für www.example.com ODER NUR für example.com,
          2. ODER für www.example.com UND example.com,
          3. ODER, als Wildcard-Zertifikat, für *.example.com

          gelten.

          Tor 2!

          Ich werde allerdings mal nach einem Wildcard-Zertifikat fragen. Denn das entspräche meiner ursprünglichen Vorstellung davon, dass das Zertifikat für die gesamte Domain gilt. Momentan müsste ich Subdomains gesondert (wenn auch kostenfrei) beantragen und (bis zu) 90 Tage warten. Das wäre mir zu umständlich. Da würde ich wohl einfach eine Umleitung per htaccess einrichten.

          1. Hallo

            Das kann entweder

            1. NUR für www.example.com ODER NUR für example.com,
            2. ODER für www.example.com UND example.com,
            3. ODER, als Wildcard-Zertifikat, für *.example.com

            gelten.

            Tor 2!

            Ich werde allerdings mal nach einem Wildcard-Zertifikat fragen. Denn das entspräche meiner ursprünglichen Vorstellung davon, dass das Zertifikat für die gesamte Domain gilt. Momentan müsste ich Subdomains gesondert (wenn auch kostenfrei) beantragen und (bis zu) 90 Tage warten.

            Aha, also ein LetsEncrypt-Zertifikat.

            Das wäre mir zu umständlich. Da würde ich wohl einfach eine Umleitung per htaccess einrichten.

            Naja, wenn du dir über die (geplante) Struktur diener Wrbpräsenz im Klaren bist, dann gib die gewünschten Subdomains bei der Bestellung des Zertifikats mit an und Ruhe ist. Spätere Änderungen musst du dem Hoster wiederum rechtzeitig bekanntgeben, damit der die bei der nächsten Aktualisierung des Zertifikats mitbestellen kann.

            So verfährt mein Hoster in meinem Paket auch.

            Tschö, Auge

            --
            Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
            Hohle Köpfe von Terry Pratchett