HOSTBLOGGER.de

.htaccess

Ich weiß nicht, ob manitu beim Webhosting in die Kategorie "Premiumhoster" gehört. Der Preis für das Hosting an sich ist angemessen. Über die Höhe des Aufpreises für die Verschlüsselung kann man streiten, aber nicht über den Umstand, dass es bei einem Webhosting-Paket für 3-10 Euro extra kostet. Auch eine extra IP-Adresse kostet natürlich extra. Schade ist eher, dass es kein TLS-SNI gibt mit dem man sich die extra IP könnte sparen.

TLS-SNI hat in etwa die selben Anforderungen wie ein SSL-Proxy - vorausgesetzt der Kunde bringt sein eigenes Zertifikat mit. Deswegen wäre es logisch, das zusätzlich oder anstatt des Proxys anzubieten, aber zu den selben Kosten. (Die Betrachtungsweise einer separaten Box, die ausschließlich Verschlüsselung macht lasse ich mal außen vor. Im typischen Szenario wird der Aufwand geringer als der sein, den die Webserver ohnehin zu stemmen haben)

Ich nutze CAcert … Meine selbsterklärte Zielgruppe hat das Root-Zertifikat von CAcert entweder eh installiert, oder kann mit der Meldung des Broesers etwas anfangen, und entsprechend handeln

Ich halte von SSL-Proxies wenig. Natürlich ist Verschlüsselung grundsätzlich besser als gar keine. Aber - ich will Manuel und seinem Team nichts unterstellen - es kann ja auf einfachste Weise sämtlicher, "verschlüsselter" Traffic von manitu ausgelesen werden. Das hat dann in etwa den gleichen Effekt als wenn man gar nicht verschlüsseln würde. Außerdem wird ja der Verkehr vom SSL-Proxy zum Kunden-Webserver wohl kaum intern nochmal verschlüsselt sein(??), sodass da dann die Verschlüsselung eh für die Katz' wäre.

Deswegen: Wenn SSL gegen Aufpreis angeboten wird, zumindest die Möglichkeit bieten, das selbst signierte Zertifikat mit einem eigenen Zertifikat zu ersetzen.

Wie schon von anderen geschrieben: Warum nicht per SNI* einbinden, das wäre etwas, das IMO auch noch gar nicht so viele Hoster anbieten! Sein Zertifikat bekommt der Kunde dann entweder über euch - darüber könnt ihr sogar noch etwas verdienen - oder nutzt ein eigenes von StartSSL oder sonstwem.

Mal in die Runde: IMO ist mit dem Auslauf von XP jetzt ein guter Zeitpunkt, SNI ernsthaft zu nutzen. Lediglich Android 2.x bleibt noch außen vor (wie Google sich da in eine Liga mit XP begeben konnte ist mir bis heute nicht klar), aber bei der Halbwertszeit "moderner" Handys sind wir wohl auch dies bald los ... was meint ihr?

Proxy Domains nach dem Schema: https://KUNDENDOMAIN-TLD.ssl-proxy.manitu.de/

Vorteil:
- Würden die Same-Origin-Policy nicht (so weit) aushebeln
- Bereitet Kunden vermutlich weniger Probleme. Erfahrungsgemäß werden CSS/JavaScript/etc. Dateien von Kunden oftmals mit absoluten Pfadangaben ohne Angabe der Domain (also ) eingebunden. Dies führt dann zu Problemen, wenn da noch ein virtueller Ordner dazu kommt.
- Die SSL Sitzung könnte direkt auf dem Hostingserver terminiert werden, da die unterschiedlichen Subdomains von .ssl-proxy.manitu.de ja auf unterschiedliche Server zeigen können und aber auf allen Servern das gleiche Zertifikat *.ssl-proxy.manitu.de installiert werden kann.

Nachteil: Das Zertifikat wird etwas teurer (wildcard zertifikat).

Insgesamt frage ich mich aber auch, warum nicht einfach den Upload von StartCom Zertifikaten mit SNI anbieten? SSL Proxies sind sowas von . . . alt.