Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

SSL Zertifikate

Begonnen von hefischer, 25. Januar 2017, 12:30:05

« vorheriges - nächstes »

hefischer

Moin zusammen,

wie steht ihr grundsätzlich zu SSL Zertifikaten? Google beabsichtigt ja, Domains ohne Zertifikat abzuwerten und als unsicher zu kennzeichnen.

Ich bin mir nicht sicher, was ich meinen Freunden raten soll, wenn sie mich fragen. Wie ich gesehen habe, findet man Webseiten mit Zertifikaten bisher eher bei "größeren" IT-Webseiten, ala Microsoft, Google, Facebook, Heise, Banken usw.
Würdet ihr für private bzw. kleinere Firmen Zertifikate verwenden?

Ich persönlich sehe die ganze Zertifiziererei eher als reine Geldmaschine und für kleine und mittlere Webseiten, die im Grunde genommen nur ein paar Infoseiten und ein Kontaktformular beinhalten, eher als überflüssig...

Danke schonmal im Voraus
Hermann

hausl78

#1
Nun, wenn du dich ohne Zertifikat (http://) im mozilo Adminbereich anmeldest, werden deine Zugangsdaten als Klartext zwischen dir und dem Webserver transportiert. Wenn jemand den Traffic mitschneidet kann er damit Schindluder treiben. Macht also schon auch bei "kleinen Seiten" Sinn.

Siehe zB auch hier:

https://feller.systems/https-fuer-jede-website-sinnvoll-oder-nicht/

https://www.cekom.de/180n307/Blog/HTTPS-%e2%80%93-Warum-die-Verschluesselung-von-Websites-Sinn-macht.htm

https://blog.snowflake.ch/2015/01/23/warum-https-fuer-jede-website-sinnvoll-ist/

etc...

hefischer

Hi hausl78,

top! Danke für die Tipps. Wollte nur mal ne Diskussion anstossen. Mich interessierte so ne grundsätzliche Meinung von Profis, die schon Erfahrung damit gemacht haben.

Interessant fand ich, dass u. U. die Performance leidet, was auf Dauer ja durch neuere Rechnergenerationen eliminiert werden dürfte.
Und, dass Virenscanner den Inhalt verschlüsselter Webseiten nicht scannen können...

Hermann

laborix

Zitat von: hefischer am 25. Januar 2017, 14:27:00... Und, dass Virenscanner den Inhalt verschlüsselter Webseiten nicht scannen können...
Zusätzlich vielleicht noch ein paar kleine Gimmicks, wie zu Beispiel, das man kostenlose Zertifikate nicht auf einem shared-hosting einspielen kann oder Apple einige der kostenlosen SSL-Zertifikatsanbieter inzwischen schon als Warnung einstuft.

Abgesehen davon das einige Provider für Webhosting Angebote sich SSL gut bezahlen lassen oder ihre Pakete so anbieten, dass das SSL-Zertifikat für nur eine Domain ausgestellt wird. Möchte man Subdomains mit integriert haben kostet das monatlich extra. Auch hier muss man ganz schön aufpassen um nicht vom Regen in die ... zu fallen.

LG laborix

Thorstn

Nun ja, viele Webhoster bieten mittlerweile auch die (kostenlose) Let´s Encypt Verschlüsselung an. Häufig kann man als Verbraucher diese Einstellungen im Admin des Hosters einstellen, ohne Root-Zugriff auf den Webspace zu benötigen und das Ganze installieren zu müssen. Insofern ist SSL auch auf einem Shared-Hosting einsetzbar  ;)

Zum Thema "Virenscanner":
Dann dürfte es ja eigentlich (!) überhaupt keine Verschlüsselung geben, oder?. Auch nicht bei Banken. Die könnten (ist relativ) ebenso gehackt werden wie jede andere Webseite.

Bei neuen Webpräsenzen würde ich persönlich (wenn es beim Hoster technisch möglich ist) Verschlüsselung von vornherein einsetzen. Bei reinen Info-Seiten ohne Interaktivität des Nutzers (z.B. Gästebuch oder Kontaktformular) ist es technisch nicht zwingend notwendig, klar. Trotzdem zeigt der Trend - auch von den Suchmaschinen - eindeutig in Richtung Verschlüsselung.
Bei bestehenden Webseiten würde ich zunächst abwägen. Denn eine Umstellung auf HTTPS erfordert i.d.R. auch eine Aktion bzgl. Suchmaschinen: die URLs der Seite(n) müsste evtl. via 301-Weiterleitung angepasst werden, was (kurzzeitig) Auswirkungen auf das Ranking haben kann, siehe hier: https://support.google.com/webmasters/answer/6033049
Aber wie auch bei neuen Webseiten kommt man dauerhaft um HTTPS wohl nicht herum, denke ich.

Gruß,
Thorsten
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
Webdesign aus Bochum

stromflo

Was haltet Ihr von der Verwendung von Let's Encrypt Zertifkikaten?
Seht Ihr sowas für private Seiten (Hobbysetien) als außreichend an?
Bei meinem Hoster sind eigene Zertifikate, die signiert sind nicht gerade preiswert :)


Thorstn

Mal eine OffTopic Frage: wie schaffen es einige Leute seit vielen Wochen, sich hier "unfallfrei" einzuloggen und im Forum zu stöbern?
Ich bekomme seit ca. 3 Monaten ständig die Meldung:

Datenbankfehler

Bitte versuchen Sie es nochmal. Sollte der Fehler wieder auftreten, informieren Sie bitte den Administrator

Einen Administrator scheint es hier aber nicht mehr zu geben, auch Mails an Stefanbe werden nicht beantwortet. Dabei bin ich nicht alleine mit diesem Problem, siehe den Eintrag von djr via Github:
https://github.com/mozilo/mozilo2.0/issues/21

Und ehrlich: das ist sehr erschreckend! Also erschreckend, dass moziloCMS hier vor die Wand gefahren wird!

Zurück zum Thema:

Let's Encrypt ist ein ein vollwertiges, voll funktionales Verschlüsselungssystem. Ich setze es - soweit der jeweilige Hoster es einsetzt bzw. einsetzen lässt - mittlerweile auf den meisten meiner Websites.

So gesehen: wenn Let's Encrypt auf Deinen Webpräsenzen einsetzbar ist, nutze es!

Gruß,
Thorsten

Nachtrag:
Ich bin hier mit dem TOR Browser eingeloggt. Und es bedarf einiger "Sessions", dass ich das Forum wirklich nutzen kann.
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
Webdesign aus Bochum

azett

Zitat von: stromflo am 25. Juni 2017, 12:03:19
Was haltet Ihr von der Verwendung von Let's Encrypt Zertifkikaten?
Seht Ihr sowas für private Seiten (Hobbysetien) als außreichend an?
Bei meinem Hoster sind eigene Zertifikate, die signiert sind nicht gerade preiswert :)

Kostenlose Transportverschlüsselung zum Server - sehe keinen Grund, es nicht zu verwenden. Beim mozilo-Partnerhoster UD Media gibts die mit einem Mausklick, hatte darauf schonmal hingewiesen.
Für private Zwecke ist Let's Encrypt vollkommen ausreichend - für kommerzielle Sites würde ich dann aber lieber zu kostenpflichtigen Zertifikaten mit Betreiberinformationen greifen.

Gruß
Arvid

glory

Es wurde zwar schon länger nichts mehr hier geschrieben, aber ich hoffe, es liest doch noch jemand meine Zeilen.
Ich habe ja auch bei meiner HP das kostenlose SSL aktiviert und eingestellt (Alfahosting). Heute habe ich mich nun da mit einem Mitarbeiter unterhalten, warum bei meiner HP noch das https oben in der Browserzeile durchgestrichen ist. (Firefox). Er sagte, das http wäre noch eingestellt. Als ich damit nichts anfangen konnte, sagte er, ich soll mir mal den Quelltext ansehen. Da würde ich es sehen.
Ich habe es nun so geändert:
<meta https-equiv="Content-Type" content="text/html;charset={CHARSET}" />
  <meta https-equiv="Content-Script-Type" content="text/javascript" />
  <meta https-equiv="Content-Style-Type" content="text/css" />

Ob das so richtig ist uns ausreicht, weiß ich auch nicht. Auf alle Fälle ist bei meinem Backoffice nun das https nicht mehr durchgestrichen, aber trotzdem noch im Frontoffce.

Müsste ich da noch woanders das https eintragen?
Falls mal jemand schauen möchte, hier der Link: www.pomeranianzwergspitz.de

Auf alle Fälle bin ich nun froh, dass ich ins Forum nun auch wieder von zuhause aus schauen kann (ging doch eine zeitlang nur, wenn ich auf Arbeit war). Vielen Dank für eure Mühe, wer auch immer das wieder zum Laufen gebracht hat.

Viele Grüße von glory
Wer aufhört zu lernen, hört auf zu leben!

marusti

In Chrome bekomme ich beim klick auf den Link https://www.pomeranianzwergspitz.de/ angezeigt

Thorstn

#10
Eine "Fehlermeldung" seitens SSL bekomme ich auch nicht angezeigt...

Allerdings: dieses "meta https-equiv" (also mit dem "s" bei http) ist mir bis dato unbekannt. Ich habe das auch eben mal gegoogelt, aber nichts gefunden.

Was die Anzeige des SSL im Browser (z.B. mit einem durchgestrichenen Schloss) beeinflussen könnte ist, dass Du z.B. Google Fonts einbindest, diese Fonts allerdings von der unverschlüsselten Google-Seite holst. Hier solltest Du in der template.html im HEADER (Edit: <HEAD>) auch die Pfade zu den https-Seiten setzen, also z.B. <link href="https://fonts.googleapis.com/css?family=Paprika" rel="stylesheet" type="text/css">.
Du hast da noch "<link href="http ... " drin.
www.mad-it.de - Wir lösen keine Probleme. Wir machen sie.
Webdesign aus Bochum

glory

Super! Ganz vielen lieben Dank! Mit eurer Hilfe konnte ich an einemTag nun 2 Probleme lösen! Ich hätte nicht gedacht, dass es sich auch auf fremde Links bezieht. Bestimmt hat das der freundliche Mensch von alfahosting auch gemeint und ich habe es wieder mal falsch verstanden. beim "equiv" habe ich das s nun auch wieder entfernt. Nun ist das Schloss frei!
Vorher sah das so aus wie im Anhang.

Nun nerve ich nicht weiter. Ich wünsche euch ein schönes Wochenende!
Wer aufhört zu lernen, hört auf zu leben!