Deutsch English (US) Español (España) Français (France) 日本語 한국어 Português do Brasil 简体中文

Cloudflare Hilfe-Center

Detailed system status >

Beiträge in diesem Abschnitt

Treten Sie in Kontakt mit der Cloudflare Community

Erhalten Sie Antworten

Mehr zu diesem Thema: Diskussionen und Tipps

End-to-End-HTTPS mit Cloudflare – Teil 3: SSL-Optionen

  • Aktualisiert

Hier erfahren Sie, bei welchen Cloudflare-SSL-Optionen der HTTPS-Traffic zwischen Cloudflare und dem Ursprungswebserver verschlüsselt wird.

Überblick

Der Abschnitt SSL der Cloudflare-App SSL/TLS enthält verschiedene Optionen, die bestimmen, ob Cloudflare eine sichere Verbindung zu Ihrem Ursprungswebserver herstellt.

Wenn Sie sich die Beschreibung der einzelnen SSL-Optionen angesehen haben, sollten Sie je nach der SSL-Konfiguration Ihres Ursprungswebservers unsere Liste der empfohlenen SSL-Optionen durchgehen:

Bei der Einstellung Aus wird HTTPS für Ihre Website-Besucher deaktiviert, während Full (strict) die höchste durchgehende Traffic-Sicherheit bietet.

Wenn Ihr Ursprungswebserver den HTTP-Traffic an HTTPS oder den HTTPS-Traffic an HTTP weiterleitet, können Fehler durch Weiterleitungsschleifen bei Website-Besuchern auftreten.

Aus

SSL-Modus „aus“

Die Einstellung Aus deaktiviert sichere HTTPS-Verbindungen zwischen Besuchern und Cloudflare sowie zwischen Cloudflare und Ihrem Ursprungswebserver. Besucher können Ihre Website nur über HTTP aufrufen. Alle über HTTPS versuchten Verbindungen führen zu einer HTTP-301-Weiterleitung zu unverschlüsseltem HTTP.

Wenn SSL auf Aus gesetzt wird, werden die Einstellungen Onion Routing und Always Use HTTPS in der Registerkarte Edge-Zertifikate der Cloudflare SSL/TLS-App ausgeblendet.

Flexibel

SSL-Optionen „flexibel“

Die flexible SSL-Option ermöglicht eine sichere HTTPS-Verbindung zwischen Ihrem Besucher und Cloudflare, erzwingt jedoch eine Verbindung von Cloudflare zu Ihrem Ursprungswebserver über unverschlüsseltes HTTP. Ein SSL-Zertifikat ist auf Ihrem Ursprungswebserver nicht erforderlich, und für Ihre Besucher wird weiterhin angezeigt, dass bei der Website HTTPS aktiviert ist.

Flexibel ist nicht zu empfehlen, wenn Ihre Website vertrauliche Informationen enthält. Verwenden Sie Flexibel nur als letzten Ausweg, wenn Sie SSL nicht auf Ihrem Ursprungswebserver einrichten können.

Full

SSL-Optionen „full“

Full gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Webserver.

Bei der vollständigen SSL-Option (Full SSL) wird die Authentizität des SSL-Zertifikats am Ursprung nicht überprüft. Ein selbstsigniertes Zertifikat ist auf dem Ursprungswebserver zulässig.

Um Fehler 525 zu vermeiden, müssen Sie vor dem Aktivieren der Full-SSL-Option Ihren Ursprungswebserver so konfigurieren, dass HTTPS-Verbindungen an Port 443 zugelassen werden, und entweder ein selbstsigniertes SSL-Zertifikat, ein Cloudflare Ursprungs-CA-Zertifikat oder ein gültiges Zertifikat, das von einer Zertifizierungsstelle erworben wurde, vorlegen.

Full (strict)

SSL-Optionen „full (strict)“

Full (strict) gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Ursprungswebserver. Full (strict) unterstützt die SSL-Hostnamenüberprüfung gegen CNAME-Ziele.

Konfigurieren Sie Ihren Ursprungswebserver so, dass er HTTPS-Verbindungen an Port 443 zulässt, und legen Sie entweder ein Cloudflare-Ursprungs-CA-Zertifikat oder ein gültiges Zertifikat vor, das von einer Zertifizierungsstelle erworben wurde. Dieses Zertifikat muss von einer Zertifizierungsstelle signiert sein, die von Cloudflare als vertrauenswürdig eingestuft wird, sein Ablaufdatum muss in der Zukunft liegen und es muss für den angeforderten Domainnamen (Hostnamen) gelten.

Bei der SSL-Option Full (strict) wird die Gültigkeit des SSL-Zertifikats auf dem Ursprungswebserver überprüft. Ein selbstsigniertes Zertifikat kann nicht verwendet werden. Ein Cloudflare-Ursprungs-CA-Zertifikat oder ein gültiges Zertifikat, das von einer Zertifizierungsstelle erworben wurde, ist erforderlich, um 526-Fehler zu vermeiden.

Strict (SSL-Only Origin Pull) (Streng (Abrufen vom Ursprung nur via SSL))

Strict (SSL-Only Origin Pull) ist nur für Enterprise-Zonen verfügbar.

Strict (SSL-Only Origin Pull) betrifft die Verbindung zwischen dem Netzwerk von Cloudflare und dem Ursprungsserver. Es hat nichts mit „Authenticated Origin Pull“ zu tun. Verbindungen zum Ursprung werden immer mit SSL/TLS-Verschlüsselung (HTTPS) hergestellt, unabhängig davon, welches Schema der Besucher anfordert. Das vom Ursprungswebserver vorgelegte SSL-Zertifikat muss von einer Zertifizierungsstelle signiert sein, die von Cloudflare als vertrauenswürdig eingestuft wird, sein Ablaufdatum muss in der Zukunft liegen und es muss für den angeforderten Domainnamen (Hostnamen) gelten.

SSL/TLS Recommender

Um zu überprüfen, ob Ihre Domain mit einem sichereren SSL/TLS-Modus kompatibel ist, aktivieren Sie den SSL/TLS Recommender. Der SSL/TLS Recommender prüft auf inhaltliche Unterschiede in Ihrer Website, wenn diese über HTTP und HTTPS bereitgestellt wird. Er prüft auch, ob Ihre Website mit einem gültigen TLS-Zertifikat konfiguriert ist. Auf dieser Grundlage und mit rekursiven Crawls über verschlüsselte und unverschlüsselte Verbindungen empfiehlt er Ihnen den Modus, der die Sicherheit maximiert und gleichzeitig Inhalte beibehält.

Wenn diese Option aktiviert ist, sendet der SSL/TLS Recommender dem Zoneninhaber eine E-Mail mit einer Empfehlung zum SSL/TLS-Modus (falls eine verfügbar ist). Sie sehen dann neben dem empfohlenen Modus auf der SSL/TLS-Seite einen Tag „Empfohlen von Cloudflare“. Wenn Sie keine E-Mail erhalten, lautet die Empfehlung, den aktuellen Modus beizubehalten. Sie müssen sich aber nicht nach der Empfehlung richten. Der Recommender prüft Ihren Modus in regelmäßigen Abständen und sendet Benachrichtigungen, wenn neue Empfehlungen verfügbar sind. Die Empfehlung ist nie niedriger als der aktuelle SSL/TLS-Modus.

Der SSL/TLS Recommender ist nicht dafür vorgesehen, Probleme mit der Website- oder Domain-Funktionalität zu beheben. Der Recommender wird seinen Scan nicht abschließen und das Tag „Von Cloudflare empfohlen“ nicht anzeigen können, wenn

  • die Domain nicht funktioniert,
  • Sie Cloudflare Workers® für Ihre Website aktivieren,
  • Sie alle Bots blockieren, oder
  • es aktive SSL-spezifische Page Rules gibt.

 

 

Verwandte Ressourcen

Lernen

Fehlersuche und -behebung

 

Finden Sie nicht, was Sie brauchen?

Durch die Suche können 95% der Support-Fragen beantwortet werden. Dies ist der schnellste Weg, um Antworten zu erhalten.

Fragen Sie die Community Anfrage einreichen

Verwandte Beiträge

Finden Sie nicht, was Sie brauchen?

Durch die Suche können 95% der Support-Fragen beantwortet werden. Dies ist der schnellste Weg, um Antworten zu erhalten.

Fragen Sie die Community Einen Antrag stellen