Informieren Sie sich über die Vor- und Nachteile der kostenlosen Universal SSL-Zertifikate von Cloudflare und ermitteln Sie, wann Universal SSL für Ihre Domain geeignet ist.
Überblick
Universal SSL bezieht sich auf das kostenlose SSL-Zertifikat, das Cloudflare Kunden innerhalb von 24 Stunden nach ihrer Domain-Aktivierung ausstellt. Für die Bereitstellung des Zertifikats muss der Datenverkehr über Cloudflare weitergeleitet werden.
Universal SSL wird nur zum Verschlüsseln des Datenverkehrs zwischen einem Website-Besucher und Cloudflare verwendet und nicht zum Verschlüsseln des Datenverkehrs zwischen Cloudflare und dem Ursprungswebserver.
Die Zeit für die Bereitstellung von Universal SSL hängt streng von bestimmten Sicherheitsüberprüfungen und anderen Anforderungen ab, die von Zertifizierungsstellen (CA) vorgeschrieben werden.
Cloudflare benötigt keine Ursprungswebserver-SSL-Zertifikate, um ein Universal SSL-Zertifikat auszustellen. Cloudflare empfiehlt jedoch die Installation eines Cloudflare Ursprungszertifikats, um sicherzustellen, dass die Kommunikation zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsselt ist.
Um die SSL-Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu gewährleisten, setzen Sie den SSL-Modus in der Cloudflare-App SSL/TLS auf Vollständig oder Vollständig (streng)..
Weitere technische Details zu SSL finden Sie in unserem Blog-Post: Grundlegendes zu Universal SSL.
Einschränkungen
Universelle SSL-Zertifikate sind begrenzt durch:
- die Hostnamen, die sie abdecken, und
- die von ihnen unterstützten Client-Browser.
Hostnamen-Abdeckung
Universal SSL-Zertifikate unterstützen nur SSL für die Root- oder First-Level-Subdomains wie beispielsweise example.com und www.example.com. Um die SSL-Unterstützung für Subdomains der zweiten, dritten und vierten Ebene zu aktivieren wie beispielsweise dev.www.example.com oder app3.dev.www.example.com, haben Sie folgende Möglichkeiten:
- Upgrade auf einen Business- oder Enterprise-Plan, um ein benutzerdefiniertes SSL-Zertifikat hochzuladen.
- Kauf eines dedizierten SSL-Zertifikats mit benutzerdefinierten Hostnamen.
Unterstützte Browser
Universal SSL verwendet Server Name Indication (SNI)-Zertifikate mit Elliptic Curve Digital Signature Algorithm (ECDSA). SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:
Desktop-Browser, die unter Windows Vista oder OS X 10.6 oder höher installiert sind:
- Internet Explorer 7
- Firefox 2
- Opera 8 (mit aktiviertem TLS 1.1)
- Google Chrome v5.0.342.0
- Safari 2.1
Mobile Browser:
- Mobile Safari für iOS 4.0
- Android 3.0 (Honeycomb) und höher
- Windows Phone 7
Sollte ich Universal SSL deaktivieren?
Einige Cloudflare-Kunden müssen ihre eigenen SSL-Zertifikate verwalten, um die Standardbetriebsverfahren oder -richtlinien ihrer Organisation einzuhalten. Andere Kunden vertrauen nur bestimmten Zertifizierungsstellen (Certification Authorities, CA) und schließen die CAs aus, die Cloudflare zur Bereitstellung von SSL-Zertifikaten verwendet. Solche Kunden können Universal SSL über die SSL/TLS-App des Cloudflare-Dashboards deaktivieren, nachdem sie ihre eigenen benutzerdefinierten SSL-Zertifikate hochgeladen haben.
Was passiert, wenn ich Universal SSL deaktiviere?
Durch das Deaktivieren von Universal SSL werden die Universal SSL-Zertifikate einer Domain aus dem Cloudflare-Netzwerk entfernt. Cloudflare bestellt oder erneuert Universal SSL-Zertifikate erst, wenn Universal SSL wieder aktiviert wird.
Beim Besuch einer Domain, die die folgenden Cloudflare-Funktionen verwendet, während Universal SSL deaktiviert ist, treten Fehler auf:
- HSTS
- Immer HTTPS verwenden
- Opportunistic Encryption
- Alle Seitenregeln, die Datenverkehr an HTTPS umleiten
Ebenso verursacht jede HTTP-zu-HTTPS-Umleitung auf dem Ursprungswebserver Fehler für Website-Besucher.
Wie deaktiviere ich Universal SSL?
So deaktivieren Sie Universal SSL:
1. Melden Sie sich im Cloudflare-Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, in der Sie Universal SSL deaktivieren möchten.
3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.
4. Klicken Sie auf die SSL/TLS-App.
5. Scrollen Sie zum Abschnitt Universal SSL deaktivieren.
6. Klicken Sie auf Universal SSL deaktivieren. Das Dialogfeld Bestätigen wird angezeigt.
7. Lesen Sie die Warnungen in der Bestätigung.
8. Setzen Sie ein Häkchen bei Ich verstehe und klicken Sie auf Bestätigen.