TLS & Zertifikate für Bunny CDN konfigurieren

Kostenloses SSL per Let's Encrypt, TLS 1.2 Minimum, Custom Hostnames und natives QUIC/HTTP3 auf Bunny CDN.

TLS prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

TLS & Zertifikate auf Bunny CDN

TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen Browser und Server. Ein gültiges Zertifikat und eine korrekte TLS-Konfiguration sind mit 4 von 166 Punkten ein Faktor im Wolf-Agents Web Security Check. Bunny CDN bietet kostenloses SSL per Let's Encrypt, automatische Erneuerung und natives QUIC/HTTP3.

Bunny CDN unterstützt TLS 1.2 und TLS 1.3 auf allen Edge-Servern. TLS 1.0 und 1.1 sind standardmäßig deaktiviert. Für Custom Hostnames generiert Bunny automatisch Let's-Encrypt-Zertifikate per HTTP-01-Challenge. Wolf-Agents empfiehlt, Force SSL zu aktivieren und den Custom Hostname korrekt per CNAME zu verknüpfen, bevor das Zertifikat angefordert wird.

Ausführliche Einführung in TLS & Zertifikate

1 Schritt 1 von 3

Custom Hostname und SSL im Dashboard

Fügen Sie einen Custom Hostname zur Pull Zone hinzu und aktivieren Sie das kostenlose SSL-Zertifikat. Der CNAME-Record muss zuerst erstellt werden — Bunny validiert das Zertifikat per HTTP-01-Challenge über den Hostname. Aktivieren Sie Force SSL für den HTTP-zu-HTTPS-Redirect.

Bunny Dashboard Dashboard 
# Bunny Dashboard → Pull Zone → General → Custom Hostnames

1. Custom Hostname hinzufügen:
cdn.ihre-domain.de

2. DNS CNAME erstellen:
cdn.ihre-domain.de → ihre-domain.b-cdn.net

3. SSL-Zertifikat:
# Automatisch per Let's Encrypt (kostenlos)
# → Generiert und erneuert sich automatisch
# → Validierung per HTTP-01 Challenge

4. Force SSL: ON
# → Leitet HTTP auf HTTPS um (301)

5. TLS Minimum Version: TLS 1.2
# Pull Zone → Security → Minimum TLS Version
QUIC/HTTP3 ist standardmäßig aktiv

Bunny CDN unterstützt QUIC/HTTP3 nativ auf allen Edge-Servern. Browser, die HTTP/3 unterstützen, nutzen automatisch das schnellere Protokoll. Der alt-svc Header signalisiert HTTP/3-Verfügbarkeit. Kein zusätzliches Setup nötig.

2 Schritt 2 von 3

TLS per Bunny API konfigurieren

Für automatisierte Deployments konfigurieren Sie Custom Hostname, SSL und Force SSL per API. Bunny generiert das Zertifikat automatisch nach dem API-Call — der CNAME muss bereits aktiv sein. Die Zertifikatsgenerierung dauert in der Regel wenige Sekunden.

Bunny API (cURL) API 
# Bunny API — Custom Hostname hinzufügen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/addHostname \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"Hostname": "cdn.ihre-domain.de"}'

# Kostenloses SSL aktivieren
curl -X GET "https://api.bunny.net/pullzone/loadFreeCertificate?hostname=cdn.ihre-domain.de" \
  -H "AccessKey: YOUR_API_KEY"

# Force SSL aktivieren
curl -X POST https://api.bunny.net/pullzone/{pullZoneId} \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"EnableForceSSL": true}'

# HTTP/2 Server Push (optional)
curl -X POST https://api.bunny.net/pullzone/{pullZoneId} \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"EnableHTTP2": true}'
Der CNAME muss vor der Zertifikatsanforderung aktiv sein. Let's Encrypt validiert per HTTP-01 Challenge über den Hostname. Wenn der CNAME noch nicht propagiert ist, schlägt die Validierung fehl. Warten Sie nach dem DNS-Update mindestens 5 Minuten.
3 Schritt 3 von 3

TLS-Konfiguration verifizieren

Prüfen Sie TLS-Version, Zertifikat und HTTP/3-Support per curl. Für eine umfassende Analyse verwenden Sie SSL Labs. Bunny CDN erzielt dort typischerweise eine A+-Bewertung dank TLS 1.3, HSTS und moderner Cipher Suites.

Terminal Verifizieren 
# TLS-Version und Zertifikat prüfen
curl -vI https://cdn.ihre-domain.de 2>&1 | grep -E "SSL|TLS|subject|expire"

# Erwartete Ausgabe:
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* subject: CN=cdn.ihre-domain.de
* expire date: ...

# HTTP/3 (QUIC) Support prüfen
curl -sI https://cdn.ihre-domain.de | grep -i alt-svc
alt-svc: h3=":443"; ma=86400

# SSL Labs Score (extern):
# https://www.ssllabs.com/ssltest/analyze.html?d=cdn.ihre-domain.de

Häufige Fehler

CNAME nicht propagiert vor SSL-Anforderung

Wenn der CNAME noch nicht aktiv ist, kann Let's Encrypt die HTTP-01-Challenge nicht validieren. Warten Sie nach der DNS-Änderung und prüfen Sie mit dig, ob der CNAME korrekt aufgelöst wird, bevor Sie das Zertifikat anfordern.

CAA Record blockiert Let's Encrypt

Wenn CAA Records gesetzt sind, die letsencrypt.org nicht als autorisierte CA enthalten, schlägt die Zertifikatsausstellung fehl. Prüfen Sie Ihre CAA Records mit dig ihre-domain.de CAA.

Mixed Content nach Force SSL

Nach der Aktivierung von Force SSL müssen alle eingebundenen Ressourcen ebenfalls per HTTPS geladen werden. HTTP-Ressourcen auf HTTPS-Seiten werden als Mixed Content blockiert. Prüfen Sie Ihre HTML-Quellen auf absolute HTTP-URLs.

Compliance-Relevanz

TLS-Verschlüsselung ist eine Grundvoraussetzung für Compliance. PCI DSS verlangt ausschließlich starke Kryptografie und verbietet TLS 1.0/1.1. DSGVO (Art. 32) fordert Verschlüsselung als technische Schutzmaßnahme für personenbezogene Daten. NIS2 verlangt den Einsatz von Verschlüsselung auf dem Stand der Technik. BSI IT-Grundschutz empfiehlt TLS 1.2+ mit Forward Secrecy. Bunny CDN erfüllt all diese Anforderungen mit TLS 1.3, ECDHE-Cipher-Suites und automatischer Zertifikatserneuerung. Der Wolf-Agents Web Security Check prüft Zertifikatsgültigkeit, TLS-Version und Cipher-Konfiguration.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei TLS & Zertifikate?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo