Informieren Sie sich über die Vor- und Nachteile der kostenlosen Universal-SSL-Zertifikate von Cloudflare und darüber, wann Universal SSL für Ihre Domain geeignet ist.

Überblick

Die Bezeichnung „Universal SSL“ bezieht sich auf das kostenlose SSL-Zertifikat, das Cloudflare Kunden innerhalb von 24 Stunden nach ihrer Domain-Aktivierung ausstellt. Für die Bereitstellung des Zertifikats muss der Traffic über Cloudflare weitergeleitet werden.

Universal SSL wird nur zur Verschlüsselung des Traffics zwischen einem Website-Besucher und Cloudflare verwendet. Es verschlüsselt nicht den Traffic zwischen Cloudflare und dem Ursprungswebserver. Weitere Informationen zur Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver finden Sie unter SSL/TLS-Verschlüsselungsmodi und Cloudflare-Ursprungszertifikate.

Die Zeit für die Bereitstellung von Universal SSL hängt streng von bestimmten Sicherheitsüberprüfungen und anderen Anforderungen ab, die von Zertifizierungsstellen (CA) vorgeschrieben werden.

Zum Ausstellen eines Universal-SSL-Zertifikats sind keine Ursprungswebserver-SSL-Zertifikate erforderlich. Cloudflare empfiehlt jedoch die Installation eines Cloudflare-Ursprungszertifikats, um sicherzustellen, dass die Kommunikation zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsselt wird.

Um die SSL-Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu gewährleisten, setzen Sie den SSL/TLS-Verschlüsselungsmodus in der SSL/TLS-App von Cloudflare entweder auf Full oder Full (strict).

Einschränkungen

Universal-SSL-Zertifikate sind durch die abgedeckten Hostnamen und die unterstützten Client-Browser limitiert.

Hostnamen-Abdeckung

Full Setup

Universal-SSL-Zertifikate unterstützen nur SSL für das Stammverzeichnis oder Subdomains der ersten Ebene wie beispiel.com und www.beispiel.com. Zum Aktivieren der SSL-Unterstützung für Subdomains der zweiten, dritten und vierten Ebene, z. B. dev.www.beispiel.com oder app3.dev.www.example.com, können Sie:

• das Feature Erweiterte Zertifikatsverwaltung kaufen
• ein Upgrade auf einen Business oder Enterprise Plan durchführen, um ein benutzerdefiniertes SSL-Zertifikat hochzuladen.

CNAME Setup

Bei einer CNAME-Setup-Zone wird ein Universal-SSL-Zertifikat pro Proxy-Subdomain bereitgestellt. Das bedeutet, dass für Subdomains mit mehreren Ebenen im Gegensatz zum vollständigen Setup ein eigenes Universal-SSL-Zertifikat bereitgestellt wird und keine zusätzlichen Features für den Support erforderlich sind.

Unterstützte Browser

Bei Universal SSL werden SNI-Zertifikate (Server Name Indication) mit dem Elliptic Curve Digital Signature Algorithm (ECDSA) verwendet. Der Cloudflare-Support kann die Nicht-SNI-Unterstützung für Domains auf Pro-, Business- oder Enterprise-Pläne für Universal-, Dedicated-, Custom- oder Custom-Hostname-Zertifikate aktivieren.  SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:

Desktop-Browser, die unter Windows Vista oder OS X 10.6 oder höher installiert sind:

• Internet Explorer 7
• Firefox 2
• Opera 8 (mit aktiviertem TLS 1.1)
• Google Chrome v5.0.342.0
• Safari 2.1

Mobile Browser:

• Mobile Safari für iOS 4.0
• Android 3.0 (Honeycomb) und höher
• Windows Phone 7

Universal SSL deaktivieren

Einige Cloudflare-Kunden müssen ihre eigenen SSL-Zertifikate verwalten, um die Standardbetriebsverfahren oder die Richtlinien ihrer Organisation einzuhalten. Andere Kunden vertrauen nur bestimmten Zertifizierungsstellen (Certification Authorities oder CA) und schließen die CAs aus, die Cloudflare zur Bereitstellung von SSL-Zertifikaten verwendet. Sie können Universal SSL über die SSL/TLS-App des Cloudflare-Dashboards deaktivieren, nachdem Sie zuerst eigene benutzerdefinierte SSL-Zertifikate hochgeladen haben.

Was passiert, wenn ich Universal SSL deaktiviere?

Durch das Deaktivieren von Universal SSL werden die Universal-SSL-Zertifikate einer Domain aus dem Cloudflare-Netzwerk entfernt. Cloudflare bestellt oder verlängert Universal-SSL-Zertifikate erst, wenn Universal SSL wieder aktiviert wird.

Es können Fehler auftreten, wenn Sie eine Domain besuchen, die die folgenden Features verwendet, während SSL bei der Site (Universal und benutzerdefiniert) über Cloudflare deaktiviert ist:

• HSTS
• Immer HTTPS verwenden
• Opportunistic Encryption
• alle Page Rules, die Traffic an HTTPS umleiten
• alle HTTP-zu-HTTPS-Umleitungen am Ursprungswebserver

Um Fehler beim Traffic zu Ihrer Website zu vermeiden, laden Sie ein benutzerdefiniertes Zertifikat hoch oder kaufen Sie ein dediziertes SSL-Zertifikat, bevor Sie Universal SSL deaktivieren.

Wie deaktiviere ich Universal SSL?

So deaktivieren Sie Universal SSL:

1. Melden Sie sich im Cloudflare Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, in der Sie Universal SSL deaktivieren möchten.
3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.
4. Klicken Sie auf die SSL/TLS-App.
5. Scrollen Sie zum Abschnitt Universal SSL deaktivieren.
6. Klicken Sie auf Universal SSL deaktivieren. Dann erscheint ein Dialogfeld für die Bestätigung.
7. Lesen Sie die Warnhinweise in der Bestätigung.
8. Wählen Sie Ich verstehe aus und klicken Sie auf Bestätigen.

Verwandte Ressourcen

• Einführung von Universal SSL
• Apache SNI Browser-Support
• Cloudflare-SSL-Optionen
• Unterstützung für Cloudflare-SSL-Verschlüsselung, Browser und Protokolle