Ich richte meinen persönlichen VPS mit Nginx ein und habe gelesen, wie ich den Dienst absichern kann. Aber eine Sache war mir bezüglich Zertifikaten und der Verwaltung von HTTPS nicht ganz klar:
Wenn ich den Domänennamen (www.example.com) von einem Drittanbieter kaufe und die Domäne dann so konfiguriere, dass sie auf die IP meines VPS verweist, die von einem unabhängigen Anbieter bereitgestellt wird, wer verwaltet dann die Zertifikate?
Muss ich die gesamte Handhabung (Zertifikate, TLS-Konfiguration, HTTPS-Abhören usw.) in der VPS- und Nginx-Konfiguration vornehmen, oder wird das alles vom Domänennamenanbieter verwaltet? Oder werden manche Dinge vom Domänennamenanbieter und manche von meiner Nginx-Konfiguration erledigt?
Antwort1
Sie führen die von Ihnen gewünschte Handhabung durch.
Hier ist ein Überblick über das Gesamtbild.
Sie teilen der Zertifizierungsstelle (die Sie DNS-Anbieter nennen) ihre Anforderungen mit. Dazu können auch Zahlungen und Identifikation gehören.
Sie stellen Ihnen ein Zertifikat aus, das sie als ausstellende Behörde ausweist.
Anschließend konfigurieren Sie den Webserver so, dass er dieses Zertifikat verwendet.
Wenn jemand Ihre Seite mit HTTPS besucht, steht das „S“ in „HTTPS“ für „Secure“ (Sicher). Früher konnte man das S eher als SSL-Symbol betrachten, da HTTPS über SSL implementiert wurde. Heutzutage wird TLS als moderne Implementierung verwendet und wird normalerweise anstelle älterer SSL-Versionen verwendet.
Wenn der Webclient (meist „Webbrowser“ genannt) TLS (oder SSL) verwendet, erhält er ein Zertifikat vom Webserver. (Dies ist ein automatisch generiertes Zertifikat, das sich in mancher Hinsicht von dem Zertifikat unterscheidet, das Sie von Ihrer Zertifizierungsstelle erhalten haben.) Anschließend prüft der Webclient, ob das Zertifikat vertrauenswürdig ist. Das Zertifikat, das der Webbrowser erhält, enthält Spuren Ihres Zertifikats und der Zertifizierungsstelle. Der Webbrowser kann erkennen, dass das Zertifikat mit der Genehmigung dieser Zertifizierungsstelle erstellt wurde.
Der Webclient überprüft seinen eigenen „Zertifikatspeicher“, der normalerweise einfach mit dem Webbrowser und/oder dem Betriebssystem geliefert wird. Da Ihr kommerziell erworbenes Zertifikat vermutlich auf eine anerkannte und allgemein vertrauenswürdige Zertifizierungsstelle verweist, betrachtet der Webclient den Webserver als vertrauenswürdig.
Stellen Sie sicher, dass Sie das Zertifikat, für das Sie bezahlt haben, nicht an andere weitergeben. (Normalerweise würde ich sagen, dass Sie es nur an Personen weitergeben sollten, denen Sie vertrauen müssen, beispielsweise an das Unternehmen, das den von Ihnen verwendeten Webserver betreibt. Da Sie jedoch Ihren eigenen Webserver betreiben, gilt diese Ausnahme möglicherweise nicht. Wenn Ihr „virtueller privater Server“ („VPS“) jedoch nicht verschlüsselt ist, könnte Ihr VPS-Host vermutlich auf die Daten zugreifen.) Wenn eine nicht vertrauenswürdige Person eine Kopie dieses Zertifikats erhält, kann man davon ausgehen, dass es sich dabei um Sie handelt. Mit anderen Worten: Ein solcher Dieb kann Ihre Identität effektiv stehlen. Veröffentlichen Sie das Zertifikat, für das Sie bezahlt haben, also nicht öffentlich.
Eine Sache, die Sie mit Ihrem DNS-Anbieter tun können, ist, DNS-Ressourceneinträge einzurichten. In vielen Fällen richten Sie AAAA- und/oder A-Einträge bei ihnen ein. Persönlich neige ich dazu, nur NS-Einträge beim DNS-Anbieter einzurichten und die AAAA- und/oder A-Einträge selbst zu hosten. Ihr DNS-Anbieter muss nicht dieselbe Organisation sein wie die, die Ihre Zertifikate bereitstellt. (Wenn Sie „Let’s Encrypt“ als Ihre Zertifizierungsstelle verwenden, würde ich davon ausgehen, dass es sich um unterschiedliche Organisationen handelt.)
Antwort2
Wenn ich den Domänennamen (www.example.com) von einem Drittanbieter kaufe und die Domäne dann so konfiguriere, dass sie auf die IP meines VPS verweist, die von einem unabhängigen Anbieter bereitgestellt wird, wer verwaltet dann die Zertifikate?
Die Verwaltung erfolgt durch den Betreiber des VPS. Domain-Registrare (Domain-Name-Provider) kümmern sich technisch gesehen nur um IP-Adressen und Domain-Name-Einträge, die mit Ihrem VPS verknüpft sind.
Muss ich die gesamte Handhabung (Zertifikate, TLS-Konfiguration, HTTPS-Abhören usw.) in der VPS- und Nginx-Konfiguration vornehmen, oder wird das alles vom Domänennamenanbieter verwaltet? Oder werden manche Dinge vom Domänennamenanbieter und manche von meiner Nginx-Konfiguration erledigt?
Zertifikate, TLS, https usw. sind alles Dinge, die Sie auf dem Server mit Nginx usw. konfigurieren würden. Domänennamenanbieter spielen in diesem Zusammenhang keine Rolle.