Hi, hab mal ne doofe Frage. Ich habe einen Webserver aufgesetzt. Wenn ich den in einem aktuellen Firefox aufrufe ("test.meineurl.de"), verbindet sich Firefox via HTTP (Port 80). Es wird dann angezeigt, dass die Verbindung nicht sicher sei. Nur wenn ich explizit hinschreibe "https://test.meineurl.de", verbindet er sich per HTTPS und meldet, dass die Verbindung sicher ist. Sollte ein modernen Browser nicht standradmäßig per HTTPS verbinden (ggf. mit HTTP als Fallback)?
Netzi schrieb: > Sollte ein modernen Browser nicht standradmäßig per HTTPS verbinden > (ggf. mit HTTP als Fallback)? Gibts mittlerweile wohl auch schon, aber sicher nicht überall. Gibts ggf auch als Browser-Extension. Du kannst das aber auch genauso gut selbst im Webserver erledigen. Wer mit HTTP reinkommt, wird umstandslos auf HTTPS weitergeleitet.
Netzi schrieb: > Sollte ein modernen Browser nicht standradmäßig per HTTPS verbinden > (ggf. mit HTTP als Fallback)? Schau mal in "about:config" rein. Da kann ich mir vorstellen, daß dort eine Regel reingehört.
Netzi schrieb: > Sollte ein modernen Browser nicht standradmäßig per HTTPS verbinden > (ggf. mit HTTP als Fallback)? Nein, das ist aus Rückwärtskompatibilität schon gut so. Es gibt noch genug Systeme, bei denen das HTTPS nicht richtig funktioniert oder auf eine ganz andere Webseite zeigt. Das macht man heutzutage auf der Seite des Webservers anders: 1. Du machst bei HTTP eine Weiterleitung auf HTTPS 2. Du aktivierst bei der HTTPS-Verbindung dann HSTS, indem Du den "Strict-Transport-Security"-Header setzt. Bei allen folgenden Verbindungsversuchen wird dann ausschließlich und direkt das HTTPS angesprochen.
Netzi schrieb: > Hi, > hab mal ne doofe Frage. Ich habe einen Webserver aufgesetzt. Sieht das nicht etwas seltsam aus? Ein Basecap oder einen Sombrero kann ich mir da eher vorstellen. :)
Das ist natuerlich alles dummes Zeug. Wozu in aller Welt benotige ich eine verschluesselte Seite um etwas anzuschauen ? Solange ich keine Daten von mir eingeben soll, benoetige ich kein HTTPS. Mach kann auch auf der Webseite selbst die Umleitung auf HTTPS machen, wenn man's denn so will. Das sind etwa zwei Zeilen in php.
Die Umschaltung von http auf https kann auch der server fordern: https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zitronen F. schrieb: > Das ist natuerlich alles dummes Zeug. Über HTTPS kann jemand zwischen Client und Server zwar mitschneiden, welche Server du ansprichst, aber nicht welchen Inhalt darin.
Zitronen F. schrieb: > Wozu in aller Welt benotige ich eine verschluesselte Seite um etwas > anzuschauen ? Vielleicht auch um sicher zu gehen dass die Daten korrekt sind und du nicht auf eine gefälschte Seite geleitet wurdest.
Zitronen F. schrieb: > Das ist natuerlich alles dummes Zeug. Wozu in aller Welt benotige ich > eine verschluesselte Seite um etwas anzuschauen ? Solange ich keine > Daten von mir eingeben soll, benoetige ich kein HTTPS. Da unter einer IP Adresse mehrere Webseiten laufen können macht es Sinn, HTTPS serverseitig zu erzwingen, denn du willst ja sicherlich nicht haben, dass ein dritter weiß, was genau du dir anschaust.
Dr. Sommer schrieb: > Zitronen F. schrieb: >> Wozu in aller Welt benotige ich eine verschluesselte Seite um etwas >> anzuschauen ? > > Vielleicht auch um sicher zu gehen dass die Daten korrekt sind und du > nicht auf eine gefälschte Seite geleitet wurdest. Das stellt HTTPS nur zum Teil sicher. Da kommt es nämlich leider darauf an, was im Zertifikat steht. Let's Encrypt prüft beim Ausstellen bspw. den Domainnamen, nicht aber die Organisation dahinter, die die Domain zur Verfügung stellt. Bei anderen CA zahlt man für die Prüfung der Organisation Geld und da wäre dann auch durch einen Dritten, also den CA, gewährleistet, dass auch wirklich der dahinter steckt, der sich dafür ausgibt. Zertifikate die nur die Domain prüfen, die gewährleisten nur, dass die Verbindung verschlüsselt ist, nicht aber, wer der Domaininhaber wirklich ist. Leider machen heutige Browser diese Unterscheidung nicht ausreichend im Browserfenster kenntlich. Schön wäre es, wenn das Verschlüsselungssymbol bei überprüften Organisationen grün und bei nicht überprüften Organisationen bspw.. gelb wäre.
Nano schrieb: > Da unter einer IP Adresse mehrere Webseiten laufen können macht es Sinn, > HTTPS serverseitig zu erzwingen, denn du willst ja sicherlich nicht > haben, dass ein dritter weiß, was genau du dir anschaust. Die verschiedenen Webseiten zu einer IP sind dank SNI für Dritte ohne Entschlüsselung erkennbar, nur der Pfad bleibt verborgen. Anders könnte ein solcher Webserver den Seiten(DNS)-Namen dem Zertifikat nicht zuordnen. Ob eine oder mehrere Seitem pro IP ändert somit wenig.
:
Bearbeitet durch User
Nano schrieb: > Leider machen heutige Browser diese Unterscheidung nicht ausreichend im > Browserfenster kenntlich. Geh mit z.B. Chrome auf www.sparkasse.de und schau ins URL-Fenster. Du wirst vor der URL eine Unternehmensbezeichnung sehen. Das kennzeichnet das umfangreichste und teuerste Verifikationsverfahren des Zertifizierers (EV = extended validation). Sinnvoller als Farbe. Die einfachsten Versionen kostenpflichtiger Zertifikate prüfen auch nur, ob eine Mail an z.B. hostmaster@meine.domain.de ankommt.
:
Bearbeitet durch User
A. K. schrieb: > Nano schrieb: >> Da unter einer IP Adresse mehrere Webseiten laufen können macht es Sinn, >> HTTPS serverseitig zu erzwingen, denn du willst ja sicherlich nicht >> haben, dass ein dritter weiß, was genau du dir anschaust. > > Die verschiedenen Webseiten zu einer IP sind dank SNI für Dritte ohne > Entschlüsselung erkennbar, nur der Pfad bleibt verborgen. Anders könnte > ein solcher Webserver den Seiten(DNS)-Namen dem Zertifikat nicht > zuordnen. Ob eine oder mehrere Seitem pro IP ändert somit wenig. Stimmt, hast Recht.
Zitronen F. schrieb: > Das sind etwa zwei Zeilen in php. Bitte nicht. Sowas macht man in der Config vom Webserver. Mit php daran rumdoktorn hat in etwa die Effizienz vom Blätter"fegen" mit dem Laubbläser.
A. K. schrieb: > Nano schrieb: >> Leider machen heutige Browser diese Unterscheidung nicht ausreichend im >> Browserfenster kenntlich. > > Geh mit z.B. Chrome auf www.sparkasse.de und schau ins URL-Fenster. Du > wirst vor der URL eine Unternehmensbezeichnung sehen. Das kennzeichnet > das umfangreichste und teuerste Verifikationsverfahren des > Zertifizierers (EV = extended validation). Sinnvoller als Farbe. Jetzt wo du es sagst, sehe ich das auch gerade. Firefox kann es auch. Aber allein die Tatsache, dass mir das nicht von alleine aufgefallen ist, spricht doch eher dafür, dass es sinnvoll wäre, die Schlüsselssymbole von Webseiten, die nur verschlüsselt sind, aber bei denen nicht deren Identität validiert ist, in einer anderen Farbe als grün darzustellen. Wäre bspw. das Schlüsselsymbol für solche Webseiten, z.B. von mikrocontroller gelb anstatt grün, dann hätte ich nachgeschaut warum das so ist und dann wäre sofort klar, dass diese Seite zwar verschlüsselt wird, aber die Identität nicht gewährleistet wird. Bezüglich der Sicherheit wäre das besser. Denn mal angenommen, ich hätte eine gefälschte Seite der Sparkasse aufgerufen, die aber eine funktionierende Verschlüsselung hat, dann wäre mir das, ohne jetzt direkt die Zertifikate genau anzusehen, gar nicht aufgefallen. Und das ist doch genau das, was man vermeiden will. Daher wäre es schon hilfreich, wenn das Verschlüsselungssymbol eine andere Farbe hätte, wenn nur verschlüsselt wird.
Nano schrieb: > Denn mal angenommen, ich hätte eine gefälschte Seite der Sparkasse > aufgerufen, die aber eine funktionierende Verschlüsselung hat, dann wäre > mir das, ohne jetzt direkt die Zertifikate genau anzusehen, gar nicht > aufgefallen. Das sollte dir aber auffallen, weil das dann nicht sparkasse.de sein kann, sondern eine andere Domain sein muss.
Irgendwie wird das Verschluesseln aufgehypt. Wenn ich auf einem Blog lese, oder Fotos anschaue, ist zumindest mir voellig egal, ob die Seite gefakt ist. Was mir viel stoerender aufgefallen ist, dass in gewissen Laendern gefaelschte zertifikate untergeschoben werden. Da kommt dann : Das gespeicherte sei abgelaufen, man muesse das Neue laden.
Zitronen F. schrieb: > Irgendwie wird das Verschluesseln aufgehypt. Wenn ich auf einem Blog > lese, oder Fotos anschaue, ist zumindest mir voellig egal, ob die Seite > gefakt ist. Aus der Sicht des einzelnen, der nur ein Blog lesen möchte, mag das so sein. Wenn Du Dich jetzt aber z.B. politisch kritisch gegenüber Deiner Regierung irgendwo äußerst, willst Du den Datentransfer verschlüsseln. Wenn jetzt aber die Verschlüsselung nur in bestimmten Situationen aktiviert wird und nicht der Normalzustand ist, ist das Verschlüsseln an sich schon ein Indiz welches den Nutzer in bestimmten Ländern vor Schwierigkeiten stellen kann. Oder verschlüsselte Verbindungen werden generell geblockt. Daher ist es so wichtig daß verschlüsselte Verbindungen der Normalzustand sind, auch für das Lesen eines harmlosen Blogs. Dann fallen die kritischen Verbindungen nicht in der Masse auf.
Gerd E. schrieb: > Daher ist es so wichtig daß verschlüsselte Verbindungen der > Normalzustand sind Was noch nicht erwähnt wurde: Suchmaschinen bewerten Websites ohne https als minderwertig. Es kann natürlich sein, dass das dem TO für seine Website völlig egal ist, aber wer gefunden werden will sollte das beachten. Georg
fischer schrieb: > Nano schrieb: >> Denn mal angenommen, ich hätte eine gefälschte Seite der Sparkasse >> aufgerufen, die aber eine funktionierende Verschlüsselung hat, dann wäre >> mir das, ohne jetzt direkt die Zertifikate genau anzusehen, gar nicht >> aufgefallen. > > Das sollte dir aber auffallen, weil das dann nicht sparkasse.de sein > kann, sondern eine andere Domain sein muss. Die DNS Einträge könnten manipuliert sein. Gut, ich benutze zwar einen DNS Server der DNSsec unterstützt, aber Vertipper wären auch mal möglich oder man folgt einem Link und das a ist ein anderes Zeichen im Unicode Standard, das wie ein a aussieht, so etwas ist genauso möglich. Und vielleicht war die Sparkasse ein schlechtes bspw. es gibt noch andere Webseiten mit wesentlich längeren Namen, wo solche Manipulationen noch leichter unterzuschieben sind. Erstbesuchte Seiten könnten auch ein Problem sein.
Nano schrieb: > Die DNS Einträge könnten manipuliert sein. Der Angreifer bekommt aber kein Zertifikat für sparkasse.de > Gut, ich benutze zwar einen DNS Server der DNSsec unterstützt, aber > Vertipper wären auch mal möglich oder man folgt einem Link und das a ist > ein anderes Zeichen im Unicode Standard, das wie ein a aussieht, so > etwas ist genauso möglich. Und genau deshalb nutzt man Bookmarks. > Erstbesuchte Seiten könnten auch ein Problem sein. Warum sollte der Erstbesuch ein Problem sein? Da gibt man sich halt etwas Mühe die URL nicht falsch zu tippen. Oder man nutzt einen Link aus einer anderen bereits vertrauenswürdigen verschlüsselten Quelle.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.