Skip to content

manitu.de und hostblogger.de nur noch via https erreichbar

Seit gestern sind manitu.de und hostblogger.de nur noch via https erreichbar. Den passenden HSTS-Header haben wir natürlich auch gesetzt.

Wer es nachmachen möchte, hier ein passender Ausschnitt für eine .htaccess-Datei:
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> <IfModule mod_headers.c> Header always set Strict-Transport-Security "max-age=86400;" </IfModule>
Wer den HSTS-Header auch für Subdomains möchte:
Header always set Strict-Transport-Security "max-age=86400; includeSubDomains"

Nachtrag 12:51 Uhr
Ich habe soeben alle Links zu manitu.de in diesem Blog auf https:// korrigiert.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Tetja Rediske

Und wer Owncloud nutzt, muss dort ebenfalls die Option "SSL Forcieren" oder so ähnlich setzen, sonst macht einem Owncloud die Header kaputt...

Der Adminblogger

http://i.imgur.com/TvgBpD7.png

CODE:
% wget -S -O /dev/null http://www.hostblogger.de/blog/archives/6322-manitu.de-und-hostblogger.de-nur-noch-via-https-erreichbar.html<br /> --2014-08-19 13:52:02--  http://www.hostblogger.de/blog/archives/6322-manitu.de-und-hostblogger.de-nur-noch-via-https-erreichbar.html<br /> Resolving www.hostblogger.de (www.hostblogger.de)... 217.11.48.7, 2a00:1828:1000:1101::2<br /> Connecting to www.hostblogger.de (www.hostblogger.de)|217.11.48.7|:80... connected.<br /> HTTP request sent, awaiting response... <br />   HTTP/1.1 200 OK<br />   Date: Tue, 19 Aug 2014 11:52:04 GMT<br />   Server: Apache<br />   Strict-Transport-Security: max-age=86400;<br />   X-Powered-By: PHP/5.5.14-pl0-gentoo<br />   Status: 200 OK<br />   Set-Cookie: s9y_adae153676c97aa82dabf2351c6d417f=vs7rvc4f1p142cn67lr9gmq8c7; path=/<br />   Expires: 0<br />   Cache-Control: private, pre-check=0, post-check=0, max-age=0<br />   Pragma: no-cache<br />   Set-Cookie: s9y_adae153676c97aa82dabf2351c6d417f=dja30amjfgqphidf5pqqumlho2; path=/<br />   X-Session-Reinit: true<br />   X-Blog: Serendipity<br />   Keep-Alive: timeout=15, max=100<br />   Connection: Keep-Alive<br />   Transfer-Encoding: chunked<br />   Content-Type: text/html; charset=UTF-8<br /> Length: unspecified [text/html]<br /> Saving to: `/dev/null'<br /> <br />     [               ] 15,898      --.-K/s   in 0.04s   <br /> <br /> 2014-08-19 13:52:03 (378 KB/s) - `/dev/null' saved [15898]

Manuel Schmitt (manitu)

Danke! Prüfst Du das bitte nochmal?

Der Adminblogger

Jetzt kommt wie erwartet der 301.

JanS

Mal so ne Frage an die Spezis hier, gerade weil es ja auch durch die News ging, das Google https besser im Ranking darstellen lassen will.

Warum sind Zertifikate so teuer? Für nen automatisiert erstelltes Zertifikat und ggf. nen Brief über PostIdent?

Gibt es Alternativen damit ich auf https komme ohne Browsermeldung und ohne horrende Kosten? Ich bin Hobbyfotograf der einfach gerne https nutzen möchte. Kein Banker oder Anwalt wo meine Identität absolut 100pro bestätigt sein muss. Meinen Seitenbesucher möchte ich keine SSL Warnmeldungen zumuten. Da hab ich ja dann noch weniger Besucher.

Gruß
Jan

Tetja Rediske

Weil die Leute es bezahlen.

Kostengünstig, das Ausstellen umsonst, ist zum Beispiel startssl.com, allerdings kostet ein Revoke dort Geld, daher haben einige bei Heartbleed dort ganz schön geweint.

Florian Pritz

Revoken ist sowieso ziemlich sinnlos.

https://www.imperialviolet.org/2014/04/19/revchecking.html

Thomas Preissler

Das billigste was ich so gefunden habe waer http://www.prontossl.com/. Immer noch zuviel Geld fuer ein kleinen Haufen Zufall.
Fuer den Paranoiden kann ich das nicht empfehlen: Vor ein paar Jahren war deren root Zertifikate noch MD5 gehasht und "Email validated" (wobei letzters
bei allen Billiganbietern der Fall ist).

Und nun um nen Flamewar loszubrechen - mit DNSSEC und DANE wird eh alles besser.

Von StartSSL wuerd ich abraten, da Du keine Garantie hast, dass deren root Zertifikate in allen gaengigen Browsern ist. IIRC hatte es zum
Beispiel Debian vor ein paar Wochen entfernt (und es ist wiederum eine andere Frage wieviele Linux Benutzer Deine Seite hat). Nebenbei, der
Hintergrund war ein recht interessanter warum sie es entfernten... so manche Sachen nahm StartSSL nicht ernst genug (aber ich erinner mich nur vage).

HTH

Daniel Brandt

Per mod_rewrite ist nicht so die beste Version das umzusetzen. Besser per redirect umsetzen. Dann braucht man auch keinen mod_rewrite. Also:

Redirect permanent / https://www.manitu.de/

Siehe auch: https://wiki.apache.org/httpd/RedirectSSL

Korbinian

Passend zur Thematik auch dieses Blog: http://httpshaming.tumblr.com/ Da sieht man wer diesen Schritt alles noch nicht gegangen ist.

Thomas Preissler

Prima.
https://bettercrypto.org/static/applied-crypto-hardening.pdf und auch andere Seiten empfehlen groessere max-age Werte, so habe ich hauptsaechlich
ein halbes Jahr gefunden. Der maximal Wert is ubrigens 1 Jahr. Auf der anderen Seite macht es nicht sooo einen grossen Unterschied, der Browser spart sich nur dem 301 zu folgen, und die Seite ladet schneller... *g

https://www.virtuesecurity.com/blog/the-dos-and-donts-hsts/ schreibt interessanterweise dass der Browser HSTS headers auf der http:// Adresse ignoriert, was ja auch irgendwie Sinn macht, bei Lichte betrachtet, und kein Man-in-the-Middle kann Dir nen HSTS header unterjubeln, den Du Du nicht magst. Kann gut sein, dass ich das auf meiner Seite auch falsch gemacht hatte...

Die RFCs geben da leider nicht viel her... hmmmm.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen