Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Donnerstag, 14. März 2013, 08:42

Webseite immer via SSL?

Was haltet Ihr persönlich von Webseiten, die automatisch auf die verschlüsselte Variante umleiten?

Wir überlegen, das für manitu.de zu machen :-)

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Timo

Großartig! SSL kostet mittlerweile nichts mehr, was Serverlast angeht und in Zeiten von Überall-Netz und hobbymäßigem Sniffen werden die Kunden, die SSL verstehen, sehr glücklich sein. Kompression und SSL sind für mich zwei Dinge, die im Grunde immer und überall eingeschaltet sein sollten.

nighthawk

Ich sehe keine nennenswerten Nachteile. Jemand der - aus welchem Grund auch immer - keine Webseiten mit SSL besuchen kann, hat in dem Fall sicherlich noch weitaus größere Probleme, als nur manitu.de nicht sehen zu können. Und ich gehe einfach mal davon aus, daß ihr auch keine Kunden aus Ländern habt, in denen Verschlüsselung kritisch gesehen wird. ;)

Kai

Welche Vorteile bringt das bei quasi statischen Inhalten? Da nehme ich nun mal den Teil aus, in den ICH Daten eintrage!

Anonym

Ganz einfach:
1. Es erhöht das verschlüsselte Grundrauschen
2. Der ein oder andere wird vielleicht mal dazu angeregt sich mit dem Thema zu beschäftigen

Verschlüsselung sollte die Regel und nicht die Ausnahme sein. Bei Mails sowieso, aber auch beim surfen.

Klopfer

Also gibt es keine handfesten Vorteile für die Besucher? Sorry, aber es werden schließlich auch keine Bilder von Raucherbeinen eingeblendet, damit vielleicht der eine oder andere Besucher mal angeregt wird, sich mit den Gefahren des Rauchens zu beschäftigen.
Jetzt einfach mal Butter bei die Fische: Wenn ich eine Seite habe, deren Inhalte offen überall zu sehen sind, und das, was die Besucher eingeben können, ebenfalls keine heiklen Inhalte hat, was bringt dem Besucher und mir die Verschlüsselung? Ich würde da gerne mal konkrete Vorteile hören und nicht etwas, was vom paranoiden "Es soll niemand erfahren, was durch meine Leitung geht, auch wenn ich nur auf Spiegel Online und Lotto.de surfe" durchsetzt ist.

Andreas

Dann sag du mal was denn dagegen spricht. Ich erkenne nur Vorteile.

fh

Aus der Erfahrung mit lawblog.de: Funktioniert wunderbar für "normale" Benutzer, bringt allerdings Probleme mit verschiedenem Gescripte, Robots und ähnlichem. Da gibt es beliebig seltsame Verhaltensweisen bis hin zu durchdrehenden Crawlern die dann mehrmals pro Sekunde aufschlagen. Gerade die Dutzenden "SEO-Backlink-Irgendwas"-Robots.

Ich würde erst bei den Seiten, die in irgendeiner Form mit Dateneingabe (Formulare, etc.) auf https umschwenken, und dort dann mit Strict-Transport-Security Headern arbeiten. So sind die User danach dauerhaft auf https, bei denen es irgendwie Sinn macht, und deren Browser halbwegs modern ist - gleichzeitig ist man mit den Startseiten weiterhin möglichst breit erreichbar.

Philipp

Wenn erst das Ziel des Login-Formulars HTTPS ist, dann öffnet das aber Tür und Tor für einen Angreifer, der z.B. eine bei manitu gehostete Domain übernehmen will und dafür dem Kunden eine E-Mail ("bitte loggen Sie sich auf manitu.de ein, damit ihr account nicht verfällt") schickt und dann das unverschlüsselte manitu.de so verändert, das erst gar kein HTTPS verwendet wird.

Frank

Es gibt aus meiner Sicht nur Vorteile bei einer grundsätzlichen Verschlüsselung, dann sind auch die Inhalte der statischen Seite abgesichert. SSL ist nicht nur wichtig für das Senden von meinen Daten, sondern auch für die Daten, die vom Server gesendet werden.
Verschlüsselung bringt hier sowohl Geheimhaltung der Daten als auch die Sicherheit, dass die Daten nicht geändert wurden.

> Verschlüsselung sollte die Regel und nicht die Ausnahme sein.

Philipp

Definitiv eine gute Idee. Viele Kunden werden wohl einfach "manitu.de" (oder "manitu") eingeben und sich von dort an durchhangeln. Damit ein Angreifer dann nicht einfach die unverschlüsselte HTTP-Seite kapert (obwohl das bei euch wohl nur bei gezielten APT-Attacken in Frage kommen würde), sollte man auch HSTS verwenden.

Markus

Habe alle meine Web-Seiten auf SSL (mit automatischer Umleitung von HTTP auf HTTPS und HSTS) und es läuft reibungslos. Einige Spam-Robots bin ich dadurch sogar losgeworden (sind aber noch genug da). Um "durchdrehende Crawler" kümmert sich iptables, notfalls von Hand. Ich habe aber den Eindruck, dass es weniger werden, die nicht mit SSL umkönnen.

Probleme hatte ich mal, als ich für andere eine WordPress-Instanz so aufgesetzt hatte. WordPress kann nicht richtig gut mit HTTPS-only um, man stößt immer wieder auf Stellen, wo es dann hakt. Das gibt es sicher auch mit anderen Software-Paketen, dürfte aber nicht Euer Anwendungsfall bzw. kein Problem für Euch sein.

Alexander Leidinger

Es gibt Firmen die erlauben nicht auf beliebige verschluesselte Seiten zu gehen. Browsen auf unverschluesselten Seiten ist da erlaubt, aber URLs geloggt. Stichwort Banken + gesetzliche Regelungen.

Wenn Du willst dass da jemand in der Mittagspause mal ein Angebot fuer sich selbst bei Euch anschauen kann (er also nicht bei die Konkurenz geht die nicht verschluesselt), dann solltest Du Dir das mit der Grundverschluesselung nochmal ueberlegen.

Philipp

Naja, eine halbwegs kompetente IT sollte es auch hinbekommen, SSL mittels eigenem Root-Zertifikat aufzumachen. Ich halte es nicht für sinnvoll, die Sicherheit aller Kunden für eine völlig hirnverbrannte Richtlinie einer IT-Abteilung aufzugeben. Zumal die technischen Abteilungen von solchen Richtlinien vermutlich sowieso nicht betroffen sind.

Alexander Leidinger

Es geht nicht drum was die IT Abteilung will oder kann, es geht um legale vorgaben (BASEL, SOC, ... was auch immer) und was irgendein Manager daraus erlaubt zu machen (budget).

Deine Vermutung in Ehren, aber meine Erfahrung bei mehreren Banken ist anders. Du nimmst auch an, dass lediglich Angestellte einer technischen Abteilung Interesse daran haben, etwas bei Manitu zu kaufen, auch da kann ich aus Erfahrung sagen, dass auch Personen aus nicht-technischen Abteilungen Interesse an sowas haben (zumindest habe ich auf Manitu verwiessen, ob auch was dabei raus kam weiss ich nicht).

Ob das jetzt eine Klientel ist, an der Manuel interessiert ist bzw. ob das Volumen dieser Klientel gross genug ist, ist selbstverstaendlich eine andere Frage.

Oliver

Was gibt es da zu überlegen?
SSLEngine on

Nico

Danke für den Hinweis auf HSTS! Gleich mal bei mir umgesetzt...

Hajo

In dem Zusammenhang sollte man immer wieder auf HSTS hinweisen, das ist meiner Erfahrung nach noch wenig bekannt.

Dirk

Da ich mir ein kommerzielles Zertifikat, das anstandslos von allen Browsern akzeptiert wird, nicht leisten kann/will, nutze ich CAcert, das jaleider standardmäßig eine Fehlermeldung ausgibt, ansonsten würde ich schon längst SSL-only für meine Webseiten nutzen.

Auf jeden fall DAFÜR!

Timo

Ich gehe mal davon aus, dass du es schon kennst und deine Gründe dagegen hast, aber möglicherweise bist du auch noch nicht über StartSSL http://www.startssl.com/?lang=de gestolpert. Die bieten weit anerkannte Zertifikate für umsonst an. Einziger Wehmutstropfen ist die einjährige Laufzeit. Aber selbst das kann man in Hinsicht auf Sicherheit noch positiv sehen.

Chris mit den halbierten Bits

Meiner Erfahrung nach zickt StartSSL aber bei Firmen gerne mal etwas rum und wollte zum Beispiel die Firmenanschrift nicht akzeptieren und die Privatanschrift möchte man auch nicht jeden geben.

Andreas

Mir erschließt sich nicht warum man überhaupt CACert nutzt, deren Zertifikate sind in meinen Augen wertlos. Da kann ich auch ein selbst signiertes benutzen.

Für 30€ gibt es übrigens bereits Zertifikate für 2Jahre.

http://www.psw.net/ssl-zertifikate.cfm

allo

Leider ist Wildcard VIEL teurer, obwohl ja eigentlich nicht mehr Pruefungsaufwand.

Auch netter Fehler auf der Seite:
> Zusätzliche physikalische Maschinen
;)

Andreas

Ja das ist immer so.

CAs sind wahre Gelddruckmaschinen. Die Kosten laufen gegen Null im Vergleich zum Umsatz.

Daniel

Ich finde den Vorschlag exzellent. SSL sollte der Normalfall sein, und ich bevorzuge Firmen, die mir https only anbieten.

Chris

SSL: Auf jeden Fall dafür, bitte gleich ohne RC4 (aus aktuellem Anlass: http://www.heise.de/newsticker/meldung/Erneuter-Krypto-Angriff-auf-SSL-TLS-Verschluesselung-1822963.html )
Mir ist bisher nur ein Fall begegnet, wo aus einem Netzwerk für Patienten eines Krankenhauses HTTPS unterbunden wurde und somit keine SSL-Verbindungen nötig waren. Inzwischen gibt es so viele Webseiten per SSL, dass das eigentlich nicht mehr der Fall sein dürfte. Facebook gibt es nur noch per SSL und Google soll angeblich auch bald folgen – spätestens dann gibt es keine Einwände mehr.

Andreas

http://www.psw.net/ssl-zertifikate.cfm
mal angesehen?
Nicht kostenlos, aber sehr günstig. Hatte bisher keine Probleme außer vor einem Jahr mal mit Opera auf Windows Mobile 6.5

allo

Ich wuerde es ja machen, aber dank CACert und der schlechten Browserunterstuetzung waere ich die User los. Aber wenn ihr ein Cert habt was bei >99% im Browser ist ... los los!

Armin

finde ich sehr gut.

Simon

Ich bin absolut GEGEN SSL-only. Warum? Weil damit der Cache (im Browser und ggf. im Proxy) komplett ausgeschaltet wird. Wert öfter mal Seiten über mobil aufruft (am besten noch per GPRS), weiß Caching zu schätzen.

Bei Login-Seiten finde ich SSL sehr wichtig (und bitte bereits die Login-Seite über HTTPS, nicht nur das Formular-Ziel!), bei normalen, unkritischen Seiten aber unnötig...

Hans

Es ist richtig, dass vor ein paar Jahren dem so war.

Aber alle mobile Plattformen cachen SSL.

Auch Firefox und Chrome am Desktop cachen SSL per Default in aktuellen Versionen.

Und wenn du mit etwas älterem surfst, schaltest du es ggf. manuell ein.


Aber was wiegt starker? Die Gefahr ein Formular unverschlüsselt zu übertragen oder ein Cache-Problem? Da ist mir die Datensicherheit wichtiger.

Commander1024

Ich praktiziere das ebenfalls seit einiger Zeit genau so, mit Option für unterstützte Browser, die Seite via mod_spdy ausliefern zu lassen ;-)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen