Hier erfahren Sie, bei welchen Cloudflare-SSL-Optionen der HTTPS-Traffic zwischen Cloudflare und dem Ursprungswebserver verschlüsselt wird.
Überblick
Der Abschnitt SSL der Cloudflare-App SSL/TLS enthält verschiedene Optionen, die bestimmen, ob Cloudflare eine sichere Verbindung zu Ihrem Ursprungswebserver herstellt.
Wenn Sie sich die Beschreibung der einzelnen SSL-Optionen angesehen haben, sollten Sie je nach der SSL-Konfiguration Ihres Ursprungswebservers unsere Liste der empfohlenen SSL-Optionen durchgehen:
- Aus
- Flexibel
- Full
- Full (strict)
- Strict (SSL-Only Origin Pull) (Streng (Abrufen vom Ursprung nur via SSL))
Bei der Einstellung Aus wird HTTPS für Ihre Website-Besucher deaktiviert, während Full (strict) die höchste durchgehende Traffic-Sicherheit bietet.
Aus
Die Einstellung Aus deaktiviert sichere HTTPS-Verbindungen zwischen Besuchern und Cloudflare sowie zwischen Cloudflare und Ihrem Ursprungswebserver. Besucher können Ihre Website nur über HTTP aufrufen. Alle über HTTPS versuchten Verbindungen führen zu einer HTTP-301-Weiterleitung zu unverschlüsseltem HTTP.
Flexibel
Die flexible SSL-Option ermöglicht eine sichere HTTPS-Verbindung zwischen Ihrem Besucher und Cloudflare, erzwingt jedoch eine Verbindung von Cloudflare zu Ihrem Ursprungswebserver über unverschlüsseltes HTTP. Ein SSL-Zertifikat ist auf Ihrem Ursprungswebserver nicht erforderlich, und für Ihre Besucher wird weiterhin angezeigt, dass bei der Website HTTPS aktiviert ist.
Full
Full gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Webserver.
Um Fehler 525 zu vermeiden, müssen Sie vor dem Aktivieren der Full-SSL-Option Ihren Ursprungswebserver so konfigurieren, dass HTTPS-Verbindungen an Port 443 zugelassen werden, und entweder ein selbstsigniertes SSL-Zertifikat, ein Cloudflare Ursprungs-CA-Zertifikat oder ein gültiges Zertifikat, das von einer Zertifizierungsstelle erworben wurde, vorlegen.
Full (strict)
Full (strict) gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Ursprungswebserver. Full (strict) unterstützt die SSL-Hostnamenüberprüfung gegen CNAME-Ziele.
Konfigurieren Sie Ihren Ursprungswebserver so, dass er HTTPS-Verbindungen an Port 443 zulässt, und legen Sie entweder ein Cloudflare-Ursprungs-CA-Zertifikat oder ein gültiges Zertifikat vor, das von einer Zertifizierungsstelle erworben wurde. Dieses Zertifikat muss von einer Zertifizierungsstelle signiert sein, die von Cloudflare als vertrauenswürdig eingestuft wird, sein Ablaufdatum muss in der Zukunft liegen und es muss für den angeforderten Domainnamen (Hostnamen) gelten.
Strict (SSL-Only Origin Pull) (Streng (Abrufen vom Ursprung nur via SSL))
Strict (SSL-Only Origin Pull) weist das Cloudflare-Netzwerk an, die Verbindung zu Ihrem Ursprungswebserver immer mit SSL/TLS-Verschlüsselung (HTTPS) herzustellen. Das vom Ursprungswebserver vorgelegte SSL-Zertifikat muss von einer Zertifizierungsstelle signiert sein, die von Cloudflare als vertrauenswürdig eingestuft wird, sein Ablaufdatum muss in der Zukunft liegen und es muss für den angeforderten Domainnamen (Hostnamen) gelten.
SSL/TLS Recommender
Überprüfen Sie, ob Ihre Domain für ein Upgrade auf eine sicherere SSL-Option geeignet ist, indem Sie den SSL/TLS Recommender aktivieren.
So maximiert der Recommender Ihre Sicherheit und erhält gleichzeitig Ihre Inhalte:
- überprüft Ihre Website bei Bereitstellung über HTTP und HTTPS auf Inhaltsunterschiede
- sucht nach einem gültigen SSL-Zertifikat
- crawlt rekursiv über verschlüsselte und unverschlüsselte Verbindungen
Wenn diese Option aktiviert ist, sendet der SSL/TLS Recommender dem Zoneninhaber eine E-Mail mit einer Empfehlung zur SSL-Option (falls eine verfügbar ist). Sie sehen dann neben der empfohlenen Option auf der SSL/TLS-Seite das Tag „Empfohlen von Cloudflare“. Wenn Sie keine E-Mail erhalten, behalten Sie Ihre aktuelle Option bei. Sie sind nicht verpflichtet, die Empfehlung zu verwenden. Der Recommender prüft Ihre Optionen regelmäßig und benachrichtigt Sie, wenn neue Empfehlungen verfügbar sind. Er wird niemals eine schwächere SSL-Option als die derzeit konfigurierte Option empfehlen.
Der SSL/TLS Recommender ist nicht dafür vorgesehen, Probleme mit der Website- oder Domain-Funktionalität zu beheben. Der Recommender ist nicht mit allen anderen Cloudflare-Features kompatibel und kann seinen Scan nicht abschließen und das Tag „Empfohlen von Cloudflare“ nicht anzeigen, wenn:
- Ihre Domain nicht funktioniert
- Sie Cloudflare Workers® für Ihre Website aktivieren
- Sie alle Bots blockieren
- Sie aktive, SSL-spezifische Page Rules eingestellt haben
Verwandte Ressourcen
Lernen
- End-to-End-HTTPS mit Cloudflare – Teil 1: Konzeptüberblick
- End-to-End-HTTPS mit Cloudflare – Teil 2: SSL-Zertifikate