Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 01. Oktober 2014 09:44

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Hallo Forum,

ich habe eine Frage bzgl. HTTPS:
bei der Kontrolle meiner Website mittels Web-Konsole bekam ich die Meldung, dass zwei Seiten mit Passworteingabe eine unsichere HTTP-Verbindung nutzen würden. Ich habe daraufhin auf HTTPS umgeschaltet, erhalte jedoch jetzt beim Aufruf dieser Seiten die Meldung, dass "dieser Verbindung nicht vertraut werde" mit den Möglichkeiten "Seite verlassen" oder "Ich kenne das Risiko". Ersteres ist für mich nicht akzeptabel, da ich ja auf genau diese Seite will und Letzteres würde m.E. das Prinzips des Zertifikats 'ad absurdum' führen. Damit bliebe nur die Möglichkeit, ein Zertifikat für die Website zu beantragen. Die Frage ist nur :

  • Wie und bei wem ?

  • Wie hoch sind evtl. die Kosten ?

  • Wie groß ist der Aufwand ?

  • Lohnt sich das Ganze überhaupt ?


Nachtrag: Ich habe zwischenzeitlich die Seite wieder auf HTTP zurückgesetzt, bekomme allerdings immer noch die obige Meldung, dass "dieser Verbindung nicht vertraut werde". Ich habe schon den Zwischenspeicher geleert, aber ohne Erfolg. Weiß jemand einen Rat ?

Beitrag geändert von Dancer62 (01. Oktober 2014 09:44)


Man ist so alt, wie man sich fühlt...

Offline

#2 01. Oktober 2014 09:52

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 787

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Stellt der Provider nicht das Zertifikat?

Dass du jetzt immer noch die Meldung bekommst, liegt wohl daran, dass der Autovervollständiger des Browsers die Seite immer noch als https aufruft. Lösch mal den Cache, Verlauf etc... dann sollte es wieder egehen.

Ansonsten müssest du bei der Verwendung von https auch noch die config.php entsprechend anpassen - soweit ich mich erinnere.

Beitrag geändert von antibart (01. Oktober 2014 09:52)

Offline

#3 01. Oktober 2014 10:00

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

antibart schrieb:

Stellt der Provider nicht das Zertifikat?

Danke antibart, werde ich gleich mal ausprobieren und ihn anrufen.

antibart schrieb:

Dass du jetzt immer noch die Meldung bekommst, liegt wohl daran, dass der Autovervollständiger des Browsers die Seite immer noch als https aufruft. Lösch mal den Cache, Verlauf etc... dann sollte es wieder gehen.

Ja danke, habe den Cache gelöscht und jetzt funktioniert es wieder.

antibart schrieb:

Ansonsten müssest du bei der Verwendung von https auch noch die config.php entsprechend anpassen - soweit ich mich erinnere.

Weißt Du zufälligerweise noch, was dort wie eingetragen bzw. geändert werden muss oder wo ich ggfs. diese Dinge finde ?


Man ist so alt, wie man sich fühlt...

Offline

#4 01. Oktober 2014 10:44

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Ich habe daraufhin auf HTTPS umgeschaltet

Ich vermute mal in der config.php?
Wenn Du lediglich in der config.php auf HTTPS umstellst, dann wird Deine Seite lediglich mit HTTPS angesteuert. Was der Server dann aber im Hintergrund liefert, ist eine andere Sache.

Für HTTPS Verbindungen benötigt man immer ein Zertifikat. Diese Zertifikate werden von entsprechenden Stellen ausgestellt (z.B. Verisign) und kosten je nach Dauer, Verschlüsselung und Anbieter unterschiedlich viel. Ein Zertifikat wird immer nur explizit für eine bestimmte Domain und eine bestimmte Dauer ausgestellt. Einfach mal googeln.

Wenn Du kein Zertifikat erworben hast - d.h. bei Deinem Provider ist für Deine Domain kein Zertifikat hinterlegt worden - aber Deine Seite trotzdem mit HTTPS ansteuerst, können zwei Sachen passieren:
- Dein Provider blockiert die Anfrage
- Dein Provider leitet auf HTTP
Bei der Umleitung muss er aber erstmal eine Antwort an den Browser senden, damit der Browser weiß, welche Adresse er jetzt ansteuern soll. Und diese Antwort erfolgt allerding - weil ja HTTPS angefordert wurde - verschlüsselt. Damit der Browser also der Umleitung folgen kann, muss er die Antwort erstmal entschlüsseln. Und dazu benötigt er ein Zertifikat. Da für Deine Webseite aber kein Zertifikat hinterlegt wurde, wird ein Standard-Zertifikat des Providers gesendet. (Bei All-Inkl ist es z.B. für *.kasserver.com ausgestellt - d.h. z.B. für den Login zur Domain-Administration) Das führt im Browser logischerweise zur Meckerei. Wenn Du dieses Zertifikat akzeptierst, wirst Du auf eine HTTP Verbindung zur selben Seite umgeleitet. Wenn nicht, geht ohnehin nichts.

Je nach Provider können die auch selber Zertifikate für Deine Domain erstellen, die auch vom Browser ohne Ausnahmeregelung akzeptiert werden. Ansonsten einfach mal googeln. (SSL-Trust soll z.B. günstig sein - aber mehr kann ich dazu nicht sagen)

Wenn es nur für Dich selbst ist, kannst Du Dir auch Dein eigenes Zertifikat basteln:
http://www.heise.de/security/artikel/SS … 80221.html
Hängt allerdings wieder vom Provider ab, ob und wie man eigene Zertifikate dann auch verwenden kann.

Offline

#5 01. Oktober 2014 10:50

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 787

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Dancer62 schrieb:

Weißt Du zufälligerweise noch, was dort wie eingetragen bzw. geändert werden muss oder wo ich ggfs. diese Dinge finde ?

Wenn du es nicht in der config.php auf https umgestellt hast und bislang auch nicht weißt, ob der Provider eines anbietet, wie hast es dann überhaupt umgestellt?

Beitrag geändert von antibart (01. Oktober 2014 10:52)

Offline

#6 01. Oktober 2014 11:02

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

antibart schrieb:
Dancer62 schrieb:

Weißt Du zufälligerweise noch, was dort wie eingetragen bzw. geändert werden muss oder wo ich ggfs. diese Dinge finde ?

Wenn du es nicht in der config.php auf https umgestellt hast und bislang auch nicht weißt, ob der Provider eines anbietet, wie hast es dann überhaupt umgestellt?

Ich habe auf der Seite unter "Inhalte bearbeiten" im Reiter "Optionen" die Option "Für diese Seite HTTPS verwenden:" angehakt. Danach bekam ich beim Aufruf dieser Seite die obige Meldung.

War das etwas naiv ? Und falls ja, warum hat es dann zu dieser (offensichtlich korrekten) Reaktion geführt ?


Man ist so alt, wie man sich fühlt...

Offline

#7 01. Oktober 2014 11:30

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

War das etwas naiv ?

Das allein reicht eben nicht aus.
Du brauchst ein Zertifikat für Deine Domain.
Diese Option allein bewirkt lediglich, dass CMSms alle Links zu dieser einen Seite mit HTTPS generiert.
Wenn Du aber kein Zertifikat hast, bringt das allein nicht viel.

Offline

#8 01. Oktober 2014 13:14

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

NaN schrieb:

Du brauchst ein Zertifikat für Deine Domain.

Ich habe gerade mit meinem Provider gesprochen und der wollte sich "mal eben schlau machen". Ich hoffe mal, dass ich dadurch ein Zertifikat für die Domain bekomme...


Man ist so alt, wie man sich fühlt...

Offline

#9 01. Oktober 2014 17:48

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Okay, das mit dem Zertifikat ist erst mal "Essig". Der Provider meinte, dass das Webhosting nicht darauf ausgelegt wäre und somit kein HTTPS angeboten werden könne. Auch kann ich mir selber kein Zertifikat ausstellen. Damit bliebe höchstens der Weg über .htaccess (wie muss ich mir das vorstellen ?) oder ein Providerwechsel... sad


Man ist so alt, wie man sich fühlt...

Offline

#10 01. Oktober 2014 18:40

owr_web
Server-Pate
Registriert: 16. Dezember 2010
Beiträge: 537

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Dancer62 schrieb:

der wollte sich "mal eben schlau machen"

Bei was für einem Wald- und Wiesen-Provider bist du da denn gelandet?

Dancer62 schrieb:

Auch kann ich mir selber kein Zertifikat ausstellen.

Na Gottseidank wink sonst wäre das Zertifizieren selbst schon ad absurdum anzusehen. Falls du überlesen hast, wie das funktioniert darf ich nochmal NaN zitieren:

NaN schrieb:

Für HTTPS Verbindungen benötigt man immer ein Zertifikat. Diese Zertifikate werden von entsprechenden Stellen ausgestellt (z.B. Verisign) und kosten je nach Dauer, Verschlüsselung und Anbieter unterschiedlich viel. Ein Zertifikat wird immer nur explizit für eine bestimmte Domain und eine bestimmte Dauer ausgestellt. Einfach mal googeln.

https hat ja den Zusatz s für sicher und das Zertifikat soll ja sozusagen zur Authentifizierung des Servers und der Domain dienen. Die Kosten sind von weit unter 100 Euro bis über 1000 Euro pro Jahr angesiedelt.

Beitrag geändert von owr_web (01. Oktober 2014 18:40)

Offline

#11 01. Oktober 2014 18:48

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 787

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Ich würde da auch keine Panik schieben bei eurer Feuerwehrseite. Ich denke mal, allzu sensibel und privat sind die übermittelten Daten nicht, oder?

Offline

#12 02. Oktober 2014 05:25

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

owr_web schrieb:
Dancer62 schrieb:

der wollte sich "mal eben schlau machen"

Bei was für einem Wald- und Wiesen-Provider bist du da denn gelandet?

EWE Tel: ist eigentlich gar nicht sooo schlecht, aber ich persönlich wollte da auch nicht hin. Nur hat die Gemeinde da - aus welchen Gründen auch immer - nicht mitgespielt... sad

antibart schrieb:

Ich würde da auch keine Panik schieben bei eurer Feuerwehrseite. Ich denke mal, allzu sensibel und privat sind die übermittelten Daten nicht, oder?

Panik schiebe ich auch keine, aber ich weiß ja nicht, was Du unter "allzu sensibel und privat" verstehst. Für mich sind alle Daten, die ich nicht in öffentlich zugänglichen Quellen (z.B. Telefonbuch) finden kann, privat. Und sensibel sind Passwörter allemal, sonst bräuchte ich die ja auch nicht geheim zu halten.
Du siehst, es gibt genügend Gründe, zumindest die Übermittlung der Passwörter abzusichern.


Man ist so alt, wie man sich fühlt...

Offline

#13 02. Oktober 2014 09:13

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#14 02. Oktober 2014 09:25

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Selbst wenn der Provider die Möglichkeit eigener Zertifikate ermöglichen würde, würde ich das als Webdesigner einem Kunden nie anbieten. Und einer Gemeinde schon garnicht. Der Kunde geht nämlich davon aus, dass mit diesem Zertifikat alles palletti ist. Es gibt aber keinerlei Garantie dafür, dass dieses kostenlose Zertifikat innerhalb eines bestimmten Zeitraums nicht geknackt werden kann. Das unterscheidet kostenlose Zertifikate von kommerziellen.

Für mich selbst oder für einen Bekannten, würde mir sowas völlig ausreichen.
Ich weiß wie weit ich mir trauen kann. Und meinem Kumpel kann ich das mit der Garantie etc. schon verklickern.
Und wenn es sein muss, erstelle ich auch jede Woche ein neues.
Nur um auf Nummer sicher zu gehen.

Aber sobald da für eine Leistung Geld oder Dritte (also Webseitenbesucher) im Spiel sind, wird's kritisch. Dann muss der Kunde davon ausgehen können, dass das Zertifikat gewissen Mindestanforderungen gerecht wird. Und genau dafür gibt es eben diese Zertifizierungsstellen.

In dem hier vorliegenden Fall würde ich sagen: Entweder ganz oder garnicht.

Offline

#15 02. Oktober 2014 09:34

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Der Hinweis zielte eher auf die Erstellung eines kostenlosen Zertifikats bei StartSSL wink

StartSSL™ ist eine Marke der StartCom® Zertifizierungsstelle - ein führendes Unternehmen in der digitalen Zertifizierung


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#16 02. Oktober 2014 09:40

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Ups.
Hätte zu Ende lesen sollen  ops

Offline

#17 02. Oktober 2014 10:09

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

NaN schrieb:

Selbst wenn der Provider die Möglichkeit eigener Zertifikate ermöglichen würde, würde ich das als Webdesigner einem Kunden nie anbieten. Und einer Gemeinde schon garnicht. Der Kunde geht nämlich davon aus, dass mit diesem Zertifikat alles palletti ist. Es gibt aber keinerlei Garantie dafür, dass dieses kostenlose Zertifikat innerhalb eines bestimmten Zeitraums nicht geknackt werden kann. Das unterscheidet kostenlose Zertifikate von kommerziellen.

Für mich selbst oder für einen Bekannten, würde mir sowas völlig ausreichen.
Ich weiß wie weit ich mir trauen kann. Und meinem Kumpel kann ich das mit der Garantie etc. schon verklickern.
Und wenn es sein muss, erstelle ich auch jede Woche ein neues.
Nur um auf Nummer sicher zu gehen.

Aber sobald da für eine Leistung Geld oder Dritte (also Webseitenbesucher) im Spiel sind, wird's kritisch. Dann muss der Kunde davon ausgehen können, dass das Zertifikat gewissen Mindestanforderungen gerecht wird. Und genau dafür gibt es eben diese Zertifizierungsstellen.

In dem hier vorliegenden Fall würde ich sagen: Entweder ganz oder garnicht.

Okay, hier sollte ich vielleicht etwas erklärend eingreifen: ich bin zwar als Webmaster tätig, habe aber als Web-Designer bisher Null Erfahrung gehabt (Ihr habt mir jetzt schon etwas mehr vermittelt) und bin selber bei "meiner" Feuerwehr als aktiver Feuerwehrmann tätig.

Träger der Freiwilligen Feuerwehren sind grundsätzlich die Kommunen, was bedeutet, dass sie auch für die Finanzierung der Feuerwehr (und damit in diesem Fall auch für die Website) aufkommen müssen.

Und Geld bekomme ich schon gar nicht - ich muss höchstens selbst noch etwas mitbringen... wink

Mein Hintergrund war einfach, dass ich die Übermittlung der Passwörter sicherer gestalten wollte.


Man ist so alt, wie man sich fühlt...

Offline

#18 02. Oktober 2014 10:17

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Okay, dann wäre etwas selbst gebasteltes oder kostenloses wohl ausreichend.
Aber wenn's eh nicht geht ... sind wir jetzt alle wenigstens ein bissel schlauer  big_smile
(StartSSL™ kannte ich z.B. noch nicht)

Offline

#19 23. November 2014 13:10

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

HTTPS soll offensichtlich auch noch anderweitig gefördert werden

http://www.golem.de/news/let-s-encrypt- … 10641.html


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#20 23. November 2014 14:58

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Gut zu wissen, dann kann ich mich ja schon mal vorbereiten und schauen, ob es mir was bringt.


Man ist so alt, wie man sich fühlt...

Offline

#21 23. November 2014 21:00

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Naja, bis Sommer '15 müsstest du da schon noch ausharren wink ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#22 23. November 2014 22:16

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 380

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

cyberman schrieb:

Naja, bis Sommer '15 müsstest du da schon noch ausharren wink ...

Frühestens... - wenn man die "üblichen" Verzögerungen mit einberechnet, dürfte es nichts vor Ende 2015 werden.


Man ist so alt, wie man sich fühlt...

Offline

#23 23. November 2014 22:40

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Wenn man mal schaut, wer da alles mit im Boot sitzt, wird man schon darauf achten, dass die Ankündigung eingehalten wird - wäre schon ziemlich peinlich

https://letsencrypt.org


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#24 24. November 2014 13:41

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.053
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

Inzwischen kann man mal bei Comodo oder Thawte schauen was die so bieten.
Comodo soll preisgünstig sein.

Es muss aber ebenso bei deinem Hoster passen, denn ein Certificate hängt normalerweise an ein IP-Adresse und nicht nur an einem Domain, deswegen wird es mit shared Hosting wol schwer werden.

Ich wollte auch so etwas, aber meistens kostet es einfach zu viel um sowohl ein dedicated IP als ein Certificate zu kaufen. Manche Hoster bietet eine Notlösung so wie Hosteurope wo der URL dann ändert, nicht schön aber funktioniert offensichtlich.

@Cyberman, "letsencrypt.org" ist ein supertipp!

MfG
Jan


Ubuntu 16.04 mit KDE - LAMP

Offline

#25 25. Dezember 2014 21:46

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.053
Webseite

Re: Webseite mit HTTPS / SSL / TLS Zertifikat betreiben


Ubuntu 16.04 mit KDE - LAMP

Offline