From e6de6f6630d3e0b1a3f7b26653d1e5394b70f294 Mon Sep 17 00:00:00 2001 From: Ludek Janda Date: Mon, 23 Mar 2026 19:26:09 +0100 Subject: [PATCH] Updates in DE,ZH-CN --- content/de/contact.md | 10 ++++-- content/de/docs/challenge-types.md | 52 ++++++++++++++------------- content/de/docs/glossary.md | 29 ++++++++------- content/de/docs/monitoring-options.md | 22 +++++++++++- content/de/docs/revoking.md | 7 ++-- content/zh-cn/docs/profiles.md | 4 +-- content/zh-cn/upcoming-features.md | 5 ++- i18n/de.toml | 16 ++++----- 8 files changed, 87 insertions(+), 58 deletions(-) diff --git a/content/de/contact.md b/content/de/contact.md index ceca008ca4..431be0d84f 100644 --- a/content/de/contact.md +++ b/content/de/contact.md @@ -2,7 +2,7 @@ title: Kontakt slug: contact description: Wie Sie uns erreichen -lastmod: 2023-09-26 +lastmod: 2025-11-26 menu: main: weight: 90 @@ -10,7 +10,13 @@ menu: should_hide_footer_newsletter: true --- -**Wir leisten keine Unterstützung per E-Mail. Wenn Sie Fragen haben, nutzen Sie bitte unsere [Community-Foren](https://community.letsencrypt.org). Die unten angegebenen E-Mail-Adressen sind nur für die speziell beschriebenen Aufgaben.** +## Hilfe und Support + +**Wir leisten keine Unterstützung per E-Mail.** + +Wenn Sie Hilfe benötigen oder eine Frage haben, nutzen Sie bitte unsere [Community-Foren](https://community.letsencrypt.org). + +Die unten angegebenen E-Mail-Adressen sind nur für die speziell beschriebenen Aufgaben. ## Presseanfragen diff --git a/content/de/docs/challenge-types.md b/content/de/docs/challenge-types.md index 0b9fa129da..e0a4a4fe8d 100644 --- a/content/de/docs/challenge-types.md +++ b/content/de/docs/challenge-types.md @@ -1,8 +1,7 @@ --- title: Challenge Typen slug: challenge-types -date: 2019-02-25 -lastmod: 2023-02-13 +lastmod: 2026-02-12 show_lastmod: 1 --- @@ -13,21 +12,22 @@ Wenn Sie ein Zertifikat von Let’s Encrypt erhalten, überprüfen unsere Server Dies ist heute die häufigste Art der Challenge. Let's Encrypt gibt Ihrem ACME-Client einen Token und Ihr ACME-Client legt eine Datei auf Ihrem Webserver unter `http:///.well-known/acme-challenge/` ab. Diese Datei enthält den Token sowie einen Fingerabdruck Ihres Kontoschlüssels. Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass die Datei fertig ist, versucht Let’s Encrypt sie abzurufen (möglicherweise mehrmals von mehreren Standorten aus). Wenn unsere Validierungsprüfunge mit den Antworten von Ihrem Webserver übereinstimmen, wird die Validierung als erfolgreich angesehen und Sie können mit der Ausstellung Ihres Zertifikats fortfahren. Wenn die Validierungsprüfungen fehlschlagen, müssen Sie es mit einem neuen Zertifikat erneut versuchen. -Unsere Implementierung der HTTP-01-Challenge folgt Weiterleitungen, bis zu 10 Weiterleitungen tief. Es werden nur Weiterleitungen zu "http:" oder "https:" akzeptiert und nur zu den Ports 80 oder 443. Es werden keine Umleitungen zu IP-Adressen akzeptiert. Bei der Umleitung zu einer HTTPS-URL werden keine Zertifikate überprüft (da diese Abfrage gültige Zertifikate erstellen soll, kann es vorkommen, dass selbstsignierte oder abgelaufene Zertifikate vorhanden sind). +Unsere Implementierung der HTTP-01-Challenge folgt Weiterleitungen, bis zu 10 Weiterleitungen tief. Es werden nur Weiterleitungen zu "http:" oder "https:" akzeptiert und nur zu den Ports 80 oder 443. Bei der Umleitung zu einer HTTPS-URL werden keine Zertifikate überprüft (da diese Abfrage gültige Zertifikate erstellen soll, kann es vorkommen, dass selbstsignierte oder abgelaufene Zertifikate vorhanden sind). Die HTTP-01 Challenge kann nur auf Port 80 durchgeführt werden. Erlauben von anderen Ports, würde die Challenge weniger sicher machen und ist nach dem ACME Standard nicht erlaubt. Vorteile: - - Ohne Fachkenntnisse in der Domainverwaltung einfach zu automatisieren. - - Erlaubt Hosting Providern das Ausstellen von Zertifikaten für CNAME Domains. - - Funkioniert mit jedem Standard-Webserver. +- Ohne Fachkenntnisse in der Domainverwaltung einfach zu automatisieren. +- Erlaubt Hosting Providern das Ausstellen von Zertifikaten für CNAME Domains. +- Funkioniert mit jedem Standard-Webserver. +- Die Methode kann auch genutzt werden, um IP-Adressen zu verifizieren. Nachteile: - - Funktioniert nicht, wenn Ihr ISP Port 80 blockiert (selten, aber es gibt solche ISPs). - - Let’s Encrypt erlaubt diese Challenge nicht zum Ausstellen von Wildcard Zertifikaten. - - Wenn Sie mehrere Webserver haben, müssen Sie sicherstellen, dass die Dateien überall verfügbar sind. +- Funktioniert nicht, wenn Ihr ISP Port 80 blockiert (selten, aber es gibt solche ISPs). +- Diese Methode kann nicht genutzt werden, um Wildcard-Zertifikate zu beantragen. +- Wenn Sie mehrere Webserver haben, müssen Sie sicherstellen, dass die Dateien überall verfügbar sind. # DNS-01 challenge @@ -45,35 +45,38 @@ Sie können mehrere TXT Einträge für denselben Namen vorhalten. Wenn Sie zum B Vorteile: - - Sie können diese Challenge zur Ausstellung von Wildcard-Zertifikaten verwenden. - - Es funtioniert gut, wenn Sie mehrere Webserver verwenden. +- Sie können diese Challenge zur Ausstellung von Wildcard-Zertifikaten verwenden. +- Es funtioniert gut, wenn Sie mehrere Webserver verwenden. +- Sie können diese Methode nutzen, um Domain Namen zu validieren, deren Webserver nicht im öffentlichen Internet erreichbar sind. Nachteile: - - Das Vorhalten der API Zugriffsinformationen auf dem Webserver ist ein Risiko. - - Ihr DNS Anbieter bietet vielleicht keine API an. - - Ihre DNS API stellt vielleicht keine Information über die Propagierungszeit zur Verfügung. - -# TLS-SNI-01 - -Diese Challenge war in einer Entwurfsversion von ACME definiert. Es wurde ein TLS Handshake auf Port 443 durchgeführt und ein spezieller [SNI][] Header gesendet, welches nach einem Zertifikat mit dem Token gesucht hat. Es wurde in [März 2019 deaktiviert][tls-sni-disablement], da es nicht sicher genug war. +- Das Vorhalten der API Zugriffsinformationen auf dem Webserver ist ein Risiko. +- Ihr DNS Anbieter bietet vielleicht keine API an. +- Ihre DNS API stellt vielleicht keine Information über die Propagierungszeit zur Verfügung. +- Diese Methode kann nicht genutzt werden, um IP-Adressen zu validieren. # TLS-ALPN-01 Diese Challenge wurde entwickelt, nachdem TLS-SNI-01 veraltet war und ist als [separatater Standard][tls-alpn] definiert. Wie TLS-SNI-01 arbeitet es mit TLS auf Port 443. Es benutzt ein angepasstes ALPN Protokoll, um sicherzustellen, dass nur Server auf eine Validierungsanfrage antworten, die diesen Challenge Typ erwarten. Es erlaubt auch Validierungsanfragen für diesen Challenge Typ mit Benutzung des SNI Felds, das mit dem Domainnamen übereinstimmt, was es wiederum sicherer macht. -Für die meisten Nutzer ist diese Challenge nicht sinnvoll. Es ist die beste Lösung für Entwickler von TLS-terminierenden Reverse-Proxys, die eine host-basierende Validierung wie HTTP-01 durchführen möchten, aber dies aus Separierungsgründen durchgängig als TLS Layer implementieren. Derzeit benutzt bei grossen Hostinganbieter, aber Webserver wie Apache oder Nginx könnten das irgendwann mal ([Caddy kann es jetzt schon][caddy-tls-alpn]). +Für die meisten Nutzer ist diese Challenge nicht sinnvoll. Es ist die beste Lösung für Entwickler von TLS-terminierenden Reverse-Proxys, die eine host-basierende Validierung wie HTTP-01 durchführen möchten, aber dies aus Separierungsgründen durchgängig als TLS Layer implementieren. Im Moment bedeutet das hauptsächlich große Hosting-Anbieter. Vorteile: - - Funktioniert wenn Port 80 für Sie nicht erreichbar ist. - - Es kann als purer TLS Layer arbeiten +- Funktioniert wenn Port 80 für Sie nicht erreichbar ist. +- Es kann als purer TLS Layer arbeiten +- Die Methode kann auch genutzt werden, um IP-Adressen zu verifizieren. Nachteile: - - Wird nicht unterstützt von Apache, Nginx oder Certbot und wird es auch nicht in naher Zukunft. - - Wie HTTP-01, wenn Sie mehrere Webserver haben, brauchen zur Antwort alle denselben Content. - - Diese Methode kann nicht verwendet werden, um Wildcard-Domains zu validieren. +- ACME-client support ist limitiert. +- Wie HTTP-01, wenn Sie mehrere Webserver haben, brauchen zur Antwort alle denselben Content. +- Diese Methode kann nicht verwendet werden, um Wildcard-Domains zu validieren. + +# TLS-SNI-01 + +Diese Challenge war in einer Entwurfsversion von ACME definiert. Es wurde ein TLS Handshake auf Port 443 durchgeführt und ein spezieller [SNI][] Header gesendet, welches nach einem Zertifikat mit dem Token gesucht hat. Es [wurde im März 2019 entfernt][tls-sni-disablement], weil es nicht sicher genug war. [dns-api-providers]: https://community.letsencrypt.org/t/dns-providers-who-easily-integrate-with-lets-encrypt-dns-validation/86438 [securing-dns-credentials]: https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation @@ -82,4 +85,3 @@ Nachteile: [SNI]: https://en.wikipedia.org/wiki/Server_Name_Indication [tls-sni-disablement]: https://community.letsencrypt.org/t/march-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209 [tls-alpn]: https://tools.ietf.org/html/rfc8737 -[caddy-tls-alpn]: https://caddy.community/t/caddy-supports-the-acme-tls-alpn-challenge/4860 diff --git a/content/de/docs/glossary.md b/content/de/docs/glossary.md index 771710afa6..7b6d53407f 100644 --- a/content/de/docs/glossary.md +++ b/content/de/docs/glossary.md @@ -1,30 +1,31 @@ --- title: Glossar slug: glossary -date: 2024-07-16 +lastmod: 2025-07-31 show_lastmod: 1 +description: "Ein Glossar der von Let's Encrypt verwendeten Begriffe im Zusammenhang mit SSL/TLS-Zertifikaten, HTTPS und Websicherheit." --- -{{% def id="AIA" name="Authority Information Access" abbr="AIA" %}} Eine Zertifikat-[Erweiterung](#def-extension) um [User Agents](#def-user-agent) anzuzeigen, wie sie Informationen über den Aussteller des [Zertifikat](#def-certificate) erhalten. Typischerweise spezifiziert sie die [OCSP](#def-OCSP) URI und die [Aussteller-URI](#def-CAI). {{% /def %}} +{{% def id="AIA" name="Authority Information Access" abbr="AIA" %}} Eine Zertifikat-[Erweiterung](#def-extension) um [User Agents](#def-user-agent) anzuzeigen, wie sie Informationen über den Aussteller des [Zertifikat](#def-certificate) erhalten. Es gibt typischerweise die [Aussteller-URI](#def-CAI) an. {{% /def %}} {{% def id="ACME" name="Automatic Certificate Management Environment" abbr="ACME" abbr_first="1" %}} Das Protokoll, welches [Let's Encrypt](#def-LE) implementiert verwendet. Software, die kompatibel zu diesem Protokoll ist, kann zur Kommunikation mit Let's Encrypt benutzt werden, um nach einem [Zertifikat](#def-leaf) zu fragen. [ACME RFC](https://tools.ietf.org/html/rfc8555) - [Wikipedia](https://en.wikipedia.org/wiki/Automated_Certificate_Management_Environment) {{% /def %}} @@ -60,11 +61,11 @@ Note for translators: {{% def id="CRL" name="Certificate Revocation List" abbr="CRL" %}} Eine Methode, um [User Agents](#def-user-agent) über das [Sperren](#def-revocation) von [Zertifikaten](#def-leaf) zu informieren. Dies ist eine Liste von Seriennummern von allen gesperrten Zertifikaten, ausgestellt von der angegebenen CA und von dieser CA signiert. [Wikipedia](https://en.wikipedia.org/wiki/Certificate_revocation_list) {{% /def %}} -{{% def id="CSR" name="Certificate Signing Request" abbr="CSR" %}} Eine signierte Datei mit den notwendigen Informationen für eine [CA](#def-CA) zur Generierung eines Zertifikats. Relevante Information für [Let's Encrypt](#def-LE) sind die [Common Name](#def-CN), [Subject Alternative Names](#def-SAN) und Subject Public Key Info. Typischerweise generieren [Client-Anwendungen](#def-ACME-client) automatisch den CSR für den Nutzer, auch ein Web-Hosting Provider oder ein Gerät generieren auch ein CSR. [Wikipedia](https://en.wikipedia.org/wiki/Certificate_signing_request) {{% /def %}} +{{% def id="CSR" name="Certificate Signing Request" abbr="CSR" %}} Eine signierte Datei, die die von der [CA](#def-CA) benötigten Informationen zur Erstellung eines Zertifikats enthält. Relevante Information für [Let's Encrypt](#def-LE) sind die [Common Name](#def-CN), [Subject Alternative Names](#def-SAN) und Subject Public Key Info. Typischerweise generieren [Client-Anwendungen](#def-ACME-client) automatisch den CSR für den Nutzer, auch ein Web-Hosting Provider oder ein Gerät generieren auch ein CSR. [Wikipedia](https://en.wikipedia.org/wiki/Certificate_signing_request) {{% /def %}} {{% def id="store" name="Certificate Store" %}} Ein Zertifikatspeicher enthält eine Liste von [Roots](#def-root), denen vertraut wird. Betriebssysteme (wie Windows, Android oder Debian) und [Web Browser](#def-web-browser) (wie Firefox) verwalten einen Zertifikatspeicher. Browser ohne Zertifikatspeicher halten sich an den des Betriebssystems. Durch [Let's Encrypt](#def-LE) bereitgestellte [Zertifikate](#def-leaf) werden von [den meisten Zertifikatspeichern vertraut](/certificates). {{% /def %}} -{{% def id="subject" name="Certificate subject" %}} Das Betreff-Feld ("Subject") eines Zertifikats zeigt an, wofür ein Zertifikat ist. Es enthät typischerweise Felder wie [Common Name](#def-CN), Land und Organisation. {{% /def %}} +{{% def id="subject" name="Certificate subject" %}} Das Feld "Betreff" eines Zertifikats gibt an, worum es in dem Zertifikat geht. Es enthät typischerweise Felder wie [Common Name](#def-CN), Land und Organisation. {{% /def %}} {{% def id="CT" name="Certificate Transparency" abbr="CT" %}} Um die Sicherheit zu verbessern müssen Zertifikate (oder [Vorzertifikate](#def-precertificate)) in Certificate Transparency Logs: https://www.certificate-transparency.org/ veröffentlicht werden. [Let's Encrypt](#def-LE) generiert und veröffentlicht [Vorzertifikate](#def-precertificate) und speichert sie anschliessend zusammen mit dem [Zertifikat](#def-leaf) in einer Liste von [SCTs](#def-SCT). Einige [Browser](#def-web-browser), wie Google Chrome, erfordern das Vorhandensein eines solchen "verifizierbaren Versprechen" um ein Zertifikat zu validieren. [Wikipedia](https://en.wikipedia.org/wiki/Certificate_Transparency) {{% /def %}} @@ -112,11 +113,11 @@ Note for translators: {{% def id="mixed-content" name="Mixed content" %}} Wenn eine HTTPS Webseite Unterresourcen (Javascript, CSS oder Bilder) über HTTP lädt. [Browser](#def-web-browser) blockieren möglicherweise gemischten Inhalt oder markieren die Seite als weniger sicher, wenn gemischter Inhalt vorhanden ist: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Um das Problem zu lösen, muss ein Webentwickler die Seite so ändern, dass alle Ressourcen HTTPS URLs benutzen. [Entwicklerwerkzeuge](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/What_are_browser_developer_tools), eingebaut in Browser, können benutzt werden, um herauszufinden, welche Resourcen Probleme mit gemischten Inhalten verursachen. {{% /def %}} -{{% def id="OCSP" name="Online Certificate Status Protocol" abbr="OCSP" abbr_first="1" %}} Eine Methode zur Überprüfung des [Sperrstatus](#def-revocation) eines [Zertifikats](#def-leaf). In anderen Worte, ein Weg zu überprüfen, ob eine [Certificate Authority](#def-CA) anzeigt, dass das Zertifikat nicht länger gültig sein sollte, auch wenn das Ablaufdatum noch nicht erreicht ist. Diese Anfragen können Probleme mit der Privatsphäre verursachen, denn es erlaubt der Zertifizierungsstelle und Internet Service Providern direkte Beobachtung, wer welche Seiten besucht hat. [Wikipedia](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) {{% /def %}} +{{% def id="OCSP" name="Online Certificate Status Protocol" abbr="OCSP" abbr_first="1" %}} Eine Methode zur Überprüfung des [Sperrstatus](#def-revocation) eines [Zertifikats](#def-leaf). In anderen Worte, ein Weg zu überprüfen, ob eine [Certificate Authority](#def-CA) anzeigt, dass das Zertifikat nicht länger gültig sein sollte, auch wenn das Ablaufdatum noch nicht erreicht ist. Diese Anfragen können Probleme mit der Privatsphäre verursachen, denn es erlaubt der Zertifizierungsstelle und Internet Service Providern direkte Beobachtung, wer welche Seiten besucht hat. [Let's Encrypt](#def-LE) bietet keinen OCSP Service mehr an. [Wikipedia](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) {{% /def %}} -{{% def id="OCSP-must-staple" name="OCSP Must-Staple" %}} Eine [Zertifikat](#def-leaf) Erweiterung, die den [Browser](#def-web-browser) informiert, dass der [Web Server](#def-web-server) mit dem Zertifikat [OCSP Stapling](#def-OCSP-stapling) benutzen muss. Es wird benutzt, um einen aktuellen [Sperrstatus](#def-revocation) des [Zertifikats](#def-leaf) vom Webserver bei jeder Verbindung bestätigt zu bekommen, was Sperrungen mehr sinnvoll macht. [Let's Encrypt](#def-LE) kann Zertifikate mit OCSP Must-Staple [Erweiterung](#def-extension) ausstellen. [Mozilla Security Blog](https://blog.mozilla.org/security/2015/11/23/improving-revocation-ocsp-must-staple-and-short-lived-certificates/) [RFC 7633](https://tools.ietf.org/html/rfc7633) {{% /def %}} +{{% def id="OCSP-must-staple" name="OCSP Must-Staple" %}} Eine [Zertifikat](#def-leaf) Erweiterung, die den [Browser](#def-web-browser) informiert, dass der [Web Server](#def-web-server) mit dem Zertifikat [OCSP Stapling](#def-OCSP-stapling) benutzen muss. Es wird benutzt, um einen aktuellen [Sperrstatus](#def-revocation) des [Zertifikats](#def-leaf) vom Webserver bei jeder Verbindung bestätigt zu bekommen, was Sperrungen mehr sinnvoll macht. [Let's Encrypt](#def-LE) unterstützt dies nicht mehr. [RFC 7633](https://tools.ietf.org/html/rfc7633) {{% /def %}} -{{% def id="OCSP-stapling" name="OCSP stapling" %}} Ein Weg für [Web Server](#def-web-server), um zum [Browser](#def-web-browser) eine [OCSP](#def-OCSP) Antwort signiert von der [Zertifizierungsstelle](#def-CA) zu senden, sodass der Browser nicht selbst eine zweite OCSP Anfrage zur CA senden muss, verbessert Geschwindigkeit und Privatsphäre. Auch bekannt als TLS Certificate Status Request extension. [Wikipedia](https://en.wikipedia.org/wiki/OCSP_stapling) [Cloudflare](https://blog.cloudflare.com/high-reliability-ocsp-stapling/) {{% /def %}} +{{% def id="OCSP-stapling" name="OCSP stapling" %}} Ein Weg für [Web Server](#def-web-server), um zum [Browser](#def-web-browser) eine [OCSP](#def-OCSP) Antwort signiert von der [Zertifizierungsstelle](#def-CA) zu senden, sodass der Browser nicht selbst eine zweite OCSP Anfrage zur CA senden muss, verbessert Geschwindigkeit und Privatsphäre. Auch bekannt als TLS Certificate Status Request extension. Beachten Sie, dass [Let's Encrypt](#def-LE) OCSP nicht unterstützt. [Wikipedia](https://en.wikipedia.org/wiki/OCSP_stapling) [Cloudflare](https://blog.cloudflare.com/high-reliability-ocsp-stapling/) {{% /def %}} {{% def id="OID" name="Object identifier" abbr="OID" %}} OIDs sind einzigartige numerische Bezeichner, standardisiert von der International Telecommunications Union (ITU) und ISO/IEC. OIDs werden mit Zertifikaten zur Definition von Erweiterungen, Feldern und Anforderungen. Internet Standards und [Certificate Policy](#def-CP) und [Certification Practice Statement](#def-CPS) dokumentieren die Nutzung von OID. [Wikipedia](https://en.wikipedia.org/wiki/Object_identifier) {{% /def %}} @@ -128,13 +129,15 @@ Note for translators: {{% def id="precertificate" name="Precertificate" %}} Vorzertifikate sind Teil der [Certificate Transparency](#def-CT). Ein Vorzertifikat ist eine Kopie des [Zertifikat](#def-leaf), dass eine CA beabsichtigt auszustellen mit einer [kritischen](#def-critical) Erweiterung ausgestattet, um zu verhindern, dass das Vorzertifikat von Software in der Welt akzeptiert wird. Eine CA sendet ein Vorzertifikat zum [CT logs](#def-CT-log) in Austausch für [SCTs](#def-SCT). Da ein Vorzertifikat nicht identisch ist mit seinem korrespondierenden Zertifikat, loggt Certificate Transparency am Ende beide. [RFC 6962 Section 3.1](https://tools.ietf.org/html/rfc6962#section-3.1) {{% /def %}} +{{% def id="profile" name="Profile" %}} Ein Profil ist eine Sammlung von Eigenschaften, die sowohl die Validierung als auch den endgültigen Inhalt eines Zertifikats beeinflussen. In der [Profil-Dokumentation](/docs/profiles) finden Sie Beschreibungen der einzelnen Profile, deren Auswirkungen und Hinweise zur Auswahl. {{% /def %}} + {{% def id="HPKP" name="HTTP Public Key Pinning" abbr="HPKP" %}} Ein Sicherheitsmechanismus, der Browser fragt, ob die [Zertifikatkette](#def-chain) eines Webservers für zukünfigte Anfragen benutzt werden soll. Chrome stellte dieses Mechanismus zum Schutz gegen CA Komprimitierungen vor, aber Ausfälle von Seiten verleiteten Chrome dazu, diesen zu [missbilligen und zu löschen](https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/he9tr7p3rZ8). [Wikipedia](https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning) {{% /def %}} {{% def id="PSL" name="Public Suffix List" abbr="PSL" %}} Eine Liste von *Public Suffixes* verwaltet von Mozilla, zeigt an, welche Internet-Domains verfügbar sind für viele separate Entitäten zum Registrieren von Sub-Domains. Zum Beispiel, die Liste zeigt an, dass beide `com` und `co.uk` sind Public Suffixes, wobei `co.uk` keine TLD ist. Web Browser benutzen die Liste für einige andere Dinge, um zu verhindern, dass Webseiten, die wahrscheinlich von verschiedenen Entitäten betrieben werden, Web-Cookies miteinander teilen. [Let's Encrypt](#def-LE) benutzt die Liste auch zum Berechnen der Rate Limits: [/docs/rate-limits](/docs/rate-limits). https://publicsuffix.org/ {{% /def %}} {{% def id="relying-party" name="Relying Party" %}} Die Person, die sich auf Information in einem Zertifikat verlässt. Zum Beispiel, jemand, der eine HTTPS Webseite besucht, ist ein Relying Party. {{% /def %}} -{{% def id="revocation" name="Revocation" %}} Ein Zertifikat ist gültig bis es abläuft, es sei denn, die [CA](#def-CA) sagt, dass es gesperrt ist. Das Zertifikat kann aus verschiedenen Gründen gesperrt sein wie etwa Komprimierung des privaten Schlüssels. Browser können überprüfen, ob ein Zertifikat gesperrt ist durch Benutzung [CRL](#def-CRL), [OCSP](#def-OCSP) oder neueren Methoden wie [OneCRL](https://blog.mozilla.org/security/2015/03/03/revoking-intermediate-certificates-introducing-onecrl/) und [CRLSets](https://dev.chromium.org/Home/chromium-security/crlsets). Beachten Sie, dass [Sperrungen in vielen Situationen nicht funktionieren](https://www.imperialviolet.org/2011/03/18/revocation.html). [/docs/revoking](/docs/revoking) {{% /def %}} +{{% def id="revocation" name="Revocation" %}} Ein Zertifikat ist gültig bis es abläuft, es sei denn, die [CA](#def-CA) sagt, dass es gesperrt ist. Das Zertifikat kann aus verschiedenen Gründen gesperrt sein wie etwa Komprimierung des privaten Schlüssels. Browser können mithilfe einer [CRL](#def-CRL) oder neuerer Methoden wie [CRLite](https://github.com/mozilla/crlite/) und [CRLSets](https://dev.chromium.org/Home/chromium-security/crlsets) prüfen, ob ein Zertifikat widerrufen wurde. Beachten Sie, dass [Sperrungen in vielen Situationen nicht funktionieren](https://www.imperialviolet.org/2011/03/18/revocation.html). [/docs/revoking](/docs/revoking) {{% /def %}} {{% def id="root" name="Root certificate" %}} Ein [selbstsigniertes](#def-self-signed) Zertifikat, kontrolliert von einer [Zertifizierungsstelle](#def-CA), benutzt zur Signierung des [Zwischenzertifikats](#def-intermediate) und liegt im [Zertifikatspeicher](#def-store). [Wikipedia](https://en.wikipedia.org/wiki/Root_certificate) {{% /def %}} diff --git a/content/de/docs/monitoring-options.md b/content/de/docs/monitoring-options.md index 721d95db31..37a73f7911 100644 --- a/content/de/docs/monitoring-options.md +++ b/content/de/docs/monitoring-options.md @@ -1,4 +1,24 @@ --- +title: Optionen zur Überwachung slug: monitoring-options -untranslated: 1 +lastmod: 2025-12-09 +show_lastmod: 1 --- + +Die Möglichkeit, den Status von TLS-Zertifikaten zu überwachen, ist für viele unserer Abonnenten hilfreich. Überwachungsdienste können beispielsweise bei Ablaufbenachrichtigungen und der Überwachung unerwünschter Ausgaben helfen. + +Let’s Encrypt kann [Red Sift Certificates Lite (ehemals Hardenize)](https://redsift.com/pulse-platform/certificates-lite) empfehlen. Sie können mit Red Sift bis zu 250 Zertifikate gratis überwachen. + +Es gibt eine Reihe von Überwachungsoptionen, darunter: + +- [Red Sift Certificates (ehemals Hardenize)](https://redsift.com/pulse-platform/certificates-lite) +- [UptimeRobot](https://uptimerobot.com/ssl-monitoring/) +- [Datadog SSL Monitoring](https://www.datadoghq.com/monitoring/ssl-monitoring/) +- [TrackSSL](https://trackssl.com/) +- [Host-Tracker](https://www.host-tracker.com/) +- [HeyOnCall](https://heyoncall.com/guides/ssl-certificate-expiration-monitoring) (selbstgehostete Skripte) +- [CertKit](https://www.certkit.io/) + +Bitte beachten Sie, dass alle diese Dienste in keiner Verbindung zur ISRG / Let's Encrypt stehen. + +Die auf dieser Seite aufgeführten Optionen dienen lediglich Informationszwecken. ISRG übernimmt keine Gewähr für die Sicherheit, Zuverlässigkeit oder Effektivität eines bestimmten Dienstes. Nutzer werden ermutigt, eigene Recherchen und eine sorgfältige Prüfung durchzuführen, bevor sie sich für eine Option entscheiden. ISRG übernimmt keine Verantwortung für etwaige Folgen, die sich aus der Nutzung dieser Dienste ergeben. diff --git a/content/de/docs/revoking.md b/content/de/docs/revoking.md index 6e8e1574f8..c3efb4ecf1 100644 --- a/content/de/docs/revoking.md +++ b/content/de/docs/revoking.md @@ -1,15 +1,14 @@ --- title: Widerruf von Zertifikaten slug: revoking -date: 2017-06-08 -lastmod: 2021-10-15 +lastmod: 2025-07-31 show_lastmod: 1 --- Wenn ein Zertifikat nicht mehr sicher zu verwenden ist, sollten Sie es widerrufen. Dafür kann es verschiedene Gründe geben. So könnten Sie beispielsweise den privaten Schlüssel versehentlich auf einer öffentlichen Website weitergeben; Hacker könnten den privaten Schlüssel von Ihren Servern kopieren; oder Hacker könnten vorübergehend die Kontrolle über Ihre Server oder Ihre DNS-Konfiguration übernehmen und diese zur Validierung und Ausstellung eines Zertifikats verwenden, für das sie den privaten Schlüssel besitzen. -Wenn Sie ein Let's Encrypt-Zertifikat widerrufen, veröffentlicht Let's Encrypt diese Widerrufsinformationen über das [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol), und einige Browser überprüfen OCSP, um festzustellen, ob sie einem Zertifikat vertrauen sollten. Beachten Sie, dass OCSP [einige grundsätzliche Probleme hat](https://www.imperialviolet.org/2011/03/18/revocation.html), so dass nicht alle Browser diese Prüfung durchführen. Dennoch ist der Widerruf von Zertifikaten, die kompromittierten privaten Schlüsseln zuzuordnen sind, eine wichtige Praxis und wird in der [Teilnehmervereinbarung](/repository) von Let's Encrypt gefordert. +Wenn Sie ein Let's Encrypt-Zertifikat widerrufen, kann Let's Encrypt Widerrufsinformationen in [Zertifikatssperrlisten (CRLs)](https://de.wikipedia.org/wiki/Zertifikatsperrliste) veröffentlichen, und einige Browser überprüfen CRLs, um festzustellen, ob sie einem Zertifikat vertrauen können. Das Widerrufen von Zertifikaten, die zu kompromittierten privaten Schlüsseln gehören, ist eine wichtige Vorgehensweise und wird von der [ Let's Encrypt Abonnentenvereinbarung](/repository) verlangt. Um ein Zertifikat mit Let's Encrypt zu widerrufen, verwenden Sie die [ACME API](https://github.com/letsencrypt/boulder/blob/main/docs/acme-divergences.md), höchstwahrscheinlich über einen ACME Client wie [Certbot](https://certbot.eff.org/). Sie müssen Let's Encrypt gegenüber nachweisen, dass Sie berechtigt sind, das Zertifikat zu widerrufen. Es gibt drei Möglichkeiten, dies zu tun: über das Konto, das das Zertifikat ausgestellt hat, über ein anderes autorisiertes Konto oder über den privaten Schlüssel des Zertifikats. @@ -50,7 +49,7 @@ Wenn Sie die Ausstellung eines Zertifikats vermeiden möchten, können Sie einen certbot certonly --manual --preferred-challenges=dns -d ${YOUR_DOMAIN} -d nonexistent.${YOUR_DOMAIN} ``` -Und folgen Sie den Anweisungen. Wenn Sie lieber über HTTP als über DNS validieren möchten, ersetzen Sie das Flag `--preferred-challenges` durch `--preferred-challenges=http`. +Folgen Sie den Anweisungen und überspringen Sie den Validierungsschritt für `nonexistent.${YOUR_DOMAIN}`. Wenn Sie lieber über HTTP als über DNS validieren möchten, ersetzen Sie das Flag `--preferred-challenges` durch `--preferred-challenges=http`. Beachten Sie, dass die DNS-Version dieser Schritte in vielen Fällen nicht funktioniert, wenn Sie `--manual` durch ein Certbot-Plugin ersetzen, um DNS-01-Herausforderungen automatisch zu erfüllen, da Certbot gerne einen TXT-Eintrag unter `_acme-challenge.nonexistent.${YOUR_DOMAIN}` platziert, sofern es dazu in der Lage ist. Sobald Sie die Kontrolle über alle Domänennamen in dem zu widerrufenden Zertifikat validiert haben, können Sie das Zertifikat von [crt.sh](https://crt.sh/) herunterladen und das Zertifikat widerrufen, als ob Sie es ausgestellt hätten: diff --git a/content/zh-cn/docs/profiles.md b/content/zh-cn/docs/profiles.md index 7793735954..c09ceba608 100644 --- a/content/zh-cn/docs/profiles.md +++ b/content/zh-cn/docs/profiles.md @@ -1,7 +1,7 @@ --- title: 证书配置 slug: profiles -lastmod: 2026-02-11 +lastmod: 2026-03-16 show_lastmod: false --- @@ -93,7 +93,7 @@ shortlived 配置与 tlsserver 相同,只有一个重要的区别:证书有 采用 tlsclient 配置颁发的证书带有 TLS 客户端认证 EKU, 除此之外与 classic 配置完全相同。 -但正如我们的[博客文章](/2025/05/14/ending-tls-client-authentication)所述,此配置将于 2026 年 5 月 13 日下线。 +但正如我们的[博客文章](/2025/05/14/ending-tls-client-authentication)所述,此配置也将在近期停止提供。 在 2026 年 5 月 13 日前使用过该配置的用户可以继续使用至 2026 年 7 月 8 日。 此配置的唯一作用是给需要 TLS 客户端身份验证证书的用户一段过渡期,以便其适应仅支持 TLS 服务器身份验证的证书。 如果您并不需要“TLS 客户端身份验证”扩展证书用途,就可以(且应当)忽略这一配置,没有任何风险。 diff --git a/content/zh-cn/upcoming-features.md b/content/zh-cn/upcoming-features.md index 0443cf0fde..e0e283ddee 100644 --- a/content/zh-cn/upcoming-features.md +++ b/content/zh-cn/upcoming-features.md @@ -1,7 +1,7 @@ --- title: 即将推出的功能 slug: upcoming-features -lastmod: 2026-02-11 +lastmod: 2026-03-16 show_lastmod: 1 --- @@ -11,7 +11,7 @@ show_lastmod: 1 ## 移除“TLS 客户端身份验证”扩展密钥用途 -自 2026 年 2 月 11 日起,我们的默认证书配置中[不再包含“TLS 客户端身份验证”扩展密钥用途 (EKU)](https://letsencrypt.org/2025/05/14/ending-tls-client-authentication/)。 对于无法及时完成迁移的用户,我们也提供了 [tlsclient](https://letsencrypt.org/docs/profiles/#tlsclient) 证书配置作为替代方案,截止日期为 2026 年 5 月 13 日。 +自 2026 年 2 月 11 日起,我们的默认证书配置中[不再包含“TLS 客户端身份验证”扩展密钥用途 (EKU)](https://letsencrypt.org/2025/05/14/ending-tls-client-authentication/)。 对于无法及时完成迁移的用户,我们也提供了 [tlsclient](https://letsencrypt.org/docs/profiles/#tlsclient) 证书配置作为临时的替代方案, 在 2026 年 5 月 13 日前使用过该配置的用户可以继续使用至 2026 年 7 月 8 日。 ## 证书有效期缩短至 45 天 @@ -54,4 +54,3 @@ show_lastmod: 1 ## IP 地址证书 申请短期证书(见上)时可以在主体备用名称中[包含 IP 地址](https://letsencrypt.org/2025/02/20/first-short-lived-cert-issued/)。 其[验证方式](https://www.rfc-editor.org/rfc/rfc8738.html)与当下 DNS 域名的验证方式大体相同。 - diff --git a/i18n/de.toml b/i18n/de.toml index 3e9938819c..df2846053d 100644 --- a/i18n/de.toml +++ b/i18n/de.toml @@ -182,13 +182,13 @@ other = "Mit PayPal spenden" other = "Spenden via PayPal" [not_found_title] -other = "404 - Page Not Found" +other = "404 - Seite nicht gefunden" [not_found_message] -other = "The page you're looking for doesn't exist or has been moved." +other = "Die von ihnen aufgerufene Seite existiert nicht oder wurde verschoben." [not_found_button] -other = "Return to Homepage" +other = "Zurück zur Startseite" [amount_per_year] other = "{{ .nb }} USD/Jahr" @@ -221,7 +221,7 @@ other = "Jetzt spenden" other = "Toggle menu" [isrg_legal_address_label] -other = "Legal Address" +other = "Rechtsadresse" [isrg_mailing_label] other = "Senden Sie alle Briefe oder Anfragen an:" @@ -479,16 +479,16 @@ other = "WAYS TO GIVE" other = "Enable our work at Let's Encrypt through your charitable contribution." [donate_page_funding_details_why_support_heading] -other = "WHY SUPPORT?" +other = "Wieso Unterstützen?" [donate_page_funding_details_list_item1] -other = "Free, automated, and easy to use TLS certificates." +other = "Kostenlose, automatisierte und einfach zu verwendende TLS Zertifikate." [donate_page_funding_details_list_item2] -other = "We make it easy to use one or one million certs." +other = "Wir machen es einfach ein oder eine Millionen Zertifikate zu nutzen." [donate_page_funding_details_list_item3] -other = "You make HTTPS possible all around the world." +other = "Ihr macht HTTPS überall auf der Welt möglich." [donate_page_funding_details_list_item4] other = "Help us continue operating at a truly global scale."