HTTPS ist Standard. Let’s Encrypt + Certbot = automatisches SSL in Minuten.
Installation¶
sudo apt install certbot python3-certbot-nginx
Zertifikat¶
sudo certbot –nginx -d example.com -d www.example.com sudo certbot renew –dry-run
Konfiguration¶
server { listen 443 ssl http2; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; } server { listen 80; return 301 https://$server_name$request_uri; }
Automatische Erneuerung und Best Practices¶
Certbot richtet automatisch einen Cron-Job fuer die Zertifikatserneuerung ein — Let’s-Encrypt-Zertifikate sind 90 Tage gueltig und werden 30 Tage vor Ablauf erneuert. Der Befehl certbot renew --dry-run ueberprueft, ob die automatische Erneuerung korrekt funktioniert. Fuer Wildcard-Zertifikate (*.example.com) benoetigen Sie eine DNS-Challenge statt einer HTTP-Challenge.
Fuer Produktions-Deployments empfehlen wir eine SSL-Konfiguration mit modernen Cipher Suites, einem HSTS-Header und OCSP Stapling. Der Mozilla SSL Configuration Generator erstellt eine optimale Nginx/Apache-Konfiguration fuer Ihren Anwendungsfall. In containerisierten Umgebungen erwaegen Sie Traefik oder Caddy, die automatisch Let’s-Encrypt-Zertifikate erhalten und erneuern, ohne manuelle Certbot-Konfiguration.
HTTPS fuer alle¶
Certbot – kostenlos und automatisch. Einmal einrichten, vergessen.