1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Was ist mit dem SSL-Zertifikat passiert (https)?

Dieses Thema im Forum "Feedback zur Webseite" wurde erstellt von jm009, 28.06.2017.

Schlagworte:
  1. jm009

    jm009

    Beiträge:
    55
    Hat SSL / https nicht früher mal funktioniert?
    Heute komme ich nur ohne SSL (https) auf cargobikeforum.de, also unsicher.
    Wenn ich auf https://cargobikeforum.de oder https://www.cargobikeforum.de gehe, kommt erst eine Warnung, dass das Zertifikat nicht für cargobikeforum.de sondern für your-server.de ist, und dann kommt nur ein Login zu einer internen Administrationsseite.
     
  2. triton-mole

    triton-mole

    Beiträge:
    720
    Ort:
    99817Eisenach
    Lastenrad:
    Yuba Mundo
    Ist mir auch schon vor einer Weile merwürdig vorgekommen, daß mein Firefox beim Login mich auf fehlendes SSL hinweist.
    Ich schob es auf ein Update im Firefox, weil ich nicht sicher war, ob es vorher SSL gegeben hatte.

    Vermutlich muss die Zertifizierung alle paar Jahre kostenpflichtig erneuert werden, was Reinhard sich ersparen wollte.
    Keine Ahnung was so was kostet.
    Ich weiß aber, daß der Betrieb so eines Forums viel Arbeit und auch Geld kostet und Reinhard macht das, wie er an anderer Stelle schon sagte, nebenher als Hobby.
    Von daher könnte ich schon verstehen, wenn er das SSL-Zertifikat nicht hatte erneuern lassen, sondern jetzt auf SSL verzichtet.
     
  3. jm009

    jm009

    Beiträge:
    55
    Inzwischen bekommt man für Webseiten kostenlose Zertifikate von https://letsencrypt.org/
    Das kann ich weiterempfehlen.
    Ich frage mich auch, ob das nur ein Browserupdate ist, das mich jetzt auf die fehlende Verschlüsselung hinweist, oder ob das eben jetzt neu ist, oder ob ich sogar einen Virus oder so etwas auf meinem Rechner habe...:confused:
     
  4. triton-mole

    triton-mole

    Beiträge:
    720
    Ort:
    99817Eisenach
    Lastenrad:
    Yuba Mundo
    Also einen Virus kann ich in meinem Falle ziemlich sicher ausschließen. Ich fahre mit Linux, da passiert das nicht so schnell.
    Aber das mit den kostenlosen Zertifikaten ist interessant.

    @Reinhard , hast Du in Sachen SSL in den letzten Wochen etwas an Deinen Servern verändert oder kommt uns das nur so vor?
     
  5. Reinhard

    Reinhard Administrator

    Beiträge:
    367
    Ort:
    48599 Gronau-Epe
    Lastenrad:
    CargoBike Long
    Ich hab nix verändert, aber manche Browser geben seit Jahresanfang eine Warnung aus, wenn keine HTTPS-Seite aufgerufen wird. Wird hier sicherlich auch noch kommen und zwar dann, wenn ich Zeit dafür habe.
     
    knarf und cubernaut gefällt das.
  6. jm009

    jm009

    Beiträge:
    55
    Vermutlich ist es wirklich mein Firefox-Update, und ich habe das bisher einfach nicht bewusst registriert. Seit Firefox 51 wird links in der URL-Leiste eine Warnung angezeigt, und seit Firefox 52 im Passwort-Feld selbst.
    https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox

    Das wäre laut /usr/share/doc/firefox-esr/changelog.Debian.gz in meinem Debian Jessie seit 9. März 2017 (Version 52) und 25. Januar 2017 (Version 51). Ja, kann schon sein, dass ich das seither nicht bemerkt habe, wobei das schon lange ist... aber ok, ich war auch lange nicht im cargobikeforum.de angemeldet.
     
  7. Reinhard

    Reinhard Administrator

    Beiträge:
    367
    Ort:
    48599 Gronau-Epe
    Lastenrad:
    CargoBike Long
    Diese Seite wurde nun auf HTTPS-Protokoll, also mit verschlüsselter Übertragung, umgestellt.

    Hinweis: die Anmeldedaten fürs Forum werden vermutlich bei Euch neu abgefragt ... Wer sein Passwort vergessen hat, klickt bitte hier ...
     
    Zuletzt bearbeitet: 03.07.2017
  8. toertsche

    toertsche

    Beiträge:
    56
    Lastenrad:
    Packster 60 Nuvinci
    Sehr schön, danke
     
  9. triton-mole

    triton-mole

    Beiträge:
    720
    Ort:
    99817Eisenach
    Lastenrad:
    Yuba Mundo
    Ein Traum!

    Verschlüsselte Verbindungen gefallen mir einfach viel besser!
     
  10. Raton

    Raton

    Beiträge:
    203
    Lastenrad:
    JL Custom
    Warum braucht man denn in einem Forum https ?
    Alles was man hier schreibt ist bis jetzt unverschlüsselt :sleep:

    Das EINE Passwort was man dann für Mail, Homebanking, Facebook, Twitter, PayPal, Ebay,Foren und diversen Fahrradshops benutzt wird dann halt klar lesbar übertragen das ist doch dann auch egal (n)
    LG
     
  11. Reinhard

    Reinhard Administrator

    Beiträge:
    367
    Ort:
    48599 Gronau-Epe
    Lastenrad:
    CargoBike Long
    Bspw. das man nicht ständig Fragen ala "das Forum wird mir als unsicher angezeigt, wie kann das?" beantworten muss :D. Seit Jahresanfang, ab da forcieren diverse Browser https, waren das ca. 100 Anfragen über alle Foren. Und irgendwann nervt das natürlich ...

    Wer mehr Sicherheit will, konnte das ohne https auch schon via 2-Schritt-Anmeldung (2-Faktor-Authentifizierung) lösen. Die Funktion gibt es hier auch, wird aber kaum genutzt (etwa ein Dutzend Leute über alle Foren).
     
    toertsche und cubernaut gefällt das.
  12. Raton

    Raton

    Beiträge:
    203
    Lastenrad:
    JL Custom
    Ah eine Adminwohlfühlfunktion ;) ich habe mir sowas schon gedacht das es darauf zurück geht. :ROFLMAO: Es ist ja sowas von einfach die Gemüter zu beruhigen.

    @Reinhard
    Ich sehe hier ja nur den html code aber weißt du von der Forumssoftware wo die
    Forums-Passwortverschlüsselung anfängt? Im Client oder erst auf dem Server? Hier liegt ja die Hauptgefahr bei allen Anmeldevorgängen-Registrierungsvorgängen.
    Denn der Täter sitzt garnicht in der Leitung und lauscht, es ist der Admin der gleich beim Anmelden das noch nicht von der Forums-Software verschlüsseltes Passwort abfangen kann. Damit meine ich natürlich nicht Dich sondern gebe zu bedenken das man sich an so vielen Stellen einloggen muß, als Nutzernamen hast du ja oft dein Emailaccount.
    Https beruhigt nur die Gemüte aber schützt dich in keiner Weise vor Passwortmißbrauch. Deshalb ist es ja umso wichtiger seine Passwörte kreativ zu. gestalten.
    LG
     
  13. Reinhard

    Reinhard Administrator

    Beiträge:
    367
    Ort:
    48599 Gronau-Epe
    Lastenrad:
    CargoBike Long
    Bei https sind die Daten auf dem ganzen Weg Server <-> Client verschlüsselt. Sprich, da ist nichts mit Mitlauschen.

    Das man Passwörter kreativ vergibt/verwendet ist eigentlich selbstverständlich, leider halt nicht für jeden ... Wer immer die selben Passwörter nutzt, braucht vielleicht nur eine kleine Hilfe, um das nicht mehr tun. Ich verwende bspw. KeePass.
     
  14. Raton

    Raton

    Beiträge:
    203
    Lastenrad:
    JL Custom
    Ja so ein ähnliches benutze ich auch. klick
    Dann muß man sich nur ein heftiges Passwort merken.

    Aber was ich meine ist der Prozess beim Anmelden oder Registrieren in eine Webseite z.B Forum.
    Sehr häufig läuft das so:
    User tippt sein PWD ins Loginfenster
    das PWD wird unverschlüsselt über https (nun verschlüsselt) verschickt (schon mal ein wenig Sicherheit)
    das PWD kommt am Server sicher an die https Verschlüsselung wird entschlüsselt (PWD liegt nun wieder im Klartext dem Server (Admin) vor
    Das PWD wird verschlüsselt und in die Datenbank geschrieben.
    Ab jetzt ist das PWD auch nicht mehr für den Server(Admin) in der Datenbank klar lesbar.

    Also da ist https nur ein Blender und spielt dir eine trügerische Sicherheit vor und die Gefahr steckt ganz wo anders bei den vielen Systemen die man benutzt.

    Aber wenn es den User beruhigt dann https das sehe ich ein.
    LG
     
  15. Reinhard

    Reinhard Administrator

    Beiträge:
    367
    Ort:
    48599 Gronau-Epe
    Lastenrad:
    CargoBike Long
    Das läuft (hier) ein wenig anders ... Der User tippt sein PW ein und es wird ein Hash-Wert daraus erzeugt, der in der Datenbank gespeichert wird. Dieser Hash ist pro User/PW eindeutig und kann nicht decodiert werden. Das PW liegt also nicht im Klartext vor.

    Der Unterschied zwischen http und https ist, dass auf Deiner Seite jemand bei http die PW-Eingabe belauschen könnte. Du musst bedenken, dass Dein Browser die Funktionalität PW-Eingabe / Hash-Wert ermitteln lokal behandelt.
     
  16. Raton

    Raton

    Beiträge:
    203
    Lastenrad:
    JL Custom
    Hallo Reinhard
    Ja so wird das meistens gemacht, meist wird der Hash mit md2 im Web realisiert.
    Aber der Knackpunkt ist wo der Hash erzeugt wird.
    Fast nie direkt auf dem Client ( im eigenen Browser zu hause) und hier liegt das Problem.
    Durch https ist jetzt zwar das Pwd auf dem Weg zum Ziel geschützt aber nicht mehr wenn es am Server angekommen ist.
    IT Sicherheit ein heikles Thema ich weiß, und für die meisten User viel zu kompliziert und undurchsichtig.
    Https wird von vielen als Allheilmittel benutzt aber isses garnicht, es soll nur alle schön beruhigen und glauben lassen das alles chick und sicher ist besonders bei Paypal, Onlinebanking und Co.
    Na belassen wir es dabei und hoffen das alle das immer schön Spampasswörter und SpamMailaccounts benutzen.

    LG
     
  17. toertsche

    toertsche

    Beiträge:
    56
    Lastenrad:
    Packster 60 Nuvinci
    Danke für den Hinweis, habe ich übersehen und nun aktiviert :)