In diesem Artikel erfahren Sie mehr:
- So funktioniert HTTPS bei WEDOS Protection
- Pass-Through-Modus und seine Optionen
- HSTS (HTTP Strict Transport Security)
- Let’s Encrypt und benutzerdefinierte Zertifikate
- So konfigurieren Sie die HTTPS-Einstellungen
- Häufig gestellte Fragen
HTTPS im WEDOS-Schutz
HTTPS ist eine grundlegende Voraussetzung für moderne Websites – es verschlüsselt die zwischen Besuchern und dem Server übertragenen Daten und schützt sie so vor Abfangen und Manipulation. WEDOS Protection bietet integrierte HTTPS-Unterstützung und ermöglicht so eine sichere Datenverarbeitung auf Proxy-Ebene bei gleichzeitiger Gewährleistung hoher Leistung und strenger Sicherheitskontrollen.
Standardmäßig fungiert WEDOS Protection als sicherer Reverse-Proxy. Die verschlüsselte TLS-Verbindung des Besuchers wird am WGP-Edge beendet, wo die Anfrage vorübergehend entschlüsselt wird, um sie auf Angriffe zu überprüfen. Nachdem alle Sicherheitsprüfungen durchgeführt wurden, wird die Anfrage erneut verschlüsselt und sicher an den Ursprungsserver weitergeleitet.
Das bedeutet, dass WGP über ein gültiges Zertifikat für Ihre Domain verfügen muss, damit der umfassende Schutz auf Anwendungsebene (L7) wirksam ist. WEDOS Protection kann dies automatisch über Let’s Encrypt verwalten, oder Sie können im Expert-Tarif und höher Ihr eigenes benutzerdefiniertes Zertifikat hochladen.
Pass-Through-Modus
Der Pass-Through-Modus legt fest, wie der HTTPS-Datenverkehr für die Domain verarbeitet und geschützt wird – von einem vollständigen Schutz auf Anwendungsebene (Standard) über einen reinen Netzwerkschutz bis hin zu keinerlei Überprüfung. Es stehen drei Optionen zur Verfügung:
- Vollständiger Schutz (L3/L4 und L7) – Standard. Der Pass-Through-Modus ist deaktiviert, und WGP schützt Ihre Domain auf allen Ebenen. TLS wird am WGP-Edge beendet, der Datenverkehr wird sowohl durch Filter auf Netzwerk- als auch auf Anwendungsebene (einschließlich WAF) geprüft und anschließend erneut verschlüsselt, bevor er an den Ursprungsserver weitergeleitet wird.
- Netzwerkschutz (nur L3/L4). Der Schutz auf L7-Ebene ist deaktiviert, und auf Ihre Domain werden ausschließlich Regeln und Filter auf Netzwerkebene angewendet. WGP bricht TLS nicht ab, sodass keine Überprüfung auf Anwendungsebene möglich ist. Dies ist nützlich, wenn die Verbindung zum Ursprungsserver durchgehend verschlüsselt bleiben muss, Sie aber dennoch DDoS-Schutz und Filterung auf Netzwerkebene wünschen.
- Pass-Through (keine Überprüfung/kein Schutz). Es erfolgt keine Überprüfung, kein Schutz und keine Protokollierung. Alle Anfragen werden unverändert an den Ursprungsserver weitergeleitet. Verwenden Sie diese Option nur, wenn die Verschlüsselung streng von Ende zu Ende erfolgen muss und Sie den Schutz am Ursprungsserver selbst übernehmen.
HSTS
HSTS (HTTP Strict Transport Security) ist eine vom Browser durchgesetzte Sicherheitsrichtlinie, die die Browser der Besucher anweist, sich immer über HTTPS mit Ihrer Website zu verbinden – niemals über einfaches HTTP. Wenn HSTS in WEDOS Protection aktiviert ist, fügt WGP einen Strict-Transport-Security Antwort-Header in allen HTTPS-Antworten für die Domain.
Wenn HSTS aktiviert ist:
- Browser schreiben automatisch um
http://Anfragen anhttps://bevor Daten das Gerät verlassen. - Downgrade- und SSL-Stripping-Angriffe werden verhindert.
- Der unbeabsichtigte Zugriff über ungesichertes HTTP wird blockiert.
Dies schützt die Nutzer vor Man-in-the-Middle-Angriffen und gewährleistet eine durchgehend verschlüsselte Kommunikation für alle Besucher.
HSTS sollte nur aktiviert werden, wenn HTTPS für die Domain und alle ihre Subdomains vollständig konfiguriert ist und ordnungsgemäß funktioniert. Sobald ein Browser die HSTS-Richtlinie gespeichert hat, kann diese bis zum Ablauf der Richtlinie nicht umgangen werden, sodass eine fehlerhafte Konfiguration dazu führen kann, dass Nutzer vorübergehend ausgesperrt werden.
Let’s Encrypt und benutzerdefinierte Zertifikate
WEDOS Protection unterstützt zwei Arten von SSL/TLS-Zertifikaten: automatisch verwaltete Let’s Encrypt-Zertifikate (Standard) und vom Kunden hochgeladene eigene Zertifikate.
HTTPS mit Let’s Encrypt
Standardmäßig stellt WEDOS Protection automatisch Let’s Encrypt-Zertifikate für Ihre Domain aus und verlängert diese. Diese Option:
- Erfordert keine manuelle Zertifikatsverwaltung.
- Bietet vertrauenswürdige, weithin anerkannte Zertifikate.
- Zertifikate werden vor Ablauf automatisch verlängert.
Dies ist die empfohlene Option für die meisten Nutzer. Die Verlängerung wird von WGP mithilfe der DNS-01-Validierung abgewickelt, sodass kein manueller Eingriff erforderlich ist, solange die Domain unter der DNS-Delegierung von WGP verbleibt.
HTTPS mit einem benutzerdefinierten Zertifikat
Kunden mit dem „Expert“-Tarif und höheren Tarifen können ihre eigenen SSL/TLS-Zertifikate hochladen und verwalten. Benutzerdefinierte Zertifikate werden üblicherweise in folgenden Fällen verwendet:
- Es ist ein von der Organisation ausgestelltes Zertifikat erforderlich.
- Es ist eine Extended Validation (EV) oder eine bestimmte Zertifizierungsstelle erforderlich.
- Eine bereits vorhandene Zertifikatsinfrastruktur muss weiterverwendet werden.
Nach dem Hochladen wird das benutzerdefinierte Zertifikat von WEDOS Protection verwendet, um den HTTPS-Datenverkehr für die ausgewählte Domain zu sichern. Verlängerungen müssen vom Kunden manuell vorgenommen werden, bevor das Zertifikat abläuft.
HTTPS-Einrichtung
Führen Sie die folgenden Schritte aus, um die HTTPS-Einstellungen zu konfigurieren:
- Loggen Sie sich in das WEDOS Global Admin-Panel ein ⧉.
- Wählen Sie eine einzurichtende Domäne (oder Vorlage).
- Klicken Sie im linken Menü auf „ “ und dann auf „HTTPS“.
Pass-Through-Modus aktivieren
Wählen Sie im Abschnitt „Pass-Through-Modus “ über das Dropdown-Menü einen der drei verfügbaren Modi aus. Eine detaillierte Beschreibung der einzelnen Optionen finden Sie im obigen Kapitel „Pass-Through-Modus “.
Der Standardmodus ist „Vollständiger Schutz“ (L3/L4 und L7). Wir empfehlen, diese Einstellung für den gesamten Produktionsdatenverkehr aktiviert zu lassen, der keine strikte End-to-End-Verschlüsselung erfordert.
HSTS aktivieren
In der HSTS Abschnitt, klicken Sie auf HSTS aktivieren um HSTS für die Domain zu aktivieren. WGP beginnt damit, die Strict-Transport-Security Header in alle HTTPS-Antworten einfügen. Um HSTS wieder zu deaktivieren, klicken Sie auf dieselbe Schaltfläche (auf der nun steht HSTS deaktivieren).
Bevor Sie HSTS aktivieren, stellen Sie bitte sicher, dass:
- HTTPS funktioniert für die Domain und alle darunter fallenden Subdomains einwandfrei.
- Es ist ein gültiges Zertifikat vorhanden (Let’s Encrypt oder benutzerdefiniert).
- Alle internen Links und Ressourcen werden über HTTPS geladen (keine gemischten Inhalte).
Zertifikat verwalten
Wählen Sie im Abschnitt „Benutzerdefiniertes Zertifikat“ über das Dropdown-Menü zwischen „HTTPS mit Let’s Encrypt-Zertifikat“ (Standard) und „HTTPS mit benutzerdefiniertem Zertifikat“ aus.
Wenn „Let’s Encrypt“ ausgewählt ist, sind keine weiteren Schritte erforderlich – WGP stellt das Zertifikat automatisch aus und verlängert es.
Wenn Sie „Benutzerdefiniertes Zertifikat“ ausgewählt haben, klappen Sie den Abschnitt auf, um die Zertifikatsdateien hochzuladen. Sie müssen Folgendes angeben:
- Die Zertifikatsdatei (im PEM-Format).
- Die Datei mit dem privaten Schlüssel.
- Die Zwischenzertifikatskette, sofern sie nicht im Zertifikat enthalten ist.
Das Hochladen eigener Zertifikate ist ab dem Expert-Tarif möglich. Bitte beachten Sie, dass eigene Zertifikate nicht automatisch verlängert werden – ersetzen Sie das Zertifikat vor Ablauf, um TLS-Fehler für Ihre Besucher zu vermeiden.
FAQ
Benötigt mein Ursprungsserver ein eigenes SSL-Zertifikat, wenn ich WEDOS Protection nutze?
Im Standardmodus „Vollständiger Schutz“ (L3/L4 und L7) beendet WGP den TLS-Handschlag am Rand mit seinem eigenen Zertifikat. Der Ursprungsserver kann für die Backend-Verbindung weiterhin HTTPS verwenden (aus Sicherheitsgründen empfohlen), doch die Besucher sehen nur das WGP-Zertifikat. In den Modi „Netzwerkschutz“ (nur L3/L4) und „Pass-Through“ muss der Ursprungsserver über ein eigenes gültiges Zertifikat verfügen, da der TLS-Handshake direkt mit dem Ursprungsserver stattfindet.
Ist HTTPS-Pass-Through dasselbe wie das Deaktivieren von WGP?
Nein. Im Pass-Through- Modus (ohne Überprüfung/Schutz) fließt der Datenverkehr weiterhin durch das WGP-Netzwerk – er wird lediglich nicht überprüft, gefiltert oder protokolliert. Sie behalten das Routing und die Verfügbarkeit des Anycast-Netzwerks bei, verlieren jedoch den Schutz auf Anwendungs- und Netzwerkebene. Um den Schutz wiederherzustellen, wechseln Sie zurück zu „Vollständiger Schutz“ oder „Netzwerkschutz“.
Wie erneuert WGP Let’s Encrypt-Zertifikate automatisch?
WGP nutzt die DNS-01-Validierung zur Erneuerung von Let’s Encrypt-Zertifikaten. Ein temporärer TXT-Eintrag wird auf _acme-challenge.yourdomain.com, Let’s Encrypt überprüft es, und das erneuerte Zertifikat wird auf dem WGP-Edge installiert. Dies geschieht automatisch und erfordert keine manuellen Schritte, solange Ihre Domain weiterhin an das DNS von WGP delegiert ist.
Wird die Aktivierung von HSTS meine Website beeinträchtigen?
Nur wenn HTTPS bei aktiviertem HSTS nicht vollständig funktioniert. Sobald Browser die HSTS-Richtlinie gespeichert haben, verweigern sie für die Dauer der Richtlinie den Fallback auf HTTP. Vergewissern Sie sich vor der Aktivierung von HSTS, dass die Website über HTTPS auf der Hauptdomain und allen von Besuchern genutzten Subdomains korrekt geladen wird und dass keine Warnungen wegen gemischter Inhalte angezeigt werden.