Improve workshop consistency and navigation

Align challenge numbering and cross-page links, and clarify Backend C/TLS guidance so participants always see valid routes and safer cert mounting defaults.

challenges/README.md

@@ -161,7 +161,7 @@ curl http://localhost:8080/service/a
 ./scripts/compose.sh logs reverse-proxy
 ```
 
-### 6a) Load Balancing konfigurieren
+### 7) Load Balancing konfigurieren
 
 **Ziel**
 - Kernfunktion eines Reverse Proxys praktisch zeigen.
@@ -185,7 +185,7 @@ for i in $(seq 1 8); do
 done
 ```
 
-### 6b) Response Header Minimization
+### 8) Response Header Minimization
 
 **Ziel**
 - Unnoetige Header aus Upstream-Responses entfernen.
@@ -200,7 +200,7 @@ done
 
 **Abgrenzung zu Challenge 4**
 - Challenge 4 setzt aktive Schutz-Header.
-- Challenge 6b entfernt unnoetige Header aus Upstream-Responses.
+- Challenge 8 entfernt unnoetige Header aus Upstream-Responses.
 
 **Warum wichtig**
 - Weniger Response-Metadaten bedeuten weniger Angriffsoberflaeche fuer Fingerprinting und Reconnaissance.
@@ -210,7 +210,7 @@ done
 curl -I http://localhost:8080/service/a
 ```
 
-### 6c) Debugging Challenge (kaputte Config reparieren)
+### 9) Debugging Challenge (kaputte Config reparieren)
 
 **Ziel**
 - Fehlerdiagnose in Nginx ueben.
@@ -223,6 +223,11 @@ curl -I http://localhost:8080/service/a
 - Mindestens 2-3 Fehler finden und fixen.
 - Symptome und Diagnoseweg erklaeren.
 
+**Erwartete Fehlerarten (Beispiel aus `nginx.broken.conf`)**
+- Upstream-Name passt nicht zum referenzierten Namen in `proxy_pass`.
+- Falscher Upstream-Port (`8080` statt `80`).
+- Fehlender Trailing Slash in `proxy_pass` bei Prefix-Location.
+
 **Warum wichtig**
 - Debugging unter Druck ist Praxisalltag; diese Aufgabe trainiert systematisches Vorgehen mit Logs und Config-Tests.
 
@@ -237,7 +242,7 @@ curl http://localhost:8080/service/b
 
 ## Hard (TLS)
 
-### 7) HTTPS von 0 mit Easy-RSA
+### 10) HTTPS von 0 mit Easy-RSA
 
 **Ziel**
 - Eigene CA + Server-Zertifikat fuer `localhost` erstellen.
@@ -259,11 +264,11 @@ curl http://localhost:8080/service/b
 curl https://localhost:8443/service/a
 ```
 
-### 8) HTTP -> HTTPS Redirect
+### 11) HTTP -> HTTPS Redirect
 
 **Voraussetzung**
-- Challenge 7 muss abgeschlossen sein.
-- Nutze deine bestehende `nginx.conf` aus Challenge 7 als Basis.
+- Challenge 10 muss abgeschlossen sein.
+- Nutze deine bestehende `nginx.conf` aus Challenge 10 als Basis.
 
 **Ziel**
 - HTTP sauber auf HTTPS umlenken.
@@ -283,10 +288,10 @@ curl https://localhost:8443/service/a
 curl -I http://localhost:8080/service/a
 ```
 
-### 9) TLS Haertung + Chain Check + HSTS
+### 12) TLS Haertung + Chain Check + HSTS
 
 **Voraussetzung**
-- Challenge 7 und 8 muessen abgeschlossen sein.
+- Challenge 10 und 11 muessen abgeschlossen sein.
 - Erweitere dieselbe `nginx.conf` weiter.
 
 **Ziel**
@@ -316,7 +321,7 @@ openssl s_client -connect localhost:8443 -servername localhost
 
 ## Bonus Expert
 
-### 10) Wireshark: HTTP vs HTTPS sauber analysieren
+### 13) Wireshark: HTTP vs HTTPS sauber analysieren
 
 **Ziel**
 - Nachweisbar zeigen, was im Klartext sichtbar ist und was durch TLS geschuetzt wird.