Learn the benefits and limitations of Cloudflare’s free Universal SSL certificates and determine when Universal SSL is appropriate for your domain.
Overview
Universal SSL refers to the free SSL certificate that Cloudflare issues to customers within 24 hours of their domain activation and requires proxying traffic through Cloudflare in order to provision the certificate.
Der Universal-SSL-Status SSL wird autorisiert wird in der SSL/TLS-App von Cloudflare angezeigt, wenn das Zertifikat für die Domain bei der Zertifizierungsstelle noch verarbeitet wird.
Universal SSL wird nur zur Verschlüsselung des Traffics zwischen einem Website-Besucher und Cloudflare verwendet. Es verschlüsselt nicht den Traffic zwischen Cloudflare und dem Ursprungswebserver. Weitere Informationen zur Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver finden Sie unter SSL/TLS-Verschlüsselungsmodi und Cloudflare-Ursprungszertifikate.
Universal SSL provisioning time strictly depends on certain security checks and other requirements mandated by Certificate Authorities (CA).
Zum Ausstellen eines Universal-SSL-Zertifikats sind keine Ursprungswebserver-SSL-Zertifikate erforderlich. Cloudflare empfiehlt jedoch die Installation eines Cloudflare-Ursprungszertifikats, um sicherzustellen, dass die Kommunikation zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsselt wird.
Um die SSL-Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu gewährleisten, setzen Sie den SSL/TLS-Verschlüsselungsmodus in der SSL/TLS-App von Cloudflare entweder auf Full oder Full (strict).
Limitations
Universal-SSL-Zertifikate sind durch die abgedeckten Hostnamen und die unterstützten Client-Browser limitiert.
Hostname coverage
Full Setup
Universal-SSL-Zertifikate unterstützen nur SSL für das Stammverzeichnis oder Subdomains der ersten Ebene wie beispiel.com und www.beispiel.com. Zum Aktivieren der SSL-Unterstützung für Subdomains der zweiten, dritten und vierten Ebene, z. B. dev.www.beispiel.com oder app3.dev.www.example.com, können Sie:
- das Feature Erweiterte Zertifikatsverwaltung kaufen
- Upgrade to a Business or Enterprise plan to upload a Custom SSL certificate.
CNAME Setup
Bei einer CNAME-Setup-Zone wird ein Universal-SSL-Zertifikat pro Proxy-Subdomain bereitgestellt. Das bedeutet, dass für Subdomains mit mehreren Ebenen im Gegensatz zum vollständigen Setup ein eigenes Universal-SSL-Zertifikat bereitgestellt wird und keine zusätzlichen Features für den Support erforderlich sind.
Browser support
Bei Universal SSL werden SNI-Zertifikate (Server Name Indication) mit dem Elliptic Curve Digital Signature Algorithm (ECDSA) verwendet. Der Cloudflare-Support kann die Nicht-SNI-Unterstützung für Domains auf Pro-, Business- oder Enterprise-Pläne für Universal-, Dedicated-, Custom- oder Custom-Hostname-Zertifikate aktivieren. SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:
Desktop Browsers installed on Windows Vista or OS X 10.6 or later:
- Internet Explorer 7
- Firefox 2
- Opera 8 (with TLS 1.1 enabled)
- Google Chrome v5.0.342.0
- Safari 2.1
Mobile Browsers:
- Mobile Safari for iOS 4.0
- Android 3.0 (Honeycomb) and later
- Windows Phone 7
Universal SSL deaktivieren
Einige Cloudflare-Kunden müssen ihre eigenen SSL-Zertifikate verwalten, um die Standardbetriebsverfahren oder die Richtlinien ihrer Organisation einzuhalten. Andere Kunden vertrauen nur bestimmten Zertifizierungsstellen (Certification Authorities oder CA) und schließen die CAs aus, die Cloudflare zur Bereitstellung von SSL-Zertifikaten verwendet. Sie können Universal SSL über die SSL/TLS-App des Cloudflare-Dashboards deaktivieren, nachdem Sie zuerst eigene benutzerdefinierte SSL-Zertifikate hochgeladen haben.
What happens if I disable Universal SSL?
Disabling Universal SSL removes a domain’s Universal SSL certificates from the Cloudflare network. Cloudflare will not order or renew Universal SSL certificates until Universal SSL is re-enabled.
Es können Fehler auftreten, wenn Sie eine Domain besuchen, die die folgenden Features verwendet, während SSL bei der Site (Universal und benutzerdefiniert) über Cloudflare deaktiviert ist:
- HSTS
- Always Use HTTPS
- Opportunistic Encryption
- Any Page Rules redirecting traffic to HTTPS
- alle HTTP-zu-HTTPS-Umleitungen am Ursprungswebserver
Um Fehler beim Traffic zu Ihrer Website zu vermeiden, laden Sie ein benutzerdefiniertes Zertifikat hoch oder kaufen Sie ein dediziertes SSL-Zertifikat, bevor Sie Universal SSL deaktivieren.
How do I disable Universal SSL?
To disable Universal SSL:
- Melden Sie sich im Cloudflare Dashboard an.
- Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, in der Sie Universal SSL deaktivieren möchten.
- Stellen Sie sicher, dass die richtige Domain ausgewählt ist.
- Klicken Sie auf die SSL/TLS-App.
- Scrollen Sie zum Abschnitt Universal SSL deaktivieren.
- Klicken Sie auf Universal SSL deaktivieren. Dann erscheint ein Dialogfeld für die Bestätigung.
- Lesen Sie die Warnhinweise in der Bestätigung.
- Wählen Sie Ich verstehe aus und klicken Sie auf Bestätigen.