SSL für System-Domains

[Tobi]

Ich fände es klasse wenn die User-System-Domains automatisch mit SSL eingerichtet würden.

[hchristo]

wie ist denn deine Systemdomain? Normalerweise geht das unter:
Sicherheit -> SSL/TLS-Zertifikate -> auf der rechten Seite findest du ein Button "Serverdienste absichern". Da stellst du jeden auswahlpunkt von "default" auf "Let´s Encrypt Zertifikat" um und schon wird dein Panel und dessen Systemdomain (sofern für Panel genutzt) abgesichert.

[andromeda]

wie ist denn deine Systemdomain? Normalerweise geht das unter:
Sicherheit -> SSL/TLS-Zertifikate -> auf der rechten Seite findest du ein Button "Serverdienste absichern". Da stellst du jeden auswahlpunkt von "default" auf "Let´s Encrypt Zertifikat" um und schon wird dein Panel und dessen Systemdomain (sofern für Panel genutzt) abgesichert.

Aber nicht für die User-System-Domains, nur für den Serverpanel...

Der Vorschlag von Tobi erscheint mir sinnvoll, insofern +1

[select name from me;]

TLS macht heute natürlich für die meisten Domain Sinn. Bei Let's Encrypt sollte man aber auch die Limits im Auge behalten. Pro Domain können nur 50 Zertifikate in 7 Tagen ausgestellt werden. Dies beinhaltet auch die Subdomains.

https://letsencrypt.org/de/docs/rate-limits/

Das betrifft auch die Aktualisierungen. Und 50 Subdomains kommen schnell in einer Woche zusammen.

Aus diesem - und anderen Gründen - sollte man vielleicht lieber Wildcard Zertifikate in Erwägung ziehen.

[Blubby]

Aus diesem - und anderen Gründen - sollte man vielleicht lieber Wildcard Zertifikate in Erwägung ziehen.

Das würde ich auch empfehlen, wird allerdings ne ganz schöne Frickelei wenn man mehr als einen Server unter einer Domain hat. Ich nehme mal an Wildcards für subdomains gehen nicht oder?

[Henning]

Aus diesem - und anderen Gründen - sollte man vielleicht lieber Wildcard Zertifikate in Erwägung ziehen.

Das würde ich auch empfehlen, wird allerdings ne ganz schöne Frickelei wenn man mehr als einen Server unter einer Domain hat. Ich nehme mal an Wildcards für subdomains gehen nicht oder?

Wenn ich mich recht entsinne, ist dort händische Arbeit angesagt, zumindest bei LE. Zu meinen Plesk Zeiten musste dort in regelmäßigen Abständen per Hand ein spezieller TXT Record aktualisiert werden und dann auch manuell zur Prüfung angestossen werden. Ich verstehe euer Ansinnen, ich hätte dafür keine Zeit.

Sollte die System-Domain auch auf gleichem Server per DNS gehostet werden wird es sowieso schwierig. Fällt der Server aus, fällt auch der DNS aus und somit auch die Erreichbarkeit der dort gelisteten Domains.

[omexlu]

Moin,

Siehe auch hier:
viewtopic.php?p=51649

[Grissom]

TLS macht heute natürlich für die meisten Domain Sinn. Bei Let's Encrypt sollte man aber auch die Limits im Auge behalten. Pro Domain können nur 50 Zertifikate in 7 Tagen ausgestellt werden. Dies beinhaltet auch die Subdomains.

https://letsencrypt.org/de/docs/rate-limits/

Also wenn es 50 Zertifikate pro Domain und Woche sind, wer hat denn neben der Hauptdomain überhaupt auch nur ansatzweise so viele Subdomains? Das betrifft bestenfalls Mittelständler und größer, aber ich schätze mal das Gros der KH-Kunden wäre davon längst nicht betroffen.

Ich würde es schon für sinnvoll halten, wenn man z.B. unter Konfiguration -> SSL/TLS-Zertifikate eine Möglichkeit hat, für jede Domain automatisch geläufige Subdomains wie z.B. mail, imap, smtp, pop3, webmail, etc. in einem Feld eintragen zu können und sobald eine neue Domain ein SSL-Zertifikat erhält, würde im Hintergrund auch gleich für diese Subdomains jeweils eines mit angelegt. Das würde auch die Domainübersicht deutlich kürzer und übersichtlicher gestalten. Und in der Übersicht steht dann auch gleich neben jeder Domain die Anzahl der Zertifikate und sollte die z.B. 30+ gehen, wird die Anzeige Orange und ab 45 Rot. Sollte da also jemand in diese Sphären gelangen, könnte er immer noch rechtzeitig gegensteuern.