SSL Zertifikate

  • 11 Antworten
  • 2505 Aufrufe
*

Offline hefischer

  • Mitglied
  • 16
SSL Zertifikate
« am: 25. Januar 2017, 12:30:05 »
Moin zusammen,

wie steht ihr grundsätzlich zu SSL Zertifikaten? Google beabsichtigt ja, Domains ohne Zertifikat abzuwerten und als unsicher zu kennzeichnen.

Ich bin mir nicht sicher, was ich meinen Freunden raten soll, wenn sie mich fragen. Wie ich gesehen habe, findet man Webseiten mit Zertifikaten bisher eher bei "größeren" IT-Webseiten, ala Microsoft, Google, Facebook, Heise, Banken usw.
Würdet ihr für private bzw. kleinere Firmen Zertifikate verwenden?

Ich persönlich sehe die ganze Zertifiziererei eher als reine Geldmaschine und für kleine und mittlere Webseiten, die im Grunde genommen nur ein paar Infoseiten und ein Kontaktformular beinhalten, eher als überflüssig...

Danke schonmal im Voraus
Hermann

*

Offline hausl78

  • Coder
  • Mitglied
  • 1254
Re: SSL Zertifikate
« Antwort #1 am: 25. Januar 2017, 12:45:31 »
Nun, wenn du dich ohne Zertifikat (http://) im mozilo Adminbereich anmeldest, werden deine Zugangsdaten als Klartext zwischen dir und dem Webserver transportiert. Wenn jemand den Traffic mitschneidet kann er damit Schindluder treiben. Macht also schon auch bei "kleinen Seiten" Sinn.

Siehe zB auch hier:

https://feller.systems/https-fuer-jede-website-sinnvoll-oder-nicht/

https://www.cekom.de/180n307/Blog/HTTPS-%e2%80%93-Warum-die-Verschluesselung-von-Websites-Sinn-macht.htm

https://blog.snowflake.ch/2015/01/23/warum-https-fuer-jede-website-sinnvoll-ist/

etc...
« Letzte Änderung: 25. Januar 2017, 12:47:52 von hausl78 »

*

Offline hefischer

  • Mitglied
  • 16
Re: SSL Zertifikate
« Antwort #2 am: 25. Januar 2017, 14:27:00 »
Hi hausl78,

top! Danke für die Tipps. Wollte nur mal ne Diskussion anstossen. Mich interessierte so ne grundsätzliche Meinung von Profis, die schon Erfahrung damit gemacht haben.

Interessant fand ich, dass u. U. die Performance leidet, was auf Dauer ja durch neuere Rechnergenerationen eliminiert werden dürfte.
Und, dass Virenscanner den Inhalt verschlüsselter Webseiten nicht scannen können...

Hermann

*

Offline laborix

  • Betatester
  • Mitglied
  • 345
Re: SSL Zertifikate
« Antwort #3 am: 25. Januar 2017, 19:41:11 »
... Und, dass Virenscanner den Inhalt verschlüsselter Webseiten nicht scannen können...
Zusätzlich vielleicht noch ein paar kleine Gimmicks, wie zu Beispiel, das man kostenlose Zertifikate nicht auf einem shared-hosting einspielen kann oder Apple einige der kostenlosen SSL-Zertifikatsanbieter inzwischen schon als Warnung einstuft.

Abgesehen davon das einige Provider für Webhosting Angebote sich SSL gut bezahlen lassen oder ihre Pakete so anbieten, dass das SSL-Zertifikat für nur eine Domain ausgestellt wird. Möchte man Subdomains mit integriert haben kostet das monatlich extra. Auch hier muss man ganz schön aufpassen um nicht vom Regen in die ... zu fallen.

LG laborix

*

Offline Thorstn

  • Administrator
  • Mitglied
  • 743
Re: SSL Zertifikate
« Antwort #4 am: 29. Januar 2017, 23:27:32 »
Nun ja, viele Webhoster bieten mittlerweile auch die (kostenlose) Let´s Encypt Verschlüsselung an. Häufig kann man als Verbraucher diese Einstellungen im Admin des Hosters einstellen, ohne Root-Zugriff auf den Webspace zu benötigen und das Ganze installieren zu müssen. Insofern ist SSL auch auf einem Shared-Hosting einsetzbar  ;)

Zum Thema "Virenscanner":
Dann dürfte es ja eigentlich (!) überhaupt keine Verschlüsselung geben, oder?. Auch nicht bei Banken. Die könnten (ist relativ) ebenso gehackt werden wie jede andere Webseite.

Bei neuen Webpräsenzen würde ich persönlich (wenn es beim Hoster technisch möglich ist) Verschlüsselung von vornherein einsetzen. Bei reinen Info-Seiten ohne Interaktivität des Nutzers (z.B. Gästebuch oder Kontaktformular) ist es technisch nicht zwingend notwendig, klar. Trotzdem zeigt der Trend - auch von den Suchmaschinen - eindeutig in Richtung Verschlüsselung.
Bei bestehenden Webseiten würde ich zunächst abwägen. Denn eine Umstellung auf HTTPS erfordert i.d.R. auch eine Aktion bzgl. Suchmaschinen: die URLs der Seite(n) müsste evtl. via 301-Weiterleitung angepasst werden, was (kurzzeitig) Auswirkungen auf das Ranking haben kann, siehe hier: https://support.google.com/webmasters/answer/6033049
Aber wie auch bei neuen Webseiten kommt man dauerhaft um HTTPS wohl nicht herum, denke ich.

Gruß,
Thorsten
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
moziloCMS-Layouts auf mozilo-layouts.thorstn.com
webdesign-ruhr.de - Webdesign aus Bochum

*

Offline stromflo

  • Mitglied
  • 199
Re: SSL Zertifikate
« Antwort #5 am: 25. Juni 2017, 12:03:19 »
Was haltet Ihr von der Verwendung von Let's Encrypt Zertifkikaten?
Seht Ihr sowas für private Seiten (Hobbysetien) als außreichend an?
Bei meinem Hoster sind eigene Zertifikate, die signiert sind nicht gerade preiswert :)


*

Offline Thorstn

  • Administrator
  • Mitglied
  • 743
Re: SSL Zertifikate
« Antwort #6 am: 05. Juli 2017, 00:25:02 »
Mal eine OffTopic Frage: wie schaffen es einige Leute seit vielen Wochen, sich hier "unfallfrei" einzuloggen und im Forum zu stöbern?
Ich bekomme seit ca. 3 Monaten ständig die Meldung:

Datenbankfehler
 
Bitte versuchen Sie es nochmal. Sollte der Fehler wieder auftreten, informieren Sie bitte den Administrator

Einen Administrator scheint es hier aber nicht mehr zu geben, auch Mails an Stefanbe werden nicht beantwortet. Dabei bin ich nicht alleine mit diesem Problem, siehe den Eintrag von djr via Github:
https://github.com/mozilo/mozilo2.0/issues/21

Und ehrlich: das ist sehr erschreckend! Also erschreckend, dass moziloCMS hier vor die Wand gefahren wird!

Zurück zum Thema:

Let's Encrypt ist ein ein vollwertiges, voll funktionales Verschlüsselungssystem. Ich setze es - soweit der jeweilige Hoster es einsetzt bzw. einsetzen lässt - mittlerweile auf den meisten meiner Websites.

So gesehen: wenn Let's Encrypt auf Deinen Webpräsenzen einsetzbar ist, nutze es!

Gruß,
Thorsten

Nachtrag:
Ich bin hier mit dem TOR Browser eingeloggt. Und es bedarf einiger "Sessions", dass ich das Forum wirklich nutzen kann.
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
moziloCMS-Layouts auf mozilo-layouts.thorstn.com
webdesign-ruhr.de - Webdesign aus Bochum

*

Offline azett

  • Coder
  • Mitglied
  • 2401
Re: SSL Zertifikate
« Antwort #7 am: 08. Juli 2017, 17:36:28 »
Was haltet Ihr von der Verwendung von Let's Encrypt Zertifkikaten?
Seht Ihr sowas für private Seiten (Hobbysetien) als außreichend an?
Bei meinem Hoster sind eigene Zertifikate, die signiert sind nicht gerade preiswert :)

Kostenlose Transportverschlüsselung zum Server - sehe keinen Grund, es nicht zu verwenden. Beim mozilo-Partnerhoster UD Media gibts die mit einem Mausklick, hatte darauf schonmal hingewiesen.
Für private Zwecke ist Let's Encrypt vollkommen ausreichend - für kommerzielle Sites würde ich dann aber lieber zu kostenpflichtigen Zertifikaten mit Betreiberinformationen greifen.

Gruß
Arvid

*

Offline glory

  • Mitglied
  • 324
Re: SSL Zertifikate
« Antwort #8 am: 13. Juli 2018, 15:40:05 »
Es wurde zwar schon länger nichts mehr hier geschrieben, aber ich hoffe, es liest doch noch jemand meine Zeilen.
Ich habe ja auch bei meiner HP das kostenlose SSL aktiviert und eingestellt (Alfahosting). Heute habe ich mich nun da mit einem Mitarbeiter unterhalten, warum bei meiner HP noch das https oben in der Browserzeile durchgestrichen ist. (Firefox). Er sagte, das http wäre noch eingestellt. Als ich damit nichts anfangen konnte, sagte er, ich soll mir mal den Quelltext ansehen. Da würde ich es sehen.
Ich habe es nun so geändert:
 <meta https-equiv="Content-Type" content="text/html;charset={CHARSET}" />
  <meta https-equiv="Content-Script-Type" content="text/javascript" />
  <meta https-equiv="Content-Style-Type" content="text/css" />

Ob das so richtig ist uns ausreicht, weiß ich auch nicht. Auf alle Fälle ist bei meinem Backoffice nun das https nicht mehr durchgestrichen, aber trotzdem noch im Frontoffce.

Müsste ich da noch woanders das https eintragen?
Falls mal jemand schauen möchte, hier der Link: www.pomeranianzwergspitz.de

Auf alle Fälle bin ich nun froh, dass ich ins Forum nun auch wieder von zuhause aus schauen kann (ging doch eine zeitlang nur, wenn ich auf Arbeit war). Vielen Dank für eure Mühe, wer auch immer das wieder zum Laufen gebracht hat.

Viele Grüße von glory
Wer aufhört zu lernen, hört auf zu leben!

*

Offline marusti

  • Administrator
  • Mitglied
  • 248
Re: SSL Zertifikate
« Antwort #9 am: 13. Juli 2018, 16:22:19 »
In Chrome bekomme ich beim klick auf den Link https://www.pomeranianzwergspitz.de/ angezeigt

*

Offline Thorstn

  • Administrator
  • Mitglied
  • 743
Re: SSL Zertifikate
« Antwort #10 am: 13. Juli 2018, 16:44:47 »
Eine "Fehlermeldung" seitens SSL bekomme ich auch nicht angezeigt...

Allerdings: dieses "meta https-equiv" (also mit dem "s" bei http) ist mir bis dato unbekannt. Ich habe das auch eben mal gegoogelt, aber nichts gefunden.

Was die Anzeige des SSL im Browser (z.B. mit einem durchgestrichenen Schloss) beeinflussen könnte ist, dass Du z.B. Google Fonts einbindest, diese Fonts allerdings von der unverschlüsselten Google-Seite holst. Hier solltest Du in der template.html im HEADER (Edit: <HEAD>) auch die Pfade zu den https-Seiten setzen, also z.B. <link href="https://fonts.googleapis.com/css?family=Paprika" rel="stylesheet" type="text/css">.
Du hast da noch "<link href="http ... " drin.
« Letzte Änderung: 13. Juli 2018, 17:34:55 von Thorstn »
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
moziloCMS-Layouts auf mozilo-layouts.thorstn.com
webdesign-ruhr.de - Webdesign aus Bochum

*

Offline glory

  • Mitglied
  • 324
Re: SSL Zertifikate
« Antwort #11 am: 13. Juli 2018, 21:10:52 »
Super! Ganz vielen lieben Dank! Mit eurer Hilfe konnte ich an einemTag nun 2 Probleme lösen! Ich hätte nicht gedacht, dass es sich auch auf fremde Links bezieht. Bestimmt hat das der freundliche Mensch von alfahosting auch gemeint und ich habe es wieder mal falsch verstanden. beim "equiv" habe ich das s nun auch wieder entfernt. Nun ist das Schloss frei!
Vorher sah das so aus wie im Anhang.

Nun nerve ich nicht weiter. Ich wünsche euch ein schönes Wochenende!
Wer aufhört zu lernen, hört auf zu leben!