Was ist mit dem SSL-Zertifikat passiert (https)?

Hat SSL / https nicht früher mal funktioniert?
Heute komme ich nur ohne SSL (https) auf cargobikeforum.de, also unsicher.
Wenn ich auf https://cargobikeforum.de oder https://www.cargobikeforum.de gehe, kommt erst eine Warnung, dass das Zertifikat nicht für cargobikeforum.de sondern für your-server.de ist, und dann kommt nur ein Login zu einer internen Administrationsseite.
 
Ist mir auch schon vor einer Weile merwürdig vorgekommen, daß mein Firefox beim Login mich auf fehlendes SSL hinweist.
Ich schob es auf ein Update im Firefox, weil ich nicht sicher war, ob es vorher SSL gegeben hatte.

Vermutlich muss die Zertifizierung alle paar Jahre kostenpflichtig erneuert werden, was Reinhard sich ersparen wollte.
Keine Ahnung was so was kostet.
Ich weiß aber, daß der Betrieb so eines Forums viel Arbeit und auch Geld kostet und Reinhard macht das, wie er an anderer Stelle schon sagte, nebenher als Hobby.
Von daher könnte ich schon verstehen, wenn er das SSL-Zertifikat nicht hatte erneuern lassen, sondern jetzt auf SSL verzichtet.
 
Inzwischen bekommt man für Webseiten kostenlose Zertifikate von https://letsencrypt.org/
Das kann ich weiterempfehlen.
Ich frage mich auch, ob das nur ein Browserupdate ist, das mich jetzt auf die fehlende Verschlüsselung hinweist, oder ob das eben jetzt neu ist, oder ob ich sogar einen Virus oder so etwas auf meinem Rechner habe...:confused:
 
Also einen Virus kann ich in meinem Falle ziemlich sicher ausschließen. Ich fahre mit Linux, da passiert das nicht so schnell.
Aber das mit den kostenlosen Zertifikaten ist interessant.

@Reinhard , hast Du in Sachen SSL in den letzten Wochen etwas an Deinen Servern verändert oder kommt uns das nur so vor?
 
Vermutlich ist es wirklich mein Firefox-Update, und ich habe das bisher einfach nicht bewusst registriert. Seit Firefox 51 wird links in der URL-Leiste eine Warnung angezeigt, und seit Firefox 52 im Passwort-Feld selbst.
https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox

Das wäre laut /usr/share/doc/firefox-esr/changelog.Debian.gz in meinem Debian Jessie seit 9. März 2017 (Version 52) und 25. Januar 2017 (Version 51). Ja, kann schon sein, dass ich das seither nicht bemerkt habe, wobei das schon lange ist... aber ok, ich war auch lange nicht im cargobikeforum.de angemeldet.
 
R

Raton

Guest
Warum braucht man denn in einem Forum https ?
Alles was man hier schreibt ist bis jetzt unverschlüsselt :sleep:

Das EINE Passwort was man dann für Mail, Homebanking, Facebook, Twitter, PayPal, Ebay,Foren und diversen Fahrradshops benutzt wird dann halt klar lesbar übertragen das ist doch dann auch egal (n)
LG
 

Reinhard

Administrator
Warum braucht man denn in einem Forum https ?
Bspw. das man nicht ständig Fragen ala "das Forum wird mir als unsicher angezeigt, wie kann das?" beantworten muss :D. Seit Jahresanfang, ab da forcieren diverse Browser https, waren das ca. 100 Anfragen über alle Foren. Und irgendwann nervt das natürlich ...

Wer mehr Sicherheit will, konnte das ohne https auch schon via 2-Schritt-Anmeldung (2-Faktor-Authentifizierung) lösen. Die Funktion gibt es hier auch, wird aber kaum genutzt (etwa ein Dutzend Leute über alle Foren).
 
R

Raton

Guest
Ah eine Adminwohlfühlfunktion ;) ich habe mir sowas schon gedacht das es darauf zurück geht. :ROFLMAO: Es ist ja sowas von einfach die Gemüter zu beruhigen.

@Reinhard
Ich sehe hier ja nur den html code aber weißt du von der Forumssoftware wo die
Forums-Passwortverschlüsselung anfängt? Im Client oder erst auf dem Server? Hier liegt ja die Hauptgefahr bei allen Anmeldevorgängen-Registrierungsvorgängen.
Denn der Täter sitzt garnicht in der Leitung und lauscht, es ist der Admin der gleich beim Anmelden das noch nicht von der Forums-Software verschlüsseltes Passwort abfangen kann. Damit meine ich natürlich nicht Dich sondern gebe zu bedenken das man sich an so vielen Stellen einloggen muß, als Nutzernamen hast du ja oft dein Emailaccount.
Https beruhigt nur die Gemüte aber schützt dich in keiner Weise vor Passwortmißbrauch. Deshalb ist es ja umso wichtiger seine Passwörte kreativ zu. gestalten.
LG
 

Reinhard

Administrator
Bei https sind die Daten auf dem ganzen Weg Server <-> Client verschlüsselt. Sprich, da ist nichts mit Mitlauschen.

Das man Passwörter kreativ vergibt/verwendet ist eigentlich selbstverständlich, leider halt nicht für jeden ... Wer immer die selben Passwörter nutzt, braucht vielleicht nur eine kleine Hilfe, um das nicht mehr tun. Ich verwende bspw. KeePass.
 
R

Raton

Guest
Ja so ein ähnliches benutze ich auch. klick
Dann muß man sich nur ein heftiges Passwort merken.

Aber was ich meine ist der Prozess beim Anmelden oder Registrieren in eine Webseite z.B Forum.
Sehr häufig läuft das so:
User tippt sein PWD ins Loginfenster
das PWD wird unverschlüsselt über https (nun verschlüsselt) verschickt (schon mal ein wenig Sicherheit)
das PWD kommt am Server sicher an die https Verschlüsselung wird entschlüsselt (PWD liegt nun wieder im Klartext dem Server (Admin) vor
Das PWD wird verschlüsselt und in die Datenbank geschrieben.
Ab jetzt ist das PWD auch nicht mehr für den Server(Admin) in der Datenbank klar lesbar.

Also da ist https nur ein Blender und spielt dir eine trügerische Sicherheit vor und die Gefahr steckt ganz wo anders bei den vielen Systemen die man benutzt.

Aber wenn es den User beruhigt dann https das sehe ich ein.
LG
 

Reinhard

Administrator
Das läuft (hier) ein wenig anders ... Der User tippt sein PW ein und es wird ein Hash-Wert daraus erzeugt, der in der Datenbank gespeichert wird. Dieser Hash ist pro User/PW eindeutig und kann nicht decodiert werden. Das PW liegt also nicht im Klartext vor.

Der Unterschied zwischen http und https ist, dass auf Deiner Seite jemand bei http die PW-Eingabe belauschen könnte. Du musst bedenken, dass Dein Browser die Funktionalität PW-Eingabe / Hash-Wert ermitteln lokal behandelt.
 
R

Raton

Guest
Hallo Reinhard
Ja so wird das meistens gemacht, meist wird der Hash mit md2 im Web realisiert.
Aber der Knackpunkt ist wo der Hash erzeugt wird.
Fast nie direkt auf dem Client ( im eigenen Browser zu hause) und hier liegt das Problem.
Durch https ist jetzt zwar das Pwd auf dem Weg zum Ziel geschützt aber nicht mehr wenn es am Server angekommen ist.
IT Sicherheit ein heikles Thema ich weiß, und für die meisten User viel zu kompliziert und undurchsichtig.
Https wird von vielen als Allheilmittel benutzt aber isses garnicht, es soll nur alle schön beruhigen und glauben lassen das alles chick und sicher ist besonders bei Paypal, Onlinebanking und Co.
Na belassen wir es dabei und hoffen das alle das immer schön Spampasswörter und SpamMailaccounts benutzen.

LG
 
Oben Unten