Ist eine Verschlüsselung der Webseite eigentlich sinnvoll ?
SSL Verschlüsselung für Webseiten
- ruhrpottbobo
- Erledigt
-
-
Das kommt vor allem auf die Website an. Einen Shop ohne SSL würde ich z.B. komisch finden...
-
Aber normale Webseiten die nur aus Hobby betrieben werden, da macht das keinen Sinn ? Es sei denn die User finden sich dann sicherer ?
Manche scheinen ja an Verfolgungswahn zu leiden. -
Für sachen bei denen man sich einloggen muss ist es schon besser da man sonnt leicht die Session klauen kann (z.B. mit Firesheep).
Eifentlich ist ja die Frage: warum nicht?
-
Die Last wird auf dem Server halt höher, aber wenn das kein Problem darstellt, dann kann sich der Mehraufwand lohnen.
Ich finde es angenehmer im Backend via SSL zu arbeiteten und Mails, FTP und co verschlüsselt zu betreiben.
Daher biete ich das auch meinen besuchern teilweise (mein CDN ist unverschlüsselt) an.
-
-
Startssl ist kostenlos und reicht mir.
-
Und da kommt auch jeder Browser mit klar ?
-
Die stammzertifikate sind in allen gängigen Browsern installiert.
-
Ich habe das mal eingeschaltet, da steht aber das es nicht gegen abhören gesichert ist oder meinst Du was ganz anderes ?
edit: Ich habe aber ne Webseite und keinen Server, geht das da überhaupt ?
-
Das ist vermutlich (kann es nicht sicher sagen) aufgrund diverser Vorschriften für Zertifikate. Das kostenlose von StartSSL validiert ja nicht, wer du bist. Somit ist eigentlich nur gesichert, dass du mit dem entsprechenden Server kommunizierst. Mich würde mal interessieren, wo genau das steht?!
Es ist - richtig eingerichtet - sicherer als gar keine Verschlüsslung. Zudem könnte man sich ja auch selbst ein zertifikat ausstellen, würde dann aber warnungen bekommen.Ich weiß leider nicht wie es bei Webspace ist. Wenn du es nicht selbst irgendwo einstellen kannst, dann schreib doch mal dem support.
-
Zitat
Somit ist eigentlich nur gesichert, dass du mit dem entsprechenden Server kommunizierst.
Gegen das Abhören (Man-in-the-Middle-Attacke) hilft ein SSL-Zertifikat auch nur begrenzt: Jede CA (Certificate Authority; das sind die Stellen, die dir dein Zertifikatwunsch bewilligen) kann für beliebige Domains Zertifikate ausstellen. Der Fall DigiNotar hat gezeigt, dass dies auch tatsächlich passiert [1] – iranische Hacker haben nach Einbruch dort Zertifikate für GMail & Co. ausgestellt um den E-Mail-Verkehr mitzuschneiden. Und wenn Hacker das können, werden Geheimdienste auch recht einfach an Zertifikate für beliebige Domains kommen können, wenn sie es denn wollen (vgl. [2])
Ich will damit nicht sagen, dass SSL-Zertifikate nutzlos sind (ich selbst bevorzuge verschlüsselte Kommunikationen – nicht nur mit meinem Server, sondern generell). Ich möchte nur darauf hinweisen, dass die Hürde, die Kommunikation mitzuschneiden, nur für den Otto-Normalhacker angehoben wurde, der im gleichen WLAN wie du sitzt und nachverfolgen kann, welche Seiten du besuchst.
ZitatDaher biete ich das auch meinen besuchern teilweise (mein CDN ist unverschlüsselt) an.
Chrome erwartet von mir eine Bestätigung, wenn eine HTTPS-Seite weiteren HTTP-Content anfordert – auch auf der gleichen Domain.
Grüße,
Dominik1: http://heise.de/-1333070, http://heise.de/-1336603
2: siehe diesen Rant: Fefes Blog -
Ich weiß leider nicht wie es bei Webspace ist. Wenn du es nicht selbst irgendwo einstellen kannst, dann schreib doch mal dem support.
Habe ich gestern getan, bin gespannt was der Support dazu meint.
-
Also ich jetzt die Verschlüsselung und mir fällt auf das nur das ACP verschlüsselt ist, bzw da steht teilweise verschlüsselt, woran liegt das denn ?
Kann ich den Schutz nicht auch für die komplette Webseite haben, habe ich da was falsch gemacht ?Das ist meine Seite:
http://www.sims3community.de -
Gegen das Abhören (Man-in-the-Middle-Attacke) hilft ein SSL-Zertifikat auch nur begrenzt: Jede CA (Certificate Authority; das sind die Stellen, die dir dein Zertifikatwunsch bewilligen) kann für beliebige Domains Zertifikate ausstellen.
Anmerkung 1: Mein Browser meckert, wenn sich das Zertifikat ändert. Wieso sollte ich glauben, dass z.B. Google plötzlich kein eigenes Zertifikat mehr sondern eines von einer IT-Klitsche aus Holland benutzt?
Anmerkung 2: Das Konzept von Zertifikaten basiert auf Vertrauen. Eigentlich müsste man jeden Fingerprint der Zertifikate per Hand prüfen - Macht aber niemand, man klickt sich einfach irgendwie durch.
ruhrpottbobo, du lieferst Teile der Seite per http aus.
-
ruhrpottbobo, du lieferst Teile der Seite per http aus.
Wie kann ich das ändern, da ich selbst ja nichts installiert habe, oder geht das garnicht anders ?
Muss ich irgendwas in eine htaccess Datei schreiben, bin Laie und habe mir das von netcup installieren lassen. -
Du hast nichts installiert? Die Webseite inklusive Webscape und einem SSL-Zertifikat sind doch nicht vom Himmel gefallen?
-
Ich habe aber das SSL-Zertifikat nicht selbst installiert und wüsste gerne was ich machen muss damit die komplette Seite und nicht nur das ACP verschlüsselt ist.
Netcup hat das Zertifikat installiert, ich habe keinen Server sondern nur Webspace. -
Wenn ich die Seite aufrufe, dann sind bei mir die Elemente gemischt - Ich bekomme einen Teil per HTTP, den anderen per HTTPS.
Du kannst irgendwo im Admin-Bereich einstellen, ob die Elemente per HTTP oder HTTS ausgeliefert werden sollen. Wenn du Pech hast, dann hast du Elemente wie z.B. ein Theme, etc wo HTTP hardkodiert wurde.
Das Zertifikat bzw. HTTPS ist einfach nur eine weitere, alternative Adresse für deinen Webspace.
-
Ich habe aber das SSL-Zertifikat nicht selbst installiert und wüsste gerne was ich machen muss damit die komplette Seite und nicht nur das ACP verschlüsselt ist.
Netcup hat das Zertifikat installiert, ich habe keinen Server sondern nur Webspace.Das gleiche passiert auch hier im Forum wenn jemand z.B. ein Bild von einem externen Bilderhoster einbindet oder wenn es ein unsauber programmiertes Plugin gibt was nicht die Einstellungen berücksichtigt und etwas per http nachläd.
Sie müssten daher ALLE Inhalte auf Ihrem Forum prüfen, das Einbinden externer Inhalte gänzlich untersagen (BB-Codes img Tag PHP Klasse umschreiben das nur Bilder von Ihrer Domain aus eingebunden werden dürfen und der Rest wird zu URL umgeschrieben wird) und sämtliche Plugins Ihrer Software prüfen.
Bei einem Forum ist ein reiner https Betrieb immer eine ziemliche Mammutaufgabe, beinahe egal welche Forensoftware man einsetzt. Das WoltLab Burning Board macht es einem da kein bischen leichter als das vBulletin Board, Vanilla, phpBB, myBB oder all die anderen.