Wann kommt https?

[bohrsty]

[quote="4_Vs"]
[...]
Und hello again

Wie hatten uns ja hierdrauf geeinigt - Limit Breaker, das war der mit dem grünen Adressbalken, richtig?
[/quote]

jein... wir hatten uns auf die gruene adressleiste und psw geeinigt, der limitbreaker waere ohne gruene leiste, aber mit "geburtstags-upgrade" von psw gibt es das erweitert validierte zum preis des limitbreakers... das zertifikat ist dann von comodo...

[4_Vs]

[quote="bohrsty"]
[quote="4_Vs"]
[...]
Und hello again

Wie hatten uns ja hierdrauf geeinigt - Limit Breaker, das war der mit dem grünen Adressbalken, richtig?
[/quote]

jein... wir hatten uns auf die gruene adressleiste und psw geeinigt, der limitbreaker waere ohne gruene leiste, aber mit "geburtstags-upgrade" von psw gibt es das erweitert validierte zum preis des limitbreakers... das zertifikat ist dann von comodo...
[/quote]
Jo,

wie auch immer

[SH_Nachtcacher]

Hallo,

von wem das Zertifikat stammt ist zweitrangig - so lange die ausstellende CA in den gängigen Stammzertifikatslisten geführt wird. Damit scheidet CAcert schonmal aus. Wir sind dort auch Assurer und fördern das Projekt, für eine praktische Anwendung muss aber die Aufnahme in Browser usw. erfolgen. Bis dahin ist es im praktischen Einsatz nicht nutzbar, da Anwender die dramatischen Fehlermeldungen abspringen lassen.

Wichtig ist, dass die Schlüssel für das Zertifikat selbst erzeugt werden - ansonsten bringt SSL nichts! Wichtig ist auch, bei der Implementierung PFS zu aktivieren:
-> http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html

Eine EV-Zertifikat ist sicher eine gute Idee, da es beim Laien (dem normalen PC-Nutzer) den meisten Eindruck macht und damit neben der eigentlichen Absicherung einen wahrnehmbaren OC-Mehrwert erzeugt. Leider sind EV-Zertifikate aber meist nicht als Wildcard (für unbegrenzt viele Subdomains) erhältlich. Wohl aber als UCC/SAN. Was bedeutet, man kann alle gewünschten Domains einfach eintragen.

StartSSL wurde bereits erwähnt. Beim kostenlosen Class1 gibt es teilweise Warnmeldungen, weil die Identität natürlich nicht bestätigt werden kann. Abhilfe schafft ein dort für bereits 30$ pro Jahr erhöltliches Class2 Zertifikat. Die Grüne Leiste gibt es für 70$ pro Jahr...
-> http://www.startssl.com/?app=40

Von daher: Wenn über SSL nachgedacht wird, dann gleich ein EV-Zertifikat und dabei keine Subdomain vergessen! Ob Ihr das nun der guten Beziehung wegen bei Eurem Hoster bestellt oder beim günstigen Anbieter StartSSL macht technisch keinen Unterschied

[teufli]

Hallo SH_Nachtcacher,

löblich, dass Du auch Assurer bist, aber es ist nicht unbedingt richtig, dass CAcert ausscheidet, nur weil es nicht in den Browsern ist.

Nochmal: Zunächst sollte "die SSL-Seite" überhaupt erstmal existieren (mit selbst erzeugten Schlüsseln -- die man später, völlig unabhängig von der Zertifikatsstelle, sowieso benötigt). Nur davon ist bis jetzt auf weiter Flur überhaupt gar nichts zu entdecken. Stattdessen wird lamentiert über den Anbieter und sonstiges Beiwerk, das aber gar nicht Priorität hat, denn sonst würde man teures Geld ausgegeben, hätte dann aber unter Umständen den preiswerteren Anbieter nebenan außer Acht gelassen und sich womöglich -- das schreibst Du völlig richtig -- zuwenig Gedanken um Subdomains und weitere Hauptdomains gemacht.

Was CAcert angeht: Selbstverständlich ist ein im Browser integriertes Zertifikat bequemer und für einige Anwender möglicherweise verständlicher. Aber erstens kostet es Geld und zweitens sind die hier angesprochenen User nicht so computerunaffin, wie vielleicht Anwender anderer Webseiten und man hätte den SSL-Zugang ja optional anbieten können.

Aber das Thema möchte ich gar nicht weiter aufwärmen, bis jetzt sehe ich nur, dass schon viele Monde vertane Zeit ins Land gegangen sind, ohne, dass sich auch nur das Geringste bewegt hätte in Richtung Zielerreichung SSL-Seite. Dabei wurden meine vor vielen Monaten abgegebenen Angebote der deutlichen Mithilfe im Support oder in der technischen Umsetzung im Fall der Umsetzung mit CAcert-Zertifikaten, mit denen man hätte schon mal viel experimentieren können, bevor man in die Welt der Kaufzertifikate einsteigt, in den Wind geschlagen und ich wurde bedroht, ich hätte ja keine Ahnung von SSL, weil ich angegeben hatte, ich wüsste nicht, was "damals bei Facebook" passiert sei (ok, ich wusste es doch bereits vorher aber ich finde es interessant zu sehen, als wie wichtig und dringend hier Nebenschauplätze aufgebauscht werden, die dazu führen, dass es eben sehr lange dauert, bis etwas passiert.

Deine Ideen, SH_Nachtcacher, bzgl. EV und Subdomains, sowie PFS finde ich auf jeden Fall einen guten Einwurf :-)

[SH_Nachtcacher]

Moin,

wie gesagt, bei CAcert bekommt jeder Besucher eine gewaltige Fehlermeldung, dass der Verbindung nicht vertraut wird und er die Seite besser verlassen soll. Alternativ bietet der Browser nach ein paar Klicks auf "ich weiß, was ich tue" an, eine Ausnahmeregel zu erstellen. Das ist so dramatisch, dass faktisch 90 Prozent der Nutzer abspringen. Damit ist CAcert außerhalb der Nerd-Welt heute unbenutzbar. Wie gesagt, das Projekt ist toll - aber ohne Aufnahme in die Stammzertifikatslisten im Produktiveinsatz nicht nutzbar. Hier wurden Projektintern lange Zeit die falschen Prioritäten gesetzt. Seit 2005 hat man sich in diversen Aspekten verzettelt, statt die wichtigste Aufgabe, mit der das ganze Vorhaben steht und fällt, zu verfolgen. Aber das ist eine andere Geschichte.

Mit einem EV-Zertifikat für alle (Sub-)Domains ausgestattet hätte OC einen gewaltigen Mehrwert, der jedem Besucher auf den ersten Blick ins Auge springt. Zu Umsetzung möchte ich empfehlen, erst SSL/HTTPS zu aktivieren und das Zertifikat einzubinden. Besucher die über HTTP kommen, sollten während des "Testbetriebs" komplett auf HTTP bleiben. Such-Robots sollte man vorerst daran hindern HTTPS zu crawlen (dazu nachfolgend eine robots.txt Anregung). Wenn HTTPS überall funktioniert, daher auch externe Elemente müssen bei einem HTTPS-Seitenaufruf über HTTPS laden lassen und auch intern müssen die Links von HTTPS zu HTTPS führen, kann man die ganze Seite umstellen und alle HTTP Aufrufe automatisch auf HTTPS umleiten (dann das Entfernen der robots-Einschränkung nicht vergessen).

.htaccess

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule ^robots.txt$ robots_ssl.txt

robots_ssl.txt

Code: Alles auswählen

User-agent: *
Disallow: /

robots.txt

Code: Alles auswählen

User-agent: *
Allow: /

.htaccess wenn alles auf HTTPS soll, wichtig hier ist der 301!

Code: Alles auswählen

    RewriteEngine On
    RewriteCond %{SERVER_PORT} !^443$
    RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

[teufli]

Ja, aber man müsste die Seite(n) erstmal haben. Dagegen ist/sind sie seit Monaten nicht da, obwohl sie hätte da sein können. Und das hat mit dem Zertifikatsherausgeber erstmal gar nichts zu tun, der kommt erst danach ins Spiel.

[SH_Nachtcacher]

So eine Umstellung will auch geplant sein (siehe z.B. Robots). Die Jungens von OC sind doch am Ball, wie die beiden Beiträge (von heute) vor meinem zeigen. Die machen den Job ja auch nur nebenbei for fun...

[4_Vs]

@teufli

Schonmal überlegt, dass wir momentan in der Technik ausschließlich eine Person haben, die das komplette Projekt stemmt? Dies in der Freizeit und in den vergangenen Monaten haben wir einen kompletten Neuaufbau von zig VMs inkl. etlicher neuer Softwareprodukten ...

So gern wir https lieber morgen als übermorgen hätten, gibt es wichtigere Prioritäten.

Nachdem Ausfall unseres kommissarischen Entwicklungsleiter hat nun auch noch unser Technikleiter den CodeReview übernommen und ist beim Aufsetzen eines Entwicklersystemes.

Statt hier Druck aufbauen zu wollen, könnte man sich ja auch im Team mal vorstellen und aktiv mithelfen, auch wenn das Ziel nicht Deine präferierte Lösung ist.

Das ist hier ein Projekt von Freiwilligen und bei solch einem Team Forderungen stellen bzw. "rummeckern" find ich nicht toll.

Unterstütze doch aktiv mit Deinem Wissen in der Technik.

[teufli]

Ich hatte schon vor Monaten meine Mitarbeit angeboten, weil ich das Thema und die Technik kenne. Aber diese Hilfe wurde abgelehnt. Na denn...

[teufli]

Ich hatte sogar beschrieben, was in welcher Reihenfolge zu tun ist. Als "dankeschön" gab es einen Rüffel, ich hätte keine Ahnung, und alle wollten möglichst schnell ein Zertifikat kaufen, haben gedrängelt, einige absichtlich (und voreilig) Geld überwiesen, nichts wurde jedoch geplant.

Bis heute ist aber weder das Eine, noch das Andere da. Weder konnte irgendwas intern getestet werden, noch die preisgünstige Variante, die immerhin * bietet, ausprobiert werden und auch die teure Variante ist - dies allerdings zu meinem Erstaunen - nicht in Sicht. Tja, so kann's gehen...

[4_Vs]

Es hilft nicht zu schreiben was zu tun ist, es muss getan werden und dafür fehlen Ressourcen ... was ist daran so schwer zu verstehen?

[mic@]

[quote="teufli"]Ich hatte schon vor Monaten meine Mitarbeit angeboten, weil ich das Thema und die Technik kenne. Aber diese Hilfe wurde abgelehnt.[/quote]

Link?

[teufli]

Nochwas, weil Du "rummeckern" schreibst: Entschuldige bitte, aber gerade Du weißt, dass ich vor Monaten gegen extreme Widerstände ankämpfen musste und sich original _niemand_ auch nur ansatzweise um eine Projektplanung, Support und technische Umsetzung kümmern wollte, deren intensive Mitarbeit ich angeboten hatte und die _niemand_ wollte! Lies gerne nochmal den Thread von damals und finde dann zwar zum Ende Deinen abschließenden Hinweis, dass ich ja gerne mit dem gleichen Engagement OC promoten sollte -- aber ernsthaft: Mit diesem Gegenwind, der jegliches Engagement von mir im Keim zu ersticken suchte, statt echte Lösungen finden wollte? Nein, danke!

Ich beobachte nun seitdem das Treiben und stelle fest, dass sich nicht auch nur das Geringste tut. Das ist nicht "meckern", das ist ein extrem sachlicher und fachlich richtiger Kommentar!

[4_Vs]

"Meckern" stand nocht ohne Grund in Anführungsstrichen

Und nein, Du hast Deine präferierte Lösung angebracht und nach einigen Beiträgen hat man Dir mitgeteilt, dass die Entscheidung getroffen wurde eine "grüne Adresszeile" zu wollen.

Dabei handelte es sich um eine demkratische Entscheidung.

Richtig wäre jetzt gewesen entweder diese Entscheidung zu aktueptieren und daran mitzuarbeiten sie umzusetzen, oder es dabei zu belassen.

Jetzt aber die Fäuste in die Hüften zu stemmen und eine "Schnute" zu ziehen ...

[SH_Nachtcacher]

Entspannt Euch Alle hier sind sich doch einig, dass HTTPS kommen soll und das ein EV-Zertifikat keine schlechte Idee ist. Das Team muss aber auch Zeit dafür haben. Dass von Nutzerseite hier bereits großer Bedarf angemeldet wurde, steht ja außer Frage

Zur Umsetzung möchte ich wie gesagt anregen, dass wenn, dann die Umstellung des gesamten Angebotes auf HTTPS das Ziel sein sollte - und nicht nur für Kenner als Option oder während des Logins. Denn wenn nur der Login gesichert ist, ist das Cookie ein leichtes Ziel. Zudem wie gesagt bitte nicht PFS vergessen

Vielleicht kann das OC-Team einen unverbindlichen Zeithorizont hier posten - und uns über die geplanten Schritte dann ein wenig auf dem Laufenden halten, wäre klasse