Lemminator
Manchmal verpeilt
- Registriert
- 2. Dez. 2013
- Beiträge
- 3.020
- Punkte
- 153
- XF Version
- PHP-Version
- 7.0
- MySQL/MariaDB
- 5.6.24
- Provider/Hoster
- All-Ink.com
Https?
- Ersteller vFranky
- Erstellt am
- Registriert
- 30. Dez. 2010
- Beiträge
- 3.176
- Punkte
- 248
- XF Version
- 2.3.4
- XF Instanz
- Hosting
- PHP-Version
- 8.2
Super Anleitung, Danke!
Aber ich befürchte hier geht die schnell unter. Magst du die nicht hier einstellen: http://www.xendach.de/resources/categories/tipps-und-anleitungen.4/
Aber ich befürchte hier geht die schnell unter. Magst du die nicht hier einstellen: http://www.xendach.de/resources/categories/tipps-und-anleitungen.4/
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
- Registriert
- 6. Apr. 2014
- Beiträge
- 948
- Punkte
- 158
- XF Version
- 2.2..16 PL2
- XF Instanz
- Hosting
- PHP-Version
- 8.3
- Provider/Hoster
- FC-Hosting
Sorry falls die Frage etwas blöd ist, aber wie handhabt man es mit Smilies und Bildern, die User von anderer Seite eingebunden haben. Die geben ja Fehlermeldungen wenn sie über http eingebunden sind.
Gibt es da auch eine einfache Lösung?
Gibt es da auch eine einfache Lösung?
Man sollte -besonders bei werbefinanzierten Foren- eine Umstellung auf https zweimal überdenken, bevor man sie macht. Einmal umgestellt, wird man das nämlich ein Forenleben lang nicht mehr los. Man muss selbst bei Rückstellung auf http ewig parallel https mitfahren.
Die meisten Werbelieferanten (selbst Google Adsense) können nicht ausschließlich (viele auch gar nicht, oft auch gern mit fehlerhaftem Zertifikat) https Werbematerial anliefern, was zu häßlichen SSL-Fehlern bei den Besuchern deiner Seite führt. Manchmal ist nur das SSL-Symbol durchgestrichen, manchmal kommt gleich eine riesige Fehlermeldung, die auffordert eine "Ausnahme" hinzuzufügen, um die Seite besuchen zu können.
Unterm Strich ist es bei werbefinanzerten (oder in der Zukunft geplant werbefinanzierten) Webseiten mehr schädlich als nützlich auf https umzustellen. Ich würde damit noch ein paar Jahre warten.
Die meisten Werbelieferanten (selbst Google Adsense) können nicht ausschließlich (viele auch gar nicht, oft auch gern mit fehlerhaftem Zertifikat) https Werbematerial anliefern, was zu häßlichen SSL-Fehlern bei den Besuchern deiner Seite führt. Manchmal ist nur das SSL-Symbol durchgestrichen, manchmal kommt gleich eine riesige Fehlermeldung, die auffordert eine "Ausnahme" hinzuzufügen, um die Seite besuchen zu können.
Unterm Strich ist es bei werbefinanzerten (oder in der Zukunft geplant werbefinanzierten) Webseiten mehr schädlich als nützlich auf https umzustellen. Ich würde damit noch ein paar Jahre warten.
- Registriert
- 6. Apr. 2014
- Beiträge
- 948
- Punkte
- 158
- XF Version
- 2.2..16 PL2
- XF Instanz
- Hosting
- PHP-Version
- 8.3
- Provider/Hoster
- FC-Hosting
Google ist kein Problem und alle anderen Verträge habe ich gekündigt. Direktvermarkter bringen wenig und gehen stark auf die Performance.
Mir geht es eher um den anderen Http Balast wie oben beschrieben.
Mir geht es eher um den anderen Http Balast wie oben beschrieben.
Google ist leider sehr wohl ein Problem. Denn über Adsense werden auch zugelieferte Werbemittel von Drittanbietern ausgeliefert, die es nicht so ernst mit dem Zertifikat oder der https Anlieferung nehmen.
Du musst zu 100% mit Zertifikatsfehlern auf deiner Seite leben (und damit mit -je nach Browser- mehr oder weniger gravierenden Zugangsproblemen für deine User und Besucher), wenn du werbefinanziert bist und die Werbemittel nicht auf deinem eigenen Server liegen.
Du musst zu 100% mit Zertifikatsfehlern auf deiner Seite leben (und damit mit -je nach Browser- mehr oder weniger gravierenden Zugangsproblemen für deine User und Besucher), wenn du werbefinanziert bist und die Werbemittel nicht auf deinem eigenen Server liegen.
- Registriert
- 6. Apr. 2014
- Beiträge
- 948
- Punkte
- 158
- XF Version
- 2.2..16 PL2
- XF Instanz
- Hosting
- PHP-Version
- 8.3
- Provider/Hoster
- FC-Hosting
Google erklärt es so:
https://support.google.com/adsense/answer/10528?hl=de
Ich selbst habe wirklich keine Probleme mit Adsense. Mag ja in anderen Branchen anders sein.
https://support.google.com/adsense/answer/10528?hl=de
Ich selbst habe wirklich keine Probleme mit Adsense. Mag ja in anderen Branchen anders sein.
Die Erklärung von Google ist nicht ganz der Realität entsprechend. Trotzdem sie versuchen Nicht-SSL Werbemittel von der Zuteilung auszuschließen, gelingt ihnen das nicht immer. Manche Werbezulieferer geben offenbar an SSL zu liefern und tun das dann aber nicht (oder nicht korrekt). Sehr oft ist das Zertifikats-Handling nicht korrekt. Meist stimmt die Domain nicht mit dem Servernamen überein.
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
Mit Werbung kann es durchaus Probleme geben - bei Google Adsense sollte jedoch Nicht-HTTPS-Werbung dann automatisch ausgefiltert werden. Dass dies nicht (korrekt) funktioniert, habe ich noch nicht gehört, aber ich habe auch keine Erfahrungen damit.
@Delazar
Sehr gut.
Da hast du den Webserver gegenüber Logjam abgesichert.
Alternativ kann man die Bilder, die Nutzer von HTTP-Seiten eingebunden haben, natürlich auch einfach laden lassen. Schön ist das nicht, aber aktuell wird es von Browsern (bei Bildern) nicht blockiert.
@Delazar
Sehr gut.
Da hast du den Webserver gegenüber Logjam abgesichert.
Die gute Nachricht ist: Ja, bei XenForo schon. Dort kann man einfach den Bilder-Proxy aktivieren und auch alle externen Bilder werden von der eigenen Domain geladen. So werden Mixed Content-Fehlermeldungen verhindert.
Alternativ kann man die Bilder, die Nutzer von HTTP-Seiten eingebunden haben, natürlich auch einfach laden lassen. Schön ist das nicht, aber aktuell wird es von Browsern (bei Bildern) nicht blockiert.
- Registriert
- 6. Apr. 2014
- Beiträge
- 948
- Punkte
- 158
- XF Version
- 2.2..16 PL2
- XF Instanz
- Hosting
- PHP-Version
- 8.3
- Provider/Hoster
- FC-Hosting
Den Bild Proxy habe ich mittlerweile auch entdeckt und aktiviert. Wie ist das mit dem Secret Key? Wird der automatisch vergeben oder muss ich da was eintragen?
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
@Delazar
Da ist ja jemand sehr ehrgeizig.
DNSSEC (und DANE) würde das natürlich nochmal toppen und wäre zumindest für den kleinen Teil der Webseitenbesucher sinnvoll, welche ein entsprechendes Browser-Add-on dafür benutzen.
Aber wenn du es hin bekommst - gut. Da dies allerdings tief ins DNS-System geht ist es wohl nur möglich mit viel Kooperation des Hosters.
Davor würde ich jedoch empfehlen erst mal HPKP einzuführen. Dies ist ein einfacher Header. Wie gesagt, kann ich dazu auch gerne noch etwas schreiben - wobei dies eigentlich sehr viel leichter ist, als SSL an sich.
Bis dahin helfen hoffentlich auch diese Links weiter:
Da ist ja jemand sehr ehrgeizig.
DNSSEC (und DANE) würde das natürlich nochmal toppen und wäre zumindest für den kleinen Teil der Webseitenbesucher sinnvoll, welche ein entsprechendes Browser-Add-on dafür benutzen.
Aber wenn du es hin bekommst - gut. Da dies allerdings tief ins DNS-System geht ist es wohl nur möglich mit viel Kooperation des Hosters.
Davor würde ich jedoch empfehlen erst mal HPKP einzuführen. Dies ist ein einfacher Header. Wie gesagt, kann ich dazu auch gerne noch etwas schreiben - wobei dies eigentlich sehr viel leichter ist, als SSL an sich.
Bis dahin helfen hoffentlich auch diese Links weiter:
- Funktionsweise: http://www.golem.de/news/https-zert...tigen-zertifizierungsstellen-1410-109799.html
- Einrichtung: https://blog.pregos.info/2015/02/23/http-public-key-pinning-hpkp-erklaerung-und-einrichtung/ oder https://scotthelme.co.uk/hpkp-http-public-key-pinning/
- Zusammengefasste Erklärung und Test: https://www.computerguard.de/thread...security-policy-http-public-key-pinning.9666/
- Und wir nutzen dazu noch diesen Dienst (auch in dem vorherigen Link bei Computerguard erwähnt): https://report-uri.io/
- Registriert
- 18. Jan. 2011
- Beiträge
- 704
- Punkte
- 108
- XF Version
- 1.5.2
- PHP-Version
- 5.4.45
- MySQL/MariaDB
- 5.5.46
- Provider/Hoster
- Privater
Hi,
bei United Domains gibt es zur Zeit keine Möglichkeit DNSSEC einzutragen. Kennt jemand von euch einen Domain Provider der so etwas anbietet?
Danke
Delazar
bei United Domains gibt es zur Zeit keine Möglichkeit DNSSEC einzutragen. Kennt jemand von euch einen Domain Provider der so etwas anbietet?
Danke
Delazar
rugk
Aktives Mitglied
- Registriert
- 10. Dez. 2014
- Beiträge
- 72
- Punkte
- 43
Hier solltest du fündig werden: http://www.heise.de/netze/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html
DNSSEC bzw. Dane ist aktuell noch sehr schwierig.
internetx.com und inwx.de (über support) bietet zumindest das Hinterlegen von den Daten an.
Bei den Nameservern ist es durchaus schwieriger.
Ich habe "eigene" Nameserver (PowerDNS) und bin eigentlich recht zufrieden.
Könnt ja mal gucken
https://youcancraft.de/
HSTS wird bei ssllabs nicht angezeigt weil bei mir der Parameter SubDomains fehlt.
internetx.com und inwx.de (über support) bietet zumindest das Hinterlegen von den Daten an.
Bei den Nameservern ist es durchaus schwieriger.
Ich habe "eigene" Nameserver (PowerDNS) und bin eigentlich recht zufrieden.
Könnt ja mal gucken
https://youcancraft.de/
HSTS wird bei ssllabs nicht angezeigt weil bei mir der Parameter SubDomains fehlt.