Liebe Webmaster, habt ihr schon auf HTTPS umgestellt?

**Mawal** · 30.09.2016, 08:38

oder mercedes-benz.de

**NicoH** · 30.09.2016, 08:48

Danke Ulrich, danke alle. Ich mache mich mal schlau

**Mawal** · 30.09.2016, 09:01

mehr Info gibt es hier

https://security.googleblog.com/2016...ecure-web.html

**Maga** · 30.09.2016, 11:21

Danke Stefan für den Link. Aber wie Elmar schon richtig festgestellt hat, kostet mich der Spaß mit dem SSL mehr als mein Hosting im Jahr

**ferryporsche356** · 30.09.2016, 12:49

Ulrich, vielen Dank!

Ich habe direkt meine Marketinghelfer angemailt dass die sich bei meiner Seite bitte darum kümmern.

**NicoH** · 30.09.2016, 21:59

Zitat von Maga

macht das der Hoster (bei mir Strato.de) automatisch, oder muss ich da selbst aktiv werden?

Zitat von Spacewalker

Schau mal hier: https://www.strato.de/ssl-zertifikat/

Bei Strato war das jetzt wirklich einfach. Das SSL-Zertifikat ist inbegriffen, mit einem Klick aktiviert, innerhalb weniger Minuten aktiv, und die Umleitung funktioniert auch schon

**Spacewalker** · 30.09.2016, 22:41

Auch wenn ich deren Werbung mit dem Weltkugelmann hasse, der Laden kann was.

Änderungen sind erfolgen praktisch in Echtzeit. Bei anderen Anbietern dauert es oft bis zu 30 Minuten, bis auch nur eine Passwortänderung aktiv wird.

**dj74** · 01.10.2016, 17:43

Zitat von Mawal

Zertifikate kriegt man mittlerweile kostenlos u.a. bei "Let's encrypt".

Teuere Zertifikate beinhalten eine Versicherung und ggf eine Identitätsprüfung. Im Moment sind Zertifikate noch wie SMS früher viel zu teuer, da verdient jeder Depp dran, sprich die ausgebende Instanz, die validierende Instanz und der Webhost der sie den Kunden verkauft.

Aber der Markt für Zertis ist im Fluss.

Billige Zertifikate sind zwar wünschenswert für eine weite Verbreitung, aber zerstören den Wert der besseren Zertifikate.

Sinn der Sache war ja, dass man genau prüfen kann, mit WEM man da kommuniziert, nicht unbedingt, ob die Übertragung sicher ist. Dann hätte man auch einfach die Browser so einstellen können, dass sie jedes Zertifikat akzeptieren. Technisch gibt es bei der Qulität der Verschlüsselung keine nenneswerten unterschiede zwischen einem Gratiszertifikat und einem sackteuren TrueBusinessValidation Zertifikat.
Der Unterschied liegt in der Vertrauensstufe. Bei den teuren Zertifikaten (die auch die Adresszeile des Browsers so schön grün werden lassen) wird der Domaininhaber sehr gründlich überprüft, mit Handelsregisterauszug, Telefonat bis zu Notarbeglaubigung. Das macht so ein Zertifikat so teuer.

Die billigen Zertifikate prüfen meist gar nicht, wer da hinter der Domain steht und schicken maximal eine Verifikations-E-Mail an den Admin-C der Domain.
Durch die Schwemme an Billigzertifikaten wird meines Erachtens die Vertrauenshaltung in SSL-Zertifikate unterwandert.

Dann kann auch jede Phisingseite mit einem SSL-Zertifikat ausgestattet werden und der dumme Anwender hat ja gelernt, dass alles supersicher ist, wenn im Browser das Schlosssymbol in der Adresszeile geschlossen ist und gibt seine Daten dann halt über eine verschlüsselte Leitung an den Angreifer weiter...

Auch protokolltechnisch ist SSL im Nachteil, weil der Verbindungsaufbau deutlich mehr Overhead hat. Das merkt man am Rechner nicht unbedingt, aber mobil bei lansamer Verbindung ist das nicht ganz unerheblich. Um Bilder oder CSS-Dateine auszuliefern braucht es in der Regel keine SSL-Verschlüsselung, da ist auch der Durchsatz auf dem Server deutlich geringer...

Aber insgesamt begrüße ich eine Verschlüsselung aller Seiten durchaus, nur sollte man nicht einfach an ein Allheilmittel für alle Web-Probleme glauben.

**Treo** · 01.10.2016, 18:12

1und1 bietet sowas auch direkt an, sollte man dies dort direkt machen oder spricht da etwas gegen?

**Spacewalker** · 01.10.2016, 18:14

Bei http kann aber jeder, der im gleichen (W)LAN ist, alles mitsniffen.

Ich gehe daher z.B. nicht über ein Hotel-WLAN auf http-Seiten, wo ich ein Passwort eingeben muss.

Da würde auch eine https-Verbindung mit kostenlosem Zertifikat schon einigen Schutz bieten. Http ist dagegen offen wie eine Postkarte.

**NicoH** · 01.10.2016, 18:42

Ulrich, ich habe jetzt Folgendes gemacht:

1. Auf meiner Seite sind sämtliche internen Links als relative Links gesetzt.
2. SSL-Zertifikat für meine Domain aktiviert.
3. "https erzwingen" aktiviert.
4. 301-Weiterleitung aktiviert.
5. https://example.com und https://www.example.com als Properties in den Webmaster Tools eingerichtet.
6. Sitemap für https://example.com und https://www.example.com hinterlegt.
7. Im WP-Dashboard unter Einstellungen https://example.com als WP-Adresse angegeben.

Habe ich was vergessen?

Danke

**Mawal** · 01.10.2016, 18:55

Zitat von dj74

...
Auch protokolltechnisch ist SSL im Nachteil, weil der Verbindungsaufbau deutlich mehr Overhead hat. ...

zwei kleine Anmerkungen:

1. SSL ist veraltet, der aktuelle Standard ist TLS

https://www.globalsign.com/en/blog/s...ls-difference/

2. zum Thema Performance

So wild scheint es nicht zu sein

We didn’t see much of a delay from HTTPS and in fact some of the tests were faster! So the SSL performance impact is not as important as it used to be.

https://www.keycdn.com/blog/https-performance-overhead/

**Mawal** · 01.10.2016, 19:12

Zitat von NicoH

Ulrich, ich habe jetzt Folgendes gemacht:

1. Auf meiner Seite sind sämtliche internen Links als relative Links gesetzt.
2. SSL-Zertifikat für meine Domain aktiviert.
3. "https erzwingen" aktiviert.
4. 301-Weiterleitung aktiviert.
5. https://example.com und https://www.example.com als Properties in den Webmaster Tools eingerichtet.
6. Sitemap für https://example.com und https://www.example.com hinterlegt.
7. Im WP-Dashboard unter Einstellungen https://example.com als WP-Adresse angegeben.

Habe ich was vergessen?

Danke

Perfekt.

1. Ich gehe davon aus, dass du example.com bereits als bevorzugte domain (im Gegensatz zu www.example.com) angegeben hattest. Das bleibt so, wenn nicht nachholen.

2. Um das Indexieren zu beschleunigen kannst du bei den google webmaster tools deine Seiten unter "crawl>fetch as google" direkt einreichen.

3. Schritte 4 und 5 sind auch bei bing zu empfehlen

**NicoH** · 01.10.2016, 19:15

Danke!

Ja, example.com war und ist bevorzugte Domain.

Und das "Abrufen wie durch Google" mache ich regelmäßig - zumindest immer dann, wenn ich was Neues geschrieben habe.

Bing

Na gut, schaue ich mal rein...

**AndreasS** · 01.10.2016, 20:10

Ich hab heute auch umgestellt. Ging schneller und einfacher als gedacht. Bestimmt hab ich was falsch gemacht.

**dj74** · 02.10.2016, 12:53

Zitat von Mawal

zwei kleine Anmerkungen:

1. SSL ist veraltet, der aktuelle Standard ist TLS

https://www.globalsign.com/en/blog/s...ls-difference/

2. zum Thema Performance

So wild scheint es nicht zu sein
https://www.keycdn.com/blog/https-performance-overhead/

Ich habe SSL als Synonym für "Webverschlüsselung" verwendet.
Natürlich gibt es unzählige Varianten, von denen viele auch geknackt wurden und trotzdem als verschlüsselte Kommunikation anerkannt sind. Auch TLS wurde schon geknackt... kommt halt auf die Version an

Die Performancemessung aus dem Beitrag setzt sämtliche Technologoie ein, die in der Praxis kaum jemand fertig konfiguriert anbietet. Kann man eigentlich nur machen, wenn man seinen Server selbst betreibt.
HTTP/2 und Nginx wirst du bei den wenigsten Hostern voreingestellt finden, viele Browser können das auch noch nicht. Für Php7 sind auch viele Projekte nicht bereit oder nur mit Einschränkungen. Unter Laborbedingungen ist das alles ganz toll, nur in der Praxis leider noch nicht so weit.

Ich will SSL/TLS ja nicht schlecht reden und begrüße den Einsatz sogar sehr.
Ich wollte nur aufzeigen, dass die Medaille immer zwei Seiten hat.
Wo sensible Daten übermittelt werden, muss verschlüsselt werden, ganz klar.
Nur warum die Imageseite einer Firma verschlüsselt ausgeliefert werden muss, obwohl darauf null vertrauliche Information übermittelt wird, ist zumindest technisch nicht nachvollziehbar. Mna erhöht damit dann nur die gefühlte Sicherheit und kann sich dann damit brüsten, "Schaut her, wir verschlüsseln unseren Internetauftritt", nur ist das kein tatsächlicher Sicherheitsgewinn.

Wie auch immer, ich gehe davon aus, dass in wenigen Jahren (wenn sich auch HTTP/2 etabliert hat) quasi nur noch verschlüsselte Webseiten angeboten werden.

**Edmundo** · 21.12.2016, 09:33

Frage an die Cracks: SSL erzwingen - Ja oder Nein?

Bildschirmfoto 2016-12-21 um 09.30.35.png

**dj74** · 21.12.2016, 11:46

Ich weiß ja nicht, von welchem Tool der Screenshot ist, aber ich vermute, dass damit eine Zwangsumleitung unverschlüsselter Aufrufe zur verschlüsselten Variante gemeint ist.
Das macht man im Allgemeinen so, damit die Seite nicht unverschlüsselt aufgerufen werden kann.

Das kann aber in ungünstigen Fällen auch zu Fehlverhalten führen, z.B. falls Teile deiner Seite "hart" unverschlüsselt referenziert werden. Dann kann es z.B. zu Weiterleitungsschleifen kommen oder Problemen beim Senden von Formularen.

Ich würde es anschalten und dann die Seite durchtesten.

**Edmundo** · 21.12.2016, 12:38

Ok, danke. Scheint auch zu funktionieren. Dann werde ich nochmal testen in Ruhe.

Menü ist von meinem Provider all-inkl.

**mojohh** · 10.01.2017, 09:08

Zitat von elmar2001

Frage an die Cracks: SSL erzwingen - Ja oder Nein?

Bildschirmfoto 2016-12-21 um 09.30.35.png

Moin Elmar,

wo hast Du die Einstellungen gefunden?

Bist Du dieser Anleitung (mit eigenem Zertifikat) gefolgt?

https://all-inkl.com/wichtig/anleitu...fikat_397.html

Danke!

Thema: Liebe Webmaster, habt ihr schon auf HTTPS umgestellt?

Themen-Optionen

Thema durchsuchen

Anzeige

Ähnliche Themen

Habt ihr sowas schon mal gesehen???

Habt ihr schon einen Adventkalender?

Habt ihr schon die ...

Habt ihr schon gesehen?

Habt ihr alle schon ein Geschenk

Lesezeichen

Lesezeichen

Berechtigungen