Ohne Zertifikat geht es nicht. Wie ist denn die technsiche Lage?

Liegt der Webauftritt bei DF und ist die Domain als externe Domain hier eingebunden ?

Oder hast Du hier die Domain gebucht und der Auftritt liegt woanders?

Wir haben unsere Domänen alle bei Domainfactory, SSL muss ich für eine Subdomäne einrichten, deren CNAME-Eintrag auf Intercom zeigt. Bei Intercom kann ich jedoch kein Zertifikat raufladen, so wie man es beispielsweise bei Azure machen würde.

Ist es damit getan, für die Subdomäne einfach ein Zertifikat zu bestellen? Oder kann ich den Fall mit Domainfactory einfach nicht umsetzen?

Bei einem CNAME-Eintrag bin ich in dem Fall raus :-/

*Theoretisch* (aber warte erstmal auf Meldung anderer hier) müsstest Du das Zertifikat bei DF bestellen. Ich bin in dem Fall aber etwas überfragt weswegen mich die richtige Antwort auch brennend interessiert....

Für ein Zertifikat spielt es keine Rolle, ob ein Server mittels eines CNAME erreicht wird, oder nicht. Der Zielserver muss ein gültiges Zertifikat ausliefern, und der Name im Zertifikat muss zur tatsächlich eingegebenen Domain passen. Ob diese Domain mittels CNAME auf eine andere Domain zeigt, ist irrelevant.

Wenn also in diesem Fall der Provider Intercom kein Zertifikat für den CNAME zur Verfügung stellt, und man auch selbst keines hochladen kann, dann sind verschlüsselte Verbindungen nicht möglich. Weder DF noch ein anderer Provider kann daran etwas ändern.

Ich habe gerade gemerkt, dass der Link aus meinem ursprünglichen Beitrag nicht funktioniert. Unter https://developers.intercom.com/inst...-custom-domain wird in jedem Fall beschrieben, wie man SSL bei Cloudflare und AWS konfiguriert.

Ich hatte mir das schon angesehen. Offenbar bieten Cloudflare und Amazon einen SSL-Proxy an, der dann anstelle von Intercom für deine eigene Domain zuständig ist. Dieser Proxy-Server leitet die Daten über eine eigene Verbindung an Intercom weiter. Nicht ideal, aber akzeptabel, wenn man damit leben kann, dass die Daten bei Cloudflare vorübergehend entschlüsselt werden. Das Zertifikat kommt dann auch von Cloudflare, oder muss dort hochgeladen werden. In jedem Fall umfasst dieser Dienst weit mehr, als nur DNS-Einträge, und ein solcher Dienst wird von DF definitiv nicht angeboten.

Wenn du das nutzen willst, solltest aber auf jeden Fall die Option "Full" wählen, bloß nicht "Flexible", denn das ist eine gefährliche Mogelpackung, die hier ganz gut beschrieben ist.