Hier betreiben ja etliche Foris eine eigene Webseite. Bisher war https etwas für ecommmerce, banking und social media Seiten, das ändert sich.

Google legt einen Zahn zu bei seiner "https everywhere" Initiative

In absehbarer Zeit wird Chrome alle http Seiten so anzeigen:

132257

Übrigens, wer ein Kontaktformular auf einer unverschlüsselten (http) Seite hostet, riskiert schon heute eine Abmahnung.

Die Migration ist übrigens kein Hexenwerk. Wer mit Wordpress arbeitet, wird die Plugins Better Search Replace und Really Simple SSL hilfreich.

Nach der Umstellung die https Version als zusätzliche property in der google search console (webmaster tools) anmelden und sitemap hinterlegen.

Wie finde ich heraus, ob meine Seite HTTP oder HTTPS ist?

Gib mal deine Adresse in den Browser ein. Bei Firefox reicht ein klick auf die kleine Weltkugel neben "www" und es wird angezeigt: "Die Verbindung zu dieser Website ist nicht verschlüsselt".

IE zeigt es direkt an. der string lautet http://www.weiter-mit-reiter.de

bei Chrome im Browserfenster auf das i im Kreis klicken, generell ist das Schloss zu im Browserfenster https

Danke Flo und Ulrich :dr:

Gute Info, Danke!

Danke Ulle :dr:

macht das der Hoster (bei mir Strato.de) automatisch, oder muss ich da selbst aktiv werden?

.

Ulrich: Ich verstehe Dich so, dass Google unsichere http-Seiten abwertet und sichere https-Seiten aufwertet.

Hat https einen anderen Vorteil als das Google-Ranking? Gibt es einen Grund dafür, dass https-Seiten aufgewertet werden? Warum müssten etwa meine Seite oder die hier genannte von Joe "gesichert" werden? Nur für Google?

Weil mit HTTPS auf dem Transportweg niemand sieht, welche Seiten und Inhalte einer Domain du ansurfst. Google sorgt sich um deinen Datenschutz, so skurril dies bei genauer Betrachtung auch erscheinen mag.

Vorteile jenseits von google und ranking

1. Wer ein Kontaktformular hat, it mit https vor Abmahnungen sicher

2. Wer sich in seine Seite einloggt, kann sich sicher sein, dass niemand sein Passwort abfischt


Am Ende ist das wie mit der Einführung der Sicherheitsgurte, in 99% ist macht es keinen Unterschied. In einem 1% aber schon und dann deutlich. Letztlich ist das aber egal, weil der Standard sich verändert, und Seiten ohne https Substandard werden.

Wer geht denn noch zukünftig auf eine Seite, wenn der Browser diese deutlich als unsicher markiert.

Ulrich: Ich verstehe Dich so, dass Google unsichere http-Seiten abwertet und sichere https-Seiten aufwertet.

Hat https einen anderen Vorteil als das Google-Ranking? Gibt es einen Grund dafür, dass https-Seiten aufgewertet werden? Warum müssten etwa meine Seite oder die hier genannte von Joe "gesichert" werden? Nur für Google?

Nur für Ulrich und google.
Ansonsten tut dich hier erst mal gar nichts.
Puuuh, ich dachte schon Trump wäre Präsident.

D.h. für jede Seite sollte man zukünftig ein SSL Zertifikat kaufen. Das kostet ja auch um die 100 Euro meist. Das wird viele privaten Seitenbetreiber schon erheblich treffen, da sie da ja nun statt 12 Euro Domaingebühren pro Jahr nun 112 Euro kostet, was ja nicht unerheblich ist.

Elmar, ich bin bei dir. Wenn ich aber Ulrich richtig verstehe, ist es in erster Linie für die Betreiber unerlässlich, die Daten vom "Kunden" entgegennehmen, sei es über ein Formular o.ä. . Muss eine Umstellung auf https auch erfolgen, wenn eine Homepage nur lesbare Infos enthält, ohne Kundeneingaben?

Das ist wohl der Punkt:


Wer geht denn noch zukünftig auf eine Seite, wenn der Browser diese deutlich als unsicher markiert.

Und das machen die ja pauschal.

Imho müsste man die SSL Zertifikate dann entsprechend preislich anpassen, damit das funktioniert.

BTW: Wer bekommt eigentlich das Geld für das Zertifikat?

Zertifikate kriegt man mittlerweile kostenlos u.a. bei "Let's encrypt" (https://letsencrypt.org/).

Teuere Zertifikate beinhalten eine Versicherung und ggf eine Identitätsprüfung. Im Moment sind Zertifikate noch wie SMS früher viel zu teuer, da verdient jeder Depp dran, sprich die ausgebende Instanz, die validierende Instanz und der Webhost der sie den Kunden verkauft.

Aber der Markt für Zertis ist im Fluss.

Danke Ulle :dr:

macht das der Hoster (bei mir Strato.de) automatisch, oder muss ich da selbst aktiv werden?

Schau mal hier: https://www.strato.de/ssl-zertifikat/ :dr:

Gib mal deine Adresse in den Browser ein. Bei Firefox reicht ein klick auf die kleine Weltkugel neben "www" und es wird angezeigt: "Die Verbindung zu dieser Website ist nicht verschlüsselt".

so wie bei r-l-x.de ? ;)

oder mercedes-benz.de =)

Danke Ulrich, danke alle. Ich mache mich mal schlau :gut:

mehr Info gibt es hier

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Danke Stefan für den Link. Aber wie Elmar schon richtig festgestellt hat, kostet mich der Spaß mit dem SSL mehr als mein Hosting im Jahr 8o

Ulrich, vielen Dank!

Ich habe direkt meine Marketinghelfer angemailt dass die sich bei meiner Seite bitte darum kümmern. :D

macht das der Hoster (bei mir Strato.de) automatisch, oder muss ich da selbst aktiv werden?


Schau mal hier: https://www.strato.de/ssl-zertifikat/ :dr:

Bei Strato war das jetzt wirklich einfach. Das SSL-Zertifikat ist inbegriffen, mit einem Klick aktiviert, innerhalb weniger Minuten aktiv, und die Umleitung funktioniert auch schon :gut:

Auch wenn ich deren Werbung mit dem Weltkugelmann hasse, der Laden kann was.

Änderungen sind erfolgen praktisch in Echtzeit. Bei anderen Anbietern dauert es oft bis zu 30 Minuten, bis auch nur eine Passwortänderung aktiv wird.

Zertifikate kriegt man mittlerweile kostenlos u.a. bei "Let's encrypt" (https://letsencrypt.org/).

Teuere Zertifikate beinhalten eine Versicherung und ggf eine Identitätsprüfung. Im Moment sind Zertifikate noch wie SMS früher viel zu teuer, da verdient jeder Depp dran, sprich die ausgebende Instanz, die validierende Instanz und der Webhost der sie den Kunden verkauft.

Aber der Markt für Zertis ist im Fluss.

Billige Zertifikate sind zwar wünschenswert für eine weite Verbreitung, aber zerstören den Wert der besseren Zertifikate.

Sinn der Sache war ja, dass man genau prüfen kann, mit WEM man da kommuniziert, nicht unbedingt, ob die Übertragung sicher ist. Dann hätte man auch einfach die Browser so einstellen können, dass sie jedes Zertifikat akzeptieren. Technisch gibt es bei der Qulität der Verschlüsselung keine nenneswerten unterschiede zwischen einem Gratiszertifikat und einem sackteuren TrueBusinessValidation Zertifikat.
Der Unterschied liegt in der Vertrauensstufe. Bei den teuren Zertifikaten (die auch die Adresszeile des Browsers so schön grün werden lassen) wird der Domaininhaber sehr gründlich überprüft, mit Handelsregisterauszug, Telefonat bis zu Notarbeglaubigung. Das macht so ein Zertifikat so teuer.

Die billigen Zertifikate prüfen meist gar nicht, wer da hinter der Domain steht und schicken maximal eine Verifikations-E-Mail an den Admin-C der Domain.
Durch die Schwemme an Billigzertifikaten wird meines Erachtens die Vertrauenshaltung in SSL-Zertifikate unterwandert.

Dann kann auch jede Phisingseite mit einem SSL-Zertifikat ausgestattet werden und der dumme Anwender hat ja gelernt, dass alles supersicher ist, wenn im Browser das Schlosssymbol in der Adresszeile geschlossen ist und gibt seine Daten dann halt über eine verschlüsselte Leitung an den Angreifer weiter... :ka:

Auch protokolltechnisch ist SSL im Nachteil, weil der Verbindungsaufbau deutlich mehr Overhead hat. Das merkt man am Rechner nicht unbedingt, aber mobil bei lansamer Verbindung ist das nicht ganz unerheblich. Um Bilder oder CSS-Dateine auszuliefern braucht es in der Regel keine SSL-Verschlüsselung, da ist auch der Durchsatz auf dem Server deutlich geringer...

Aber insgesamt begrüße ich eine Verschlüsselung aller Seiten durchaus, nur sollte man nicht einfach an ein Allheilmittel für alle Web-Probleme glauben.

1und1 bietet sowas auch direkt an, sollte man dies dort direkt machen oder spricht da etwas gegen?

Bei http kann aber jeder, der im gleichen (W)LAN ist, alles mitsniffen.

Ich gehe daher z.B. nicht über ein Hotel-WLAN auf http-Seiten, wo ich ein Passwort eingeben muss.

Da würde auch eine https-Verbindung mit kostenlosem Zertifikat schon einigen Schutz bieten. Http ist dagegen offen wie eine Postkarte.

Ulrich, ich habe jetzt Folgendes gemacht:

1. Auf meiner Seite sind sämtliche internen Links als relative Links gesetzt.
2. SSL-Zertifikat für meine Domain aktiviert.
3. "https erzwingen" aktiviert.
4. 301-Weiterleitung aktiviert.
5. https://example.com und https://www.example.com als Properties in den Webmaster Tools eingerichtet.
6. Sitemap für https://example.com und https://www.example.com hinterlegt.
7. Im WP-Dashboard unter Einstellungen https://example.com als WP-Adresse angegeben.

Habe ich was vergessen? :grb:

Danke :dr:

...
Auch protokolltechnisch ist SSL im Nachteil, weil der Verbindungsaufbau deutlich mehr Overhead hat. ...


zwei kleine Anmerkungen:

1. SSL ist veraltet, der aktuelle Standard ist TLS

https://www.globalsign.com/en/blog/ssl-vs-tls-difference/


2. zum Thema Performance

So wild scheint es nicht zu sein


We didn’t see much of a delay from HTTPS and in fact some of the tests were faster! So the SSL performance impact is not as important as it used to be.

https://www.keycdn.com/blog/https-performance-overhead/

Ulrich, ich habe jetzt Folgendes gemacht:

1. Auf meiner Seite sind sämtliche internen Links als relative Links gesetzt.
2. SSL-Zertifikat für meine Domain aktiviert.
3. "https erzwingen" aktiviert.
4. 301-Weiterleitung aktiviert.
5. https://example.com und https://www.example.com als Properties in den Webmaster Tools eingerichtet.
6. Sitemap für https://example.com und https://www.example.com hinterlegt.
7. Im WP-Dashboard unter Einstellungen https://example.com als WP-Adresse angegeben.

Habe ich was vergessen? :grb:

Danke :dr:

Perfekt.

1. Ich gehe davon aus, dass du example.com bereits als bevorzugte domain (im Gegensatz zu www.example.com) angegeben hattest. Das bleibt so, wenn nicht nachholen.

2. Um das Indexieren zu beschleunigen kannst du bei den google webmaster tools deine Seiten unter "crawl>fetch as google" direkt einreichen.

3. Schritte 4 und 5 sind auch bei bing zu empfehlen

Danke!

Ja, example.com war und ist bevorzugte Domain.

Und das "Abrufen wie durch Google" mache ich regelmäßig - zumindest immer dann, wenn ich was Neues geschrieben habe.

Bing :kriese: Na gut, schaue ich mal rein... ;)

:dr:

Ich hab heute auch umgestellt. Ging schneller und einfacher als gedacht. Bestimmt hab ich was falsch gemacht. :rofl:

zwei kleine Anmerkungen:

1. SSL ist veraltet, der aktuelle Standard ist TLS

https://www.globalsign.com/en/blog/ssl-vs-tls-difference/


2. zum Thema Performance

So wild scheint es nicht zu sein
https://www.keycdn.com/blog/https-performance-overhead/


Ich habe SSL als Synonym für "Webverschlüsselung" verwendet.
Natürlich gibt es unzählige Varianten, von denen viele auch geknackt wurden und trotzdem als verschlüsselte Kommunikation anerkannt sind. Auch TLS wurde schon geknackt... kommt halt auf die Version an :)

Die Performancemessung aus dem Beitrag setzt sämtliche Technologoie ein, die in der Praxis kaum jemand fertig konfiguriert anbietet. Kann man eigentlich nur machen, wenn man seinen Server selbst betreibt.
HTTP/2 und Nginx wirst du bei den wenigsten Hostern voreingestellt finden, viele Browser können das auch noch nicht. Für Php7 sind auch viele Projekte nicht bereit oder nur mit Einschränkungen. Unter Laborbedingungen ist das alles ganz toll, nur in der Praxis leider noch nicht so weit.

Ich will SSL/TLS ja nicht schlecht reden und begrüße den Einsatz sogar sehr.
Ich wollte nur aufzeigen, dass die Medaille immer zwei Seiten hat.
Wo sensible Daten übermittelt werden, muss verschlüsselt werden, ganz klar.
Nur warum die Imageseite einer Firma verschlüsselt ausgeliefert werden muss, obwohl darauf null vertrauliche Information übermittelt wird, ist zumindest technisch nicht nachvollziehbar. Mna erhöht damit dann nur die gefühlte Sicherheit und kann sich dann damit brüsten, "Schaut her, wir verschlüsseln unseren Internetauftritt", nur ist das kein tatsächlicher Sicherheitsgewinn.

Wie auch immer, ich gehe davon aus, dass in wenigen Jahren (wenn sich auch HTTP/2 etabliert hat) quasi nur noch verschlüsselte Webseiten angeboten werden.

Frage an die Cracks: SSL erzwingen - Ja oder Nein?

138468

Ich weiß ja nicht, von welchem Tool der Screenshot ist, aber ich vermute, dass damit eine Zwangsumleitung unverschlüsselter Aufrufe zur verschlüsselten Variante gemeint ist.
Das macht man im Allgemeinen so, damit die Seite nicht unverschlüsselt aufgerufen werden kann.

Das kann aber in ungünstigen Fällen auch zu Fehlverhalten führen, z.B. falls Teile deiner Seite "hart" unverschlüsselt referenziert werden. Dann kann es z.B. zu Weiterleitungsschleifen kommen oder Problemen beim Senden von Formularen.

Ich würde es anschalten und dann die Seite durchtesten.

Ok, danke. Scheint auch zu funktionieren. Dann werde ich nochmal testen in Ruhe.

Menü ist von meinem Provider all-inkl.

Frage an die Cracks: SSL erzwingen - Ja oder Nein?

138468

Moin Elmar,

wo hast Du die Einstellungen gefunden?

Bist Du dieser Anleitung (mit eigenem Zertifikat) gefolgt?

https://all-inkl.com/wichtig/anleitungen/kas/ssl-schutz-ssl-einstellungen/ssl-zertifikat/einbindung-selbstsigniertes-ssl-zertifikat_397.html

Danke!