Die Kommunikation zwischen einem Server im Internet und Ihrem eigenen Computer, bei der Daten von einem zum anderen und zurück übertragen werden, erfolgt im Normalfall unverschlüsselt. Um ein unerwünschtes Ausspähen und Verändern von Daten bei der Übertragung zu verhindern, müssen darum zusätzliche technische Vorkehrungen getroffen werden. Dazu gehört heute bei den meisten Webseiten standardmäßig eine verschlüsselte Kommunikation.

Mittels des Verschlüsselungsprotokolls SSL/TLS wird die Kommunikation zwischen Ihrem Webbrowser und einem Webauftritt, den Sie mit Ihrem Browser aufrufen, verschlüsselt übertragen. Dass ein Webauftritt Verschlüsselung verwendet, erkennen Sie in der Adressleiste Ihres Browsers am Schloss-Symbol und dem Wort "https" statt "http".

Wenn Sie einen Webserver am LRZ betreiben, können Sie für diesen eine verschlüsselte Übertragung aktivieren.

Allgemeines

Sicherheitszertifikate stellt das LRZ in Kooperation mit dem DFN (Deutsches Forschungsnetz) aus. Im Webhosting setzt das LRZ sogenannte Sammelzertifikate ein. Das bedeutet, dass es ein Sicherheitszertifikat für viele Domains gibt. Die einzelnen Domains stehen dabei im "Subject Alternative Name" des Zertifikats. Einmal pro Woche werden die Namen in den Sammelzertifikaten aktualisiert, falls Änderungen anstehen.

Grundsätzlich können alle DNS-Namen von Webservern, die am LRZ gehostet werden, in die Sammelzertifikate eingetragen werden, egal, ob es sich dabei um Subdomains zu Standard-Domains oder um Nicht-Standard-Domains handelt (mehr darüber erfahren Sie im Artikel DNS-Name(n) für einen Webserver). Voraussetzung für eine Aufnahme eines DNS-Namens in die Sammelzertifikate ist jedoch stets die Erlaubnis des DFN. Für Subdomains zu Standard-Domains gilt diese Erlaubnis standardmäßig. Bei Nicht-Standard-Domains gibt es einen speziellen Prozess, damit auch diese DNS-Namen in die Sammelzertifikate aufgenommen werden dürfen.

Normalfall: Standard-Domains und deren Subdomains

Wenn der DNS-Name Ihres Webservers zu den Standard-Domains und deren Subdomains gehört, wird er automatisch in unsere Sammelzertifikate aufgenommen. Direkt nach dem Einrichten des Webservers funktioniert das Sicherheitszertifikat bereits, es erscheint jedoch beim Aufruf des Domainnamens mit "https://" zunächst die Fehlermeldung, dass das Zertifikat "nicht vertrauenswürdig" sei. Dies liegt daran, dass der Domainname noch nicht im Sammelzertifikat enthalten ist. Wir aktualisieren die Sammelzertifikate in der Regel einmal wöchentlich und bitten Sie bis zur Aufnahme Ihres Domain-Namens um Geduld.

Sie können Ihren Webserver zudem selbst so konfigurieren, dass er Daten ausschließlich verschlüsselt überträgt. Dies funktioniert über die .htaccess-Datei.

Sonderfall: Nicht-Standard-Domains

Haben Sie einen Webserver mit einem DNS-Namen beantragt, der nicht zu den Standard-Domains gehört, ist das Vorgehen bei der Aufnahme in die Sammelzertifikate ein anderes. Eine Nicht-Standard-Domain muss vom DFN, mit dem das LRZ bei der Zertifikateerstellung kooperiert, freigeschaltet werden. Dafür müssen Sie selbst aktiv werden.

Wenn Sie einen Webserver mit einer Nicht-Standard-Domain haben einrichten lassen, dann haben Sie im Normalfall die Domain auch selbst besorgt. Sie sind also, im Unterschied zu den Standard-Domain, die den Einrichtungen wie TUM, LMU etc. gehören, selbst der Domain-Inhaber. Aus diesem Grund dürfen normalerweise nur Sie selbst Zertifikate für Ihre Domain erstellen. Wenn Sie in unsere Sammelzertifikate aufgenommen werden möchten, müssen Sie darum der LRZ-CA (Certificate Authority) explizit erlauben, dass die LRZ-CA Zertifikate für Ihre Domain erstellen darf.

Dies läuft normalerweise folgendermaßen ab:

Eröffnen Sie einen Incident beim LRZ-Servicedesk unter dem Dienst "Zertifizierung in der DFN PKI" und schildern Sie Ihr Anliegen. Sie erhalten dann von den PKI-Kollegen eine E-Mail an die Adresse, die im SOA-Record Ihrer Domain hinterlegt ist. Dies kann z.B. webmaster@ihre-domain.de oder hostmaster@ihre-domain.de sein. Dafür, dass dort ein gültiger und sinnvoller Eintrag steht, sind Sie als Domain-Besitzer verantwortlich. Diese E-Mail enthält einen Validierungslink auf eine WWW-Seite, auf der Sie per Mausklick die Erlaubnis zur Ausstellung von Zertifikaten für Ihre Domain erteilen können. Wenn die Nicht-Standard-Domain hingegen über das LRZ läuft, also dem LRZ gehört, werden im SOA-Record der Domain die LRZ-Hostmaster (hostmaster@lrz.de) eingetragen sein. Erhalten die Hostmaster eine solche Validierungsmail, werden sie den Link selbstständig klicken und auf diese Weise Ihre Domain für die Zertifikatsvergabe freischalten.

Bitte beachten Sie, dass die Erlaubnis zur Ausstellung von Zertifikaten, die Sie dem LRZ auf diese Weise erteilen, 825 Tage (ab September 2020 nur 398) lang gültig ist. Kurz vor Ablauf dieser Zeitspanne wird eine neue Revalidierungs-Aufforderung versendet.