SSL Verschlüsselung für Webseiten

  • Die Last wird auf dem Server halt höher, aber wenn das kein Problem darstellt, dann kann sich der Mehraufwand lohnen.


    Ich finde es angenehmer im Backend via SSL zu arbeiteten und Mails, FTP und co verschlüsselt zu betreiben.


    Daher biete ich das auch meinen besuchern teilweise (mein CDN ist unverschlüsselt) an.

  • Ich habe das mal eingeschaltet, da steht aber das es nicht gegen abhören gesichert ist oder meinst Du was ganz anderes ?


    edit: Ich habe aber ne Webseite und keinen Server, geht das da überhaupt ?

  • Das ist vermutlich (kann es nicht sicher sagen) aufgrund diverser Vorschriften für Zertifikate. Das kostenlose von StartSSL validiert ja nicht, wer du bist. Somit ist eigentlich nur gesichert, dass du mit dem entsprechenden Server kommunizierst. Mich würde mal interessieren, wo genau das steht?!
    Es ist - richtig eingerichtet - sicherer als gar keine Verschlüsslung. Zudem könnte man sich ja auch selbst ein zertifikat ausstellen, würde dann aber warnungen bekommen.


    Ich weiß leider nicht wie es bei Webspace ist. Wenn du es nicht selbst irgendwo einstellen kannst, dann schreib doch mal dem support.

  • Quote

    Somit ist eigentlich nur gesichert, dass du mit dem entsprechenden Server kommunizierst.

    Gegen das Abhören (Man-in-the-Middle-Attacke) hilft ein SSL-Zertifikat auch nur begrenzt: Jede CA (Certificate Authority; das sind die Stellen, die dir dein Zertifikatwunsch bewilligen) kann für beliebige Domains Zertifikate ausstellen. Der Fall DigiNotar hat gezeigt, dass dies auch tatsächlich passiert [1] – iranische Hacker haben nach Einbruch dort Zertifikate für GMail & Co. ausgestellt um den E-Mail-Verkehr mitzuschneiden. Und wenn Hacker das können, werden Geheimdienste auch recht einfach an Zertifikate für beliebige Domains kommen können, wenn sie es denn wollen (vgl. [2])


    Ich will damit nicht sagen, dass SSL-Zertifikate nutzlos sind (ich selbst bevorzuge verschlüsselte Kommunikationen – nicht nur mit meinem Server, sondern generell). Ich möchte nur darauf hinweisen, dass die Hürde, die Kommunikation mitzuschneiden, nur für den Otto-Normalhacker angehoben wurde, der im gleichen WLAN wie du sitzt und nachverfolgen kann, welche Seiten du besuchst.


    Quote

    Daher biete ich das auch meinen besuchern teilweise (mein CDN ist unverschlüsselt) an.

    Chrome erwartet von mir eine Bestätigung, wenn eine HTTPS-Seite weiteren HTTP-Content anfordert – auch auf der gleichen Domain.


    Grüße,
    Dominik



    1: http://heise.de/-1333070, http://heise.de/-1336603
    2: siehe diesen Rant: Fefes Blog

  • Gegen das Abhören (Man-in-the-Middle-Attacke) hilft ein SSL-Zertifikat auch nur begrenzt: Jede CA (Certificate Authority; das sind die Stellen, die dir dein Zertifikatwunsch bewilligen) kann für beliebige Domains Zertifikate ausstellen.



    Anmerkung 1: Mein Browser meckert, wenn sich das Zertifikat ändert. Wieso sollte ich glauben, dass z.B. Google plötzlich kein eigenes Zertifikat mehr sondern eines von einer IT-Klitsche aus Holland benutzt?


    Anmerkung 2: Das Konzept von Zertifikaten basiert auf Vertrauen. Eigentlich müsste man jeden Fingerprint der Zertifikate per Hand prüfen - Macht aber niemand, man klickt sich einfach irgendwie durch.


    ruhrpottbobo, du lieferst Teile der Seite per http aus.

  • ruhrpottbobo, du lieferst Teile der Seite per http aus.

    Wie kann ich das ändern, da ich selbst ja nichts installiert habe, oder geht das garnicht anders ?
    Muss ich irgendwas in eine htaccess Datei schreiben, bin Laie und habe mir das von netcup installieren lassen.

  • Ich habe aber das SSL-Zertifikat nicht selbst installiert und wüsste gerne was ich machen muss damit die komplette Seite und nicht nur das ACP verschlüsselt ist.
    Netcup hat das Zertifikat installiert, ich habe keinen Server sondern nur Webspace.

  • Wenn ich die Seite aufrufe, dann sind bei mir die Elemente gemischt - Ich bekomme einen Teil per HTTP, den anderen per HTTPS.


    Du kannst irgendwo im Admin-Bereich einstellen, ob die Elemente per HTTP oder HTTS ausgeliefert werden sollen. Wenn du Pech hast, dann hast du Elemente wie z.B. ein Theme, etc wo HTTP hardkodiert wurde.


    Das Zertifikat bzw. HTTPS ist einfach nur eine weitere, alternative Adresse für deinen Webspace.

  • Ich habe aber das SSL-Zertifikat nicht selbst installiert und wüsste gerne was ich machen muss damit die komplette Seite und nicht nur das ACP verschlüsselt ist.
    Netcup hat das Zertifikat installiert, ich habe keinen Server sondern nur Webspace.

    Das gleiche passiert auch hier im Forum wenn jemand z.B. ein Bild von einem externen Bilderhoster einbindet oder wenn es ein unsauber programmiertes Plugin gibt was nicht die Einstellungen berücksichtigt und etwas per http nachläd.


    Sie müssten daher ALLE Inhalte auf Ihrem Forum prüfen, das Einbinden externer Inhalte gänzlich untersagen (BB-Codes img Tag PHP Klasse umschreiben das nur Bilder von Ihrer Domain aus eingebunden werden dürfen und der Rest wird zu URL umgeschrieben wird) und sämtliche Plugins Ihrer Software prüfen.


    Bei einem Forum ist ein reiner https Betrieb immer eine ziemliche Mammutaufgabe, beinahe egal welche Forensoftware man einsetzt. Das WoltLab Burning Board macht es einem da kein bischen leichter als das vBulletin Board, Vanilla, phpBB, myBB oder all die anderen.