Mittwoch, 10. Juli 2013
Kein sicheres SSL auf blogger.de? Warum?
Versucht man, www.blogger.de verschlüsselt mittels SSL bzw. mit Präfix https:// aufzurufen, erhält man diese deutliche Warnung:
"Dieser Verbindung wird nicht vertraut
Sie haben versucht, eine gesicherte Verbindung zu www.blogger.de aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.
Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
www.blogger.de verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für folgende Namen:
ssl.ps3heroes.com , www.ssl.ps3heroes.com
(Fehlercode: ssl_error_bad_cert_domain)"
Frage also an die Administration hier: Warum hat dieser Bloghost hier kein sicheres Schlüsselzertifikat? Kommt ein sicherer verschlüsselter und korrekt zertifizierter Zugang zu blogger.de noch? und wenn ja, wann?
"Dieser Verbindung wird nicht vertraut
Sie haben versucht, eine gesicherte Verbindung zu www.blogger.de aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.
Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
www.blogger.de verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für folgende Namen:
ssl.ps3heroes.com , www.ssl.ps3heroes.com
(Fehlercode: ssl_error_bad_cert_domain)"
Frage also an die Administration hier: Warum hat dieser Bloghost hier kein sicheres Schlüsselzertifikat? Kommt ein sicherer verschlüsselter und korrekt zertifizierter Zugang zu blogger.de noch? und wenn ja, wann?
Ich kenne die Technik hinter blogger.de nicht im einzelnen, allerdings ist es generell nicht so, dass man überall einfach "https" statt "http" vor die URL schreiben kann und damit eine "sichere" Verbindung bekommt: Dieses verschlüsselte Protokoll verursacht eine höhere Serverlast und (auch durch die benötigten Zertifikate) höhere Kosten für den Betreiber. Deshalb wird die Technik vor allem bei sicherheitskritischen Datenübermittlungen verwendet. Dazu zählt das Bloggen aus meiner Sicht nicht.
nnier, 10. Jul 2013, 01:03
| link
... kommentieren
Ich habe inzwischen ein selbstsigniertes Zertifikat hinterlegt. Allerdings generiert Antville hier nicht automatisch https-Links. Dementsprechend kann man nun zwar jede URL auf Blogger.de mit https aufrufen, sobald man aber irgendwas macht, also irgendwohin navigiert, ist man wieder auf http.
Ich könnte Blogger.de komplett auf https umstellen, allerdings kostet ein vernünftiges Wildcardzertifikat locker um die 200 bis 300 € pro Jahr. Das ist schon keine Kleinigkeit...
dirk olbertz, 10. Jul 2013, 09:41
| link
Mittlerweile haben sich die Preise für Zertifikate deutlich nach unten verändert und es gibt auch kostenlose Zertifikate. Außerdem ist die Belastung durch die Kryptographie bei der Performance nicht mehr wahrnehmbar.
Wenn auf blogger.de der sog. Fingerprint eines Zertifikates veröffentlicht und immer mal wieder kontrolliert wird, dürfte auch ein selbstsigniertes Zertifikat für die Zwecke hier OK sein (das wahrscheinlich ohnehin sicherer als die meisten "öffentlichen" Zertifikate sein dürfte).
Darüber hinaus muß der Webserver natürlich für die SSL-Unterstützung eingerichtet sein und weiterhin sollten dann einfache Anfragen mit http://... auf https://.. mit folgendem Eintrag z.B. in einer index.php umgeleitet werden:
<?php
if (!empty($_SERVER['HTTPS']) && ('on' == $_SERVER['HTTPS'])) {
$uri = 'https://';
} else {
$uri = 'http://';
}
$uri .= $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
header('Location: '.$uri);
exit;
?>
Wenn auf blogger.de der sog. Fingerprint eines Zertifikates veröffentlicht und immer mal wieder kontrolliert wird, dürfte auch ein selbstsigniertes Zertifikat für die Zwecke hier OK sein (das wahrscheinlich ohnehin sicherer als die meisten "öffentlichen" Zertifikate sein dürfte).
Darüber hinaus muß der Webserver natürlich für die SSL-Unterstützung eingerichtet sein und weiterhin sollten dann einfache Anfragen mit http://... auf https://.. mit folgendem Eintrag z.B. in einer index.php umgeleitet werden:
<?php
if (!empty($_SERVER['HTTPS']) && ('on' == $_SERVER['HTTPS'])) {
$uri = 'https://';
} else {
$uri = 'http://';
}
$uri .= $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
header('Location: '.$uri);
exit;
?>
shorty2, 05. Jan 2015, 16:58
| link
... kommentieren