Skip to content

SSL-Zertifikat von Let's Encrypt für alle neuen Webhosting-Pakete ab sofort Standard

Ab sofort bekommen alle neuen Webhosting-Pakete bei uns standardmäßig ein SSL-Zertifikat von Let's Encrypt mit Umleitung von http:// auf https://.

"to create a more secure and privacy-respecting Web."

Neukunden brauchen hier also nicht mehr tätig zu werden.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

NetzBlogR

Vielleicht nicht ganz themenrelevant, aber hier dürften sich einige Fachleute tummeln, daher frage ich es einfach mal:

Ich hatte vor einiger Zeit einen Artikel gelesen, kann ihn aber ums Verrecken nicht mehr finden. Ich bilde mir ein, in dem Artikel stand, man solle einen Redirect von HTTP auf HTTPS zuerst nur vorn machen und im zweiten Step z.B. von non-www auf www umleiten, weil das wohl besser wäre.

Daher meine Frage: Welche Umleitung ist wirklich sinnvoll?

HTTP ohne www -> HTTPS mit www
oder
HTTP ohne www -> HTTPS ohne www -> HTTPS mit www

Von der Logik her wäre ein Redirect weniger natürlich schlauer - aber ist er es auch technisch (z.B. aus SEO-Sicht)?

Anton

Es gibt keinen Grund, warum mehrere Redirects stattfinden sollten.

Somit:

http://example.com => https://www.example.com
http://www.example.com => https://www.example.com
https://example.com => https://www.example.com

Ist das SSL-Zertifikat nur für "www.example.com", nicht aber für "example.com", gültig - so ist der darauf folgende Redirect sowieso irrelevant: die Browser folgen dem Redirect erst, nachdem der Endbenutzer die Browser-Warnung ignoriert hat.

Daniel

Es gibt dafür einen sehr guten technischen Grund: Wenn man HSTS mit der direktive includeSubDomains betreiben möchte. IncludeSubDomains bewirkt, dass auch alle Subdomains nur noch über HTTPS vom Browser angefragt werden.

Die Direktive wird von den Browsern aber nur beachtet wenn sie bei einer Anfrage auf die Domain gesetzt ist. Also z.B. bei einer Anfrage auf example.com. www.example.com ist nur eine Subdomain von example.com weshalb die IncludeSubDomains direktive hier nicht beachtet wird.

Durch HSTS fällt der zusätzliche Redirect nur beim ersten Aufruf der Website an, da bei allen weiteren Anfragen www.example.com direkt über HTTPS angefragt wird.

Hier liegt aber auch das Problem für die IncludeSubDomains direktive: Da der Client example.com nach dem 1. Aufruf nie mehr aufruft verlängert sich die Laufzeit für die IncludeSubDomains direktive nicht. Nach Ablauf der Laufzeit würde eine erstmalige Anfrage auf http://nochniebesucht.example.com erst einmal über http erfolgen, da https nicht durch den Browser erzwungen wird.

Um dies zu vermeiden sollte auf der Website unter www.example.com mindestens eine Ressource von https://example.com geladen werden. Das kann z.B. ein Zählpixel sein. Somit wird die Laufzeit für die IncludeSubDomains direktive verlängert.

Für https://www.example.com gibt es dieses Problem nicht, da bei jedem Aufruf der Seite der HSTS Header mit Gültigkeit für diese Subdomain mitgeschickt wird und sich die Laufzeit somit verlängert.

allo

SEO erzählen dir viel wenn der Tag lang ist und jeder weiß natürlich besser als alle anderen wie Google funktioniert.

Es gibt ein paar interessante technische Faktoren:
- Ggf. hat die erste Domain gar kein gültiges Zertifikat? Dann http->http zuerst
- Wenn du zuerst http->https machst ist der zweite Redirect schon durch https gegen Veränderung und mitlesen geschützt
- HSTS (musst du aktivieren) wird sowieso http->https auf der gleichen Domain erzwingen wenn der User einmal auf https war, was wieder zu http->https zuerst führt

Google wird sowieso die endgültige Domain mit https bevorzugen.

A. Siegert

Hmm,
ich frage mich wie man so eine Phishing Schleuder unterstützen kann:

https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/

http://m.slashdot.org/story/324141

Diese CA is noch schlimmer als Verisign...

Andreas

Ich hab Lets Encrypt bei mir das Vertrauen entzogen.

Wie auch einigen anderen CAs.

janxb

Was für ein Unsinn von A. Siegert und Andreas (sind die identisch? ;) ).

Was kann eine CA dafür, wenn ihre Zertifikate für illegale Zwecke verwendet werden. Was kann die Zulassungsbehörde dafür, wenn deren Kennzeichen an einem Fluchtfahrzeug angebracht sind. Dafür ist SSL nun mal nicht da.. Und sichere Verbindungen sind nun mal möglich, also alle Anforderungen erfüllt. Für alles andere gibt es EV-Zertifikate, die sind aus gutem Grund bei LE aber nicht verfügbar ;)

Andreas

Benutz mal deinen Kopf dann kommst du drauf.

Das Problem ist die Benutzer sehen ein grünes Schloss in ihrem Firefox, und denken die Seite wäre sicher.

Das sollte aber nicht sein, fertig aus.

Dass dem in Wirklichkeit nicht so ist, das weiß der normale User nicht. Woher auch?

Aufklärung wird keine Betrieben.

Let's Encrypt haben bewiesen dass es nicht geht. Das rein gar nichts mit "kostenlos" zu tun also versuch nicht mir Dinge in den Mund zu legen die ich nie gesagt habe.

Andreas

Der Vergleich mit dem Kennzeichen ist übrigens Blödsinn.


Wie wäre es damit. Wir geben jedem der sich meldet eine Uniform und einen Ausweis dass sie FAST genau so aussehen wie Polizisten, nur wenn man im Ausweis nach ließt findet man die Info dass sie keine sind. Nur dass sie Bewaffnet sind.

Genau das passiert hier nämlich.


Dazu kommt dass wir die User ja noch dazu trainieren Warnmeldung zu ignorieren.
Gerade Firefox mit seiner dämlichen Warnung wenn man irgendwo ein Kennwort eingebt und nix verschlüsselt ist.

Was macht man? Genau, man deaktiviert diesen Unfug.

Dieses ganze "sicherer sicherer sicherer" ist in blinden Aktionismus ausgeartet und die User werden immer mehr darauf konditioniert die Sicherheit fallen zu lassen, weil sie sich diese halbgaren Konzepte, welche sie nur nerven, nicht geben wollen.

Matthias

Wie janxb schon erwähnte ist die einzige Intention von LE den Internettraffic zu verschlüsseln und nicht um damit falsches Vertrauen zu gewinnen.

LE per se das Vertrauen zu entziehen nur weil es diese Zertifikate kostenlos gibt (das aber auch nur begrenzt) ist der falsche Ansatz. Mit einem DV Zertifikat kann man genauso viel betrügen, muss aber je nach Anbieter wenige Euros dafür zahlen. Eine Domainvalidation ist auch bei LE Pflicht(!). Damit unterscheiden sich LE und DV Zertifkate nur noch im Preis. Und warum sollte man kostenlose Zertifikate nicht vertrauen, sind alle anderen Validierungen doch die gleichen?

Für kritische Applikationen ist weder ein LE noch ein DV Zertifikat geeignet.

A. Siegert

LE macht überhaupt keine Domain Validation. Das ist ja das Problem.
Sie prüfen nur ob zum Zeitpunkt der Bestellung der Besteller genügend Kontrolle über den Server hat um dort eine Datei abzulegen die dann von LE gelesen wird.

Damit wird es eben signifikant einfacher vollautomatisiert phising sites zu generieren die für Normaluser als sichere Seiten auftauchen.
Otto Normalverbraucher ist seit Jahren drauf getrimmt worden dem Schloss Symbol im Browser zu vertrauen.
Das ein Zertifikat primär mal der Verschlüsselung dient, weiß der Normaluser nicht.
Diese Kombination macht das ganze so problematisch.

Die Aussage dass LE für kritische Applikationen nicht geeignet ist, geht am Problem vorbei.
Ich kann für mich selber ein EV Zertifikat besorgen. Das verhindert aber nicht, dass ein Phiser bei LE ein Zertifikat für eine Lookalike-Domain bekommt. Und Otto Normalverbraucher hat Null Ahnung davon wie er denn verschiedene Zertifikatsketten und Vertrauensverhältnisse prüfen könnte, der schaut maximal auf das Schloss Symbol.

Chris

Die Schuld kann aber nicht auf LE geschoben werden.
Wenn sich ein Benutzer nicht auskennt und einem einfachen Symbol vertraut ist das seine eigene Schuld. Selbst die einfach gestrickten Medien für Endbenutzer wie Computer Bild u.ä. erklären immer wieder was dahinter steckt.

Andreas

Nein daran sind WIR schuld die Nerds.

Denn Niemand klärt die User auf. Aber frag doch mal deine Großmutter ob sie den Unterschied kennt.

Dieses Schwachsinns Argument von "selbst schuld" zieht nicht.

Lass dir was anderes einfallen.

Stefan

Die Domain-Validation läuft bei anderen Anbietern genau so ab wie bei LE.

A. Siegert

Also alle nicht EV Zertifikate die ich bisher bei diversen Anbietern bestellt habe, hatten mehr Prüfungen als nur den Zugriffscheck wie bei LE.

Andreas

wir verkaufen auch Zertifikate als Reseller und da wird definitiv nich mehr geprüft als bei LE - wahlweise DNS-Eintrag oder Datei ablegen, also genau wie bei LE.

alx

Wobei der letzte Satz das eigentliche Problem trifft. Browser machen es dem Benutzer unnötig kompliziert, zwischen DV und OV zu unterscheiden, lediglich EV wird anders dargestellt. Was aber wahrscheinlich an den CAs liegt, die teure EVs verkaufen wollen...

Kommentar schreiben


Wichtiger Hinweis: Wer hier aus SEO- oder anderen Werbe-Gründen auf eine kommerzielle Seite verlinkt,
geht einen Vertrag über kostenpflichtige Werbung ein. Konditionen und weitere Hinweise.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen