Forum über SSL

  • Es ist nicht möglich mehrere NameBased-VirtualHosts mit SSL auf Port 443 mit unterschiedlicher Konfiguration auf einem Server zu betreiben, da die Anfrageinformationen im Header ebenfalls verschlüsselt sind und die Anfrage so nicht einem VirtualHost zugeordnet werden kann.


    Hallo Fabian,


    Nennt sich das Ding nicht Wildcard-Zertifikat? Einziges Problem ist: die sind nicht eben billig ... aber lösbar wäre der Wunsch nach SSL-Verschlüsselung für (alle) Subdomains zu starface.de im Übrigen auch auf einem Host mit ganz vielen VitualHosts + allesamt SSL dann schon. Als Hoster machen wir das bei uns und bei Kunden im Tagesgeschäft :) - das Ganze ist nur eine Kosten-/Nutzenfrage ...


    Über den Sinn ein Forum unter SSL laufen zu lassen, kann man streiten - "schneller" wird das damit nicht, aber natürlich etwas sicherer.

  • Ich bin ja grundsätzlich eurer Meinung, fand es aber für die Diskussion interessanter, einen oppositären Standpunkt zu vertreten ;)


    Ein Wildcard-Zertifikat ist nur die Lösung für ein Problem von NameBased-VirtualHosts iVm SSL – nämlich, dass der Name des Hosts ansonsten nicht mit dem im Zertifikat übereinstimmt. Ich hatte absichtlich von "individueller" und "unterschiedlicher" Konfiguration gesprochen, um den Fall einer für die einzelnen Hosts komplementären Konfiguration mit einzuschließen ohne mir ein Beispiel überlegen zu müssen :)

  • Wollte man Wildcard nicht nehmen, ginge es jedenfalls auch anders - viele Wege führen zum Ziel :) Wie auch immer ... unterm Strich könnte man den Wunsch zur SSL-Verschlüsselung jedenfalls lösen, worum es den Leuten, die das hier ansprechen geht, ist ja klar (selbst ohne in Details zu gehen).

  • <Spekulation>Vielleicht weil man dann Geld für ein SSL-Zertifikat ausgeben müßte, da es bei selbstsignierten Zertifikaten ansonsten Zertifikatswarnungen hagelt :P</Spekulation>


    Ist ein SSL Zertifikat mittlerweile nicht unabdingbar? Möchte mir jetzt demnächst über https://www.hosting.1und1.de/server einen Server beschaffen und im Rahmen dessen habe ich das Thema SSL Zertifikat mal etwas recherchiert. Habe zudem auf http://www.heise.de/security/a…/SSL-fuer-lau-880221.html etwas über SSL für lau gelesen, was ist davon zu halten?

    Erst denken, dann sprechen!

  • Naja. B ist schon mehr schlecht als Recht :)
    Es hat sich in den letzten Monaten sehr viel getan bei SSL, sei es Poodle oder Heatbleed.
    Es sollte A oder A+ sein, ansonsten kann man das SSL auch gleich sein lassen....
    Nur so als "Beispiel" meine Vereinshomepage schafft es auf A+ ;)

  • warum wird der Login nicht auf https erzwungen?


    Kann mich der Frage von slu nur anschliessen. Zertifikat scheint auf Support.starface.de zu existieren. Warum also wird kein https erzwungen, wie das beim anmelden an der Starface-Weboberfläche auch möglich ist ?

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • ... naja, wirklich helfen wird diese "Entdeckung" auch nicht, da die Foren-Seite sogenannten "gemischten Inhalt" enthält, also z.T. nicht verschlüsselt werden kann. Bei Verwendung eines aktuellen Firefox wird die Seite trotz https-Aufruf entsprechend auch als "nicht sicher" eingestuft. Fazit: - https ist in dem Fall aktuell nur "Augenwischerei".


    Ich vermute mal, dass das "offiziell" genau auch aus dieser Erkenntnis heraus nicht so "erzwungen" und als Standard verwendet wird.


    Problem in diesem Fall sind diverse, von externen Seiten gezogene JavaScripte plus nur unter http erreichbare (oder zumindest so eingebundene) Grafiken für das Forum. Alles lässt sich natürlich beheben - nur sollte im Moment niemand dem Glauben verfallen, die Seite sei "sicher" ...


    Die einfache Verwendung eines noch so aktuellen SSL-Zertifikates hilft hier allein also eher nicht - die Baustelle ist ein wenig größer.


  • Problem in diesem Fall sind diverse, von externen Seiten gezogene JavaScripte plus nur unter http erreichbare (oder zumindest so eingebundene) Grafiken für das Forum. Alles lässt sich natürlich beheben - nur sollte im Moment niemand dem Glauben verfallen, die Seite sei "sicher" ...


    Das Forum lässt sich über https bei mir gar nicht ordentlich bedienen, die ganzen Edit Funktionen fehlen wenn man einen neuen Beitrag erstellt.


    Ganz ehrlich, ich finde es ein Armutszeugnis für eine Firma die in der IT Branche tätig ist, Software erstellt und auch Cloud Angebote hat.
    Ich verstehe nicht warum man so ein Thema nicht mal angeht und bereinigt.

  • Ein erster Schritt wäre es ja schon, wenn zumindest für Anmeldung/Login https erzwungen würde.


    Hier muss wirklich nicht alles im Klartext per Megaphon über den Äther.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Hallo Thomas,


    egal ob erzwungen oder nicht - es wird so, wie das aktuell gemacht ist, nicht richtig funktionieren. Einmal gibt es dann offenbar ja grundsätzlich Bedienungsprobleme, zudem ist da dann halt nichts richtig "sicher". Grundsätzlich müssten eben einige Dinge geändert werden - z.B. das Einbinden externer JavaScripte über http (und überhaupt ... extern ist immer ganz schlecht - man hat keine Kontrolle, was da letztlich getan wird). Solche "gemischten Inhalte" (teilweise http und https) mögen zudem manche Browser gar nicht, da sollte man das "ehrlicherweise" zunächst tatsächlich so belassen wie es ist und "unverschlüsselt" nicht unter https "tarnen" :)


    Wäre es denn besser, wenn da X und Y glaubt, Daten werden gesichert übertragen und in Wirklichkeit passt das halt nicht? Bietet man https da zunächst nicht an, ist das ehrlicher und keiner wird in einem falschen Glauben gelassen ...


    Ich weiß natürlich was Du meinst, persönlich halte ich es aber für richtiger, da keine halben Sachen zu machen. Tatsächlich sollten sich die paar offenbar nur unter http verfügbaren Grafiken leicht per https zur Verfügung stellen lassen - dann wären diese Fehler schon mal weg.


    Ob das "Sicherheitsbedürfnis an dieser Stelle allerdings tatsächlich so groß ist ... keine Ahnung. Im Normalfall nutzt man für jedes Login ein anderes, individuelles Passwort - da könnte einem ein "Missbrauch" des Foren-Logins beim Starface Support-Forum dann jedenfalls halbwegs ruhig schlafen lassen. Klar - nutzt man überall das gleiche Passwort, ist das doof - aber wer tut das schon? ;)


  • Egal warum und weshalb auch immer und wie hoch das Sicherheitsbedürfnis eines jeden einzelnen ist.


    Ich möchte eigentlich grundsätzlich nicht, dass meine Userdaten (User/Passwort) im Klartext übertragen werden. Das dürfte wohl jedem einleuchten.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Klar - deshalb hatte ich ja auch geschrieben: ich weiß was Du meinst. Wir haben entsprechende Internet-Angebote bei uns z.B. auch durchgehend, allerdings eben korrekt und sauber unter https laufen (http ist da gar nicht mehr möglich).


    Allerdings bleibts halt dabei: https "vorgauckeln" (mit eingeschränkter , halber oder gar keiner Sicherheit) ist halt auch nicht die Lösung.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!