SSL-Weiterleitung - Sicherheitsrisiko?

    Hallo,


    ich habe meine Domains via Lets.Encrypt entsprechende SSL-Zertifkate ausgestellt. Diese werden mir auch in Froxlor angezeigt. Nun ist mein Verständnis so, dass ich gerne den gesamten HTTP-Verkehr über HTTPS abwickeln möchte, mittels SSL-Weiterleitung in den Webserver SSL-Einstellungen in Froxlor. Wenn ich das mache, funktioniert auch alles.


    Nun habe ich allerdings gelesen, dass die SSL-Weiterleitung Tür und Tor für MITM öffnet und habe diese Einstellung somit deaktiviert.


    Unter den Webserver SSL-Einstellungen habe ich folgendes aktiviert:


    - SSL-IP-Adresse(n)

    - Benutze Let's Encrypt

    - HTTP Strict Transport Security (HSTS) auf 31536000

    - Inkludiere HSTS für jede Subdomain

    - Füge Domain in die HSTS preload Liste hinzu


    Mit den Settings kann ich http://meinedomain.de öffnen und werde nicht weitergeleitet.


    Wo ist mein Denkfehler? Was muss ich machen damit HTTPS ausschließlich aufgerufen werden kann.


    Danke schon mal vorab.

    Zitat von Ezzpi

    Nun habe ich allerdings gelesen, dass die SSL-Weiterleitung Tür und Tor für MITM öffnet und habe diese Einstellung somit deaktiviert.

    Welche Antwort meinst du konkret? Natürlich ist HTTP anfällig für MITM-Angriffe, eine Weiterleitung aber praktisch alternativlos. Deutlich schlechter ist es, nicht weiterzuleiten und die Website auch über HTTP bereitzustellen. HSTS zu verwenden, aber nicht weiterzuleiten, ist relativ sinnfrei.

    Ohne Weiterleitung wird die Domain nicht in die HSTS Preload List eingetragen (kannst den Status auf der Seite kontrollieren).


    Zitat von Dragon

    [...] eine Weiterleitung aber praktisch alternativlos.

    Würde ich nicht sagen. Die Alternative wäre ausschließlich HTTPS anzubieten (also nur Port 443 und kein Port 80). Sofern man in der HSTS Preload List steht (und die Liste dann auch lokal in den Browsern verfügbar ist - das dauert ja dann auch nochmal ein bis zwei Browserupdates), funktioniert das auch, wenn jemand die Adresse ohne https in die Adresszeile tippt (gerade getestet mit Chrome, Firefox und Edge).