VAPID steht für 'Voluntary Application Server Identification'. Es ist ein Protokoll für Web Push Notifications, das es einem Anwendungsserver ermöglicht, sich gegenüber einem Push-Dienst (wie Firebase Cloud Messaging oder Apples Push-Service) zu identifizieren und zu authentifizieren.

Wofür benötige ich VAPID-Schlüssel?

VAPID-Schlüssel sind zwingend erforderlich, um Web Push Notifications an moderne Browser (Chrome, Firefox, Safari, Edge) zu senden. Ohne diese Schlüssel verweigern die Push-Dienste der Browser-Hersteller die Zustellung der Nachrichten.

Wie funktioniert ein VAPID-Schlüsselpaar?

Ein VAPID-Set besteht aus einem öffentlichen Schlüssel (Public Key) und einem privaten Schlüssel (Private Key). Der öffentliche Schlüssel wird im Frontend (Browser/JavaScript) verwendet, um das Abonnement zu erstellen, während der private Schlüssel sicher auf Ihrem Server bleibt, um die Push-Nachrichten zu signieren.

Sind die generierten VAPID-Keys sicher?

Ja. Der FORMALITY VAPID Key Generator nutzt kryptografisch sichere Zufallsgeneratoren direkt im Browser oder auf abgesicherten Server-Umgebungen, um Schlüssel gemäß dem ECDSA-Standard (P-256 Kurve) zu erzeugen.

Warum muss ich eine E-Mail-Adresse im Generator angeben?

Die E-Mail-Adresse wird als 'mailto:'-Subject in das VAPID-Payload integriert. Dies dient den Push-Diensten als Kontaktmöglichkeit, falls es technische Probleme mit Ihren Aussendungen gibt oder Ihre App gegen Richtlinien verstößt.

Welche Browser unterstützen VAPID?

VAPID wird von allen modernen Browsern unterstützt, die die Web Push API implementiert haben. Dazu gehören Google Chrome, Mozilla Firefox, Apple Safari (ab macOS Ventura und iOS 16.4), Microsoft Edge und Opera.

Wo speichere ich den Private Key?

Der Private Key muss unter allen Umständen geheim bleiben. Speichern Sie ihn in Ihren Server-Umgebungsvariablen (.env) oder in einer gesicherten Konfigurationsdatei, auf die kein externer Zugriff möglich ist.

Muss ich VAPID-Schlüssel regelmäßig erneuern?

In der Regel müssen VAPID-Schlüssel nicht ablaufen. Sie sollten sie jedoch sofort ersetzen, falls Ihr privater Schlüssel kompromittiert wurde (Leaking). Beachten Sie, dass bei einem Schlüsselwechsel alle bestehenden Abonnenten neu registriert werden müssen.

Kann ich denselben VAPID-Key für mehrere Domains nutzen?

Technisch ist das möglich, aber aus Sicherheitsgründen nicht empfohlen. Es ist Best Practice, für jede Applikation oder Domain ein separates Schlüsselpaar zu verwenden.

Was ist die Push API?

Die Push API gibt Web-Applikationen die Fähigkeit, Nachrichten von einem Server zu empfangen, selbst wenn die Web-App gerade nicht aktiv im Browser geöffnet ist. VAPID sorgt dabei für die notwendige Authentifizierung.

Was passiert, wenn ich den Public Key im Frontend ändere?

Wenn der öffentliche Schlüssel im Browser geändert wird, schlagen bestehende Push-Abonnements fehl. Der Nutzer muss die Benachrichtigungen erneut abonnieren, damit ein neuer Endpunkt mit dem neuen Schlüssel verknüpft wird.

Wie sieht das Format der generierten Schlüssel aus?

Die Schlüssel werden meist im Base64-URL-Format ausgegeben, um eine einfache Integration in JavaScript (Frontend) und Node.js, PHP oder Python (Backend) zu ermöglichen.

Was ist ein 'Service Worker' im Zusammenhang mit VAPID?

Ein Service Worker ist ein Skript, das im Hintergrund des Browsers läuft. Er empfängt die durch VAPID signierte Push-Nachricht vom Server und zeigt sie als System-Benachrichtigung auf dem Endgerät des Nutzers an.

Benötige ich für VAPID ein Google Firebase Konto?

Nein. VAPID wurde entwickelt, um die Abhängigkeit von proprietären Diensten wie GCM (Google Cloud Messaging) zu beenden. Mit VAPID können Sie Push-Nachrichten direkt an die Browser-Endpunkte senden.

Unterstützt Apple Safari VAPID Keys?

Ja, seit iOS 16.4 und macOS Ventura unterstützt auch Safari den Industriestandard VAPID für Web Push, wodurch das alte Apple-proprietäre Zertifikatssystem oft abgelöst werden kann.

Wie binde ich den Public Key in JavaScript ein?

Der öffentliche Schlüssel wird normalerweise beim Aufruf von 'registration.pushManager.subscribe({ applicationServerKey: '...' })' als Uint8Array übergeben.

Was ist der Unterschied zwischen Web Push und App Push?

Web Push funktioniert über den Browser und benötigt keine installierte App aus dem Store. VAPID ist das Standard-Sicherheitsverfahren speziell für diesen Web-Standard.

Ist die Nutzung des FORMALITY VAPID Generators kostenlos?

Ja, FORMALITY stellt diesen Krypto-Dienst kostenlos zur Verfügung, um Entwickler bei der Implementierung sicherer Web-Dienste zu unterstützen.

Kann ich VAPID-Keys auch auf der Kommandozeile generieren?

Ja, zum Beispiel mit Bibliotheken wie 'web-push' in Node.js. Unser Web-Generator bietet jedoch eine schnelle und hürdenfreie Alternative ohne Installation.

Warum schlägt die Push-Zustellung trotz korrekter Keys fehl?

Häufige Ursachen sind falsche Payload-Verschlüsselung, ungültige TTL-Werte (Time-To-Live) oder die Verwendung eines nicht Base64-URL-konformen Formats beim Signieren.

VAPID Key Generator

VAPID Keys für Web Push erzeugen

Erzeugen Sie mit nur einem Klick das benötigte VAPID-Schlüsselpaar für moderne Push-Dienste. Erstellen Sie die Schlüssel direkt im Browser und kopieren Sie das fertige Payload-Format nahtlos in Ihre Anwendung.

VAPID Key Generator

Generiere ein sicheres Schlüsselpaar für Web Push Notifications. Die E-Mail-Adresse wird als `mailto:`-Subject für die Push-Dienste hinterlegt.

Deep Dive: VAPID & Web Push Technologie

VAPID steht für Voluntary Application Server Identification (RFC 8292). Es ist der Sicherheitsanker der modernen Web Push API. Er ermöglicht es Ihrem Server, sich gegenüber Browser-Push-Diensten (wie Mozilla Autopush, Apple Push Notification service oder Google FCM) zu authentifizieren, ohne dass eine herstellerspezifische API-Registrierung erforderlich ist.

Spezifikationen

Kryptografie: Verwendet Elliptic Curve Digital Signature Algorithm (ECDSA) auf der P-256 Kurve.
Kodierung: Alle Schlüssel müssen im Base64-URL-Format vorliegen (ohne Padding, '-' statt '+', '_' statt '/').
Token-Struktur: Der Server sendet ein JWT (JSON Web Token), das mit dem Private Key signiert wurde, im `Authorization`-Header der Push-Anfrage.

Der Workflow

Der Browser erhält den Public Key und erstellt ein Push-Abonnement.
Die resultierende endpoint-URL und Keys werden an Ihren Server gesendet.
Ihr Server signiert die Nachricht mit dem Private Key und sendet sie an den Endpoint.

Sicherheit & DSGVO

VAPID ist ein Gewinn für den Datenschutz. Da der Server sich identifiziert, können Push-Dienste Missbrauch (Spam) blockieren, ohne den Inhalt der (verschlüsselten) Nachricht lesen zu müssen. Wichtig: Speichern Sie den Private Key niemals in öffentlichen Repositories (GitHub etc.).

Multi-Language Code-Beispiele

Wählen Sie Ihre bevorzugte Programmiersprache, um zu sehen, wie Sie die generierten Keys integrieren:

JavaScript (Frontend)
PHP
Node.js
Python

// Registrierung des Service Workers und Abonnieren mit dem Public Key

const publicKey = 'DEIN_GENERIERTER_PUBLIC_KEY';
async function subscribe() {
  const reg = await navigator.serviceWorker.ready;
  const sub = await reg.pushManager.subscribe({
    userVisibleOnly: true,
    applicationServerKey: urlBase64ToUint8Array(publicKey)
  });
  // Sende sub-Objekt als JSON an deinen PHP/Python/Node Server
  console.log(JSON.stringify(sub));
}
function urlBase64ToUint8Array(base64) {
  const padding = '='.repeat((4 - base64.length % 4) % 4);
  const b64 = (base64 + padding).replace(/-/g, '+').replace(/_/g, '/');
  return Uint8Array.from(atob(b64), c => c.charCodeAt(0));
}

// Nutzt die Library 'minishlink/web-push' (via Composer)

use Minishlink\WebPush\WebPush;
use Minishlink\WebPush\Subscription;
$auth = [
    'VAPID' => [
        'subject' => 'mailto:admin@deinedomain.de',
        'publicKey' => 'DEIN_GENERIERTER_PUBLIC_KEY',
        'privateKey' => 'DEIN_GENERIERTER_PRIVATE_KEY',
    ],
];
$webPush = new WebPush($auth);
$report = $webPush->sendOneNotification(
    Subscription::create($subscriptionDataFromJS),
    '{"title": "Hallo!", "body": "Push-Nachricht via PHP"}'
);

// Nutzt 'web-push' Paket

const webpush = require('web-push');
webpush.setVapidDetails(
  'mailto:admin@deinedomain.de',
  'DEIN_GENERIERTER_PUBLIC_KEY',
  'DEIN_GENERIERTER_PRIVATE_KEY'
);
// Payload senden
webpush.sendNotification(userSubscription, 'Nachrichteninhalt')
  .catch(err => console.error('Error sending push:', err));

// Nutzt die Library 'pywebpush'

from pywebpush import webpush, WebPushException
private_key = "DEIN_GENERIERTER_PRIVATE_KEY"
try:
    webpush(
        subscription_info=sub_info_json,
        data="Hallo aus Python!",
        vapid_private_key=private_key,
        vapid_claims={"sub": "mailto:admin@deinedomain.de"}
    )
except WebPushException as ex:
    print("Fehler: {}", repr(ex))

Gut zu wissen:

VAPID-Keys laufen technisch nicht ab. Ein Austausch ist nur erforderlich, wenn der Private Key bekannt wurde.
Tipp: Nutzen Sie für unterschiedliche Umgebungen (Staging/Produktion) verschiedene Key-Paare, um Fehlleitungen zu vermeiden.

MDN Dokumentation