Dienstag, 18. April 2017, 12:31
SSL-Zertifikat von Let's Encrypt für alle neuen Webhosting-Pakete ab sofort Standard
Ab sofort bekommen alle neuen Webhosting-Pakete bei uns standardmäßig ein SSL-Zertifikat von Let's Encrypt mit Umleitung von http:// auf https://.
Neukunden brauchen hier also nicht mehr tätig zu werden.
"to create a more secure and privacy-respecting Web."
Neukunden brauchen hier also nicht mehr tätig zu werden.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
NetzBlogR
Ich hatte vor einiger Zeit einen Artikel gelesen, kann ihn aber ums Verrecken nicht mehr finden. Ich bilde mir ein, in dem Artikel stand, man solle einen Redirect von HTTP auf HTTPS zuerst nur vorn machen und im zweiten Step z.B. von non-www auf www umleiten, weil das wohl besser wäre.
Daher meine Frage: Welche Umleitung ist wirklich sinnvoll?
HTTP ohne www -> HTTPS mit www
oder
HTTP ohne www -> HTTPS ohne www -> HTTPS mit www
Von der Logik her wäre ein Redirect weniger natürlich schlauer - aber ist er es auch technisch (z.B. aus SEO-Sicht)?
Anton
Somit:
http://example.com => https://www.example.com
http://www.example.com => https://www.example.com
https://example.com => https://www.example.com
Ist das SSL-Zertifikat nur für "www.example.com", nicht aber für "example.com", gültig - so ist der darauf folgende Redirect sowieso irrelevant: die Browser folgen dem Redirect erst, nachdem der Endbenutzer die Browser-Warnung ignoriert hat.
Daniel
Die Direktive wird von den Browsern aber nur beachtet wenn sie bei einer Anfrage auf die Domain gesetzt ist. Also z.B. bei einer Anfrage auf example.com. www.example.com ist nur eine Subdomain von example.com weshalb die IncludeSubDomains direktive hier nicht beachtet wird.
Durch HSTS fällt der zusätzliche Redirect nur beim ersten Aufruf der Website an, da bei allen weiteren Anfragen www.example.com direkt über HTTPS angefragt wird.
Hier liegt aber auch das Problem für die IncludeSubDomains direktive: Da der Client example.com nach dem 1. Aufruf nie mehr aufruft verlängert sich die Laufzeit für die IncludeSubDomains direktive nicht. Nach Ablauf der Laufzeit würde eine erstmalige Anfrage auf http://nochniebesucht.example.com erst einmal über http erfolgen, da https nicht durch den Browser erzwungen wird.
Um dies zu vermeiden sollte auf der Website unter www.example.com mindestens eine Ressource von https://example.com geladen werden. Das kann z.B. ein Zählpixel sein. Somit wird die Laufzeit für die IncludeSubDomains direktive verlängert.
Für https://www.example.com gibt es dieses Problem nicht, da bei jedem Aufruf der Seite der HSTS Header mit Gültigkeit für diese Subdomain mitgeschickt wird und sich die Laufzeit somit verlängert.
allo
Es gibt ein paar interessante technische Faktoren:
- Ggf. hat die erste Domain gar kein gültiges Zertifikat? Dann http->http zuerst
- Wenn du zuerst http->https machst ist der zweite Redirect schon durch https gegen Veränderung und mitlesen geschützt
- HSTS (musst du aktivieren) wird sowieso http->https auf der gleichen Domain erzwingen wenn der User einmal auf https war, was wieder zu http->https zuerst führt
Google wird sowieso die endgültige Domain mit https bevorzugen.
A. Siegert
ich frage mich wie man so eine Phishing Schleuder unterstützen kann:
https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/
http://m.slashdot.org/story/324141
Diese CA is noch schlimmer als Verisign...
Andreas
Wie auch einigen anderen CAs.
janxb
Was kann eine CA dafür, wenn ihre Zertifikate für illegale Zwecke verwendet werden. Was kann die Zulassungsbehörde dafür, wenn deren Kennzeichen an einem Fluchtfahrzeug angebracht sind. Dafür ist SSL nun mal nicht da.. Und sichere Verbindungen sind nun mal möglich, also alle Anforderungen erfüllt. Für alles andere gibt es EV-Zertifikate, die sind aus gutem Grund bei LE aber nicht verfügbar
Andreas
Das Problem ist die Benutzer sehen ein grünes Schloss in ihrem Firefox, und denken die Seite wäre sicher.
Das sollte aber nicht sein, fertig aus.
Dass dem in Wirklichkeit nicht so ist, das weiß der normale User nicht. Woher auch?
Aufklärung wird keine Betrieben.
Let's Encrypt haben bewiesen dass es nicht geht. Das rein gar nichts mit "kostenlos" zu tun also versuch nicht mir Dinge in den Mund zu legen die ich nie gesagt habe.
Andreas
Wie wäre es damit. Wir geben jedem der sich meldet eine Uniform und einen Ausweis dass sie FAST genau so aussehen wie Polizisten, nur wenn man im Ausweis nach ließt findet man die Info dass sie keine sind. Nur dass sie Bewaffnet sind.
Genau das passiert hier nämlich.
Dazu kommt dass wir die User ja noch dazu trainieren Warnmeldung zu ignorieren.
Gerade Firefox mit seiner dämlichen Warnung wenn man irgendwo ein Kennwort eingebt und nix verschlüsselt ist.
Was macht man? Genau, man deaktiviert diesen Unfug.
Dieses ganze "sicherer sicherer sicherer" ist in blinden Aktionismus ausgeartet und die User werden immer mehr darauf konditioniert die Sicherheit fallen zu lassen, weil sie sich diese halbgaren Konzepte, welche sie nur nerven, nicht geben wollen.
Matthias
LE per se das Vertrauen zu entziehen nur weil es diese Zertifikate kostenlos gibt (das aber auch nur begrenzt) ist der falsche Ansatz. Mit einem DV Zertifikat kann man genauso viel betrügen, muss aber je nach Anbieter wenige Euros dafür zahlen. Eine Domainvalidation ist auch bei LE Pflicht(!). Damit unterscheiden sich LE und DV Zertifkate nur noch im Preis. Und warum sollte man kostenlose Zertifikate nicht vertrauen, sind alle anderen Validierungen doch die gleichen?
Für kritische Applikationen ist weder ein LE noch ein DV Zertifikat geeignet.
A. Siegert
Sie prüfen nur ob zum Zeitpunkt der Bestellung der Besteller genügend Kontrolle über den Server hat um dort eine Datei abzulegen die dann von LE gelesen wird.
Damit wird es eben signifikant einfacher vollautomatisiert phising sites zu generieren die für Normaluser als sichere Seiten auftauchen.
Otto Normalverbraucher ist seit Jahren drauf getrimmt worden dem Schloss Symbol im Browser zu vertrauen.
Das ein Zertifikat primär mal der Verschlüsselung dient, weiß der Normaluser nicht.
Diese Kombination macht das ganze so problematisch.
Die Aussage dass LE für kritische Applikationen nicht geeignet ist, geht am Problem vorbei.
Ich kann für mich selber ein EV Zertifikat besorgen. Das verhindert aber nicht, dass ein Phiser bei LE ein Zertifikat für eine Lookalike-Domain bekommt. Und Otto Normalverbraucher hat Null Ahnung davon wie er denn verschiedene Zertifikatsketten und Vertrauensverhältnisse prüfen könnte, der schaut maximal auf das Schloss Symbol.
Chris
Wenn sich ein Benutzer nicht auskennt und einem einfachen Symbol vertraut ist das seine eigene Schuld. Selbst die einfach gestrickten Medien für Endbenutzer wie Computer Bild u.ä. erklären immer wieder was dahinter steckt.
Andreas
Denn Niemand klärt die User auf. Aber frag doch mal deine Großmutter ob sie den Unterschied kennt.
Dieses Schwachsinns Argument von "selbst schuld" zieht nicht.
Lass dir was anderes einfallen.
Stefan
A. Siegert
Andreas
alx