senn-techsenn-tech
Zurück zum Blog
Infrastruktur2027-08-03

Reverse Proxy mit Caddy: HTTPS per Default

Ein Reverse Proxy ist die Eintrittspforte zu allen Diensten — intern und extern. Caddy ist unsere Wahl, weil es TLS-Zertifikate automatisch beschafft und erneuert, ohne dass jemand dran denken muss.

Warum ein Reverse Proxy?

Alle Dienste hinter einer IP, einer Eintrittspforte, einer SSL-Konfiguration. Der Reverse Proxy terminiert TLS und leitet weiter:

  • blog.senn-tech.com → interner Container senn-next:3000
  • helpdesk.senn-tech.com → Zammad-Webinterface
  • status.senn-tech.com → Uptime-Kuma-Statusseite

Das reduziert die Angriffsfläche: nur der Proxy ist dem Internet ausgesetzt, die Dienste dahinter sprechen nur im internen Netz.

Caddy: Die Caddyfile reicht

blog.senn-tech.com {
    reverse_proxy senn-next:3000
}

helpdesk.senn-tech.com {
    reverse_proxy zammad:8080
    basicauth {
        senn $2a$14$...
    }
}

Kein Certbot-Cron, kein manuelles Zertifikatsmanagement. Caddy holt und erneuert Let's-Encrypt-Zertifikate automatisch. Die erste Zeile genügt für TLS.

Patterns, die wir einsetzen

BasicAuth für interne Dienste: Bevor Keycloak SSO (eigener Artikel) greift, schützt eine einfache BasicAuth den Dienst zusätzlich. Zwei-Faktor in der Verteidigung.

Geo-Blocking: Kein Zugriff aus Ländern, mit denen Sie nicht im Geschäft sind. Caddy kann mit @geoblock und dem MaxMind-Modul nach Region filtern. Das reduziert das Hintergrundrauschen in den Logs drastisch.

Rate Limiting und Header-Härtung sind in wenigen Zeilen drin.

Caddy vs. Nginx vs. HAProxy

Nginx kann alles, aber die Config-Syntax ist ein eigener Dialekt. HAProxy ist ein TCP/HTTP-Lastverteiler, kein Reverse Proxy für Webdienste mit automatischem TLS. Caddy sitzt genau in der Mitte: mächtig genug für alles, was ein KMU braucht, und einfach genug, dass die Config nach einem Jahr noch verständlich ist.

Ein Wort zur Ausfallsicherheit

Ein Reverse Proxy ist ein Single Point of Failure. Fällt Caddy aus, ist alles von aussen weg. Wir lassen Caddy unter Proxmox als HA-VM laufen — fällt der Host aus, startet die VM auf dem nächsten Knoten. Die IP bleibt gleich (dank internem VLAN), die Dienste merken nichts.

Fazit

Ein Reverse Proxy ist kein optionaler Luxus, sondern die Grundlage für jede Multi-Service-Infrastruktur. Caddy macht es so einfach, dass es keine Entschuldigung gibt, es nicht zu tun.