Nachdem zumindest Esoterische Warn Welten gemerkt hat, dass wir über https erreichbar sind, hier auch von uns ein kurzer Blog zum Thema.
Seit 10. November sind unsere Seiten auch per https erreichbar. https hat vor allem den Vorteil der Verschlüsselung; im Wesentlichen kann auch theoretisch niemand mehr mitlesen, da alles verschlüsselt hin- und hergeschickt wird. Das ist vor allem für Logins interessant. Wenn man nur lesend auf unsere Seiten zugreift, hat man keinerlei Vorteil davon.
Wer also wie gehabt unsere Seiten ansurfen will, kann also https getrost ignorieren. Wer es gerne verwenden möchte, dem sei hiermit die Möglichkeit geboten.
Viele Links gehen bei uns (vor allem im Blog) auf die http-Version, daher nicht wundern, wenn man nach ein paar Klicks im Blog plötzlich wieder mit http unterwegs ist.
Das Zertifikat haben wir selbst ausgestellt und daher warnen Browser, da sie den Aussteller nicht kennen. Das ist aber kein Problem.
Die Idee hinter der Namensprüfung ist es, Vertrauen zu schaffen. Als Webseitenbetreiber hat man das Problem, dass Nutzer und vor allem Kunden einem Vertrauen entgegenbringen sollen. Das gilt im besonderen für Shops oder Banken. Der Kunde soll sicher sein, dass seine Daten wie Kreditkarteninformationen wirklich an den Betreiber der gewünschten Seite gehen.
Daher hat man im Prinzip als Mittelsmann den Zertifikatsaussteller gesetzt. Dieser prüft und garantiert, dass der Webseitenbetreiber wirklich die Seite besitzt. Der Kunde wiederum vertraut dem Aussteller, dass dieser sorgfältig geprüft hat. Über den Mittelsmann wird also quasi eine Vertrauensgrundlage geschaffen. Der Browser hat diverse Aussteller hinterlegt, die als vertrauenswürdig betrachtet werden. Trifft er nun (wie in unserem Fall) auf einen unbekannten Aussteller, warnt er davor.
Dieses System hat einige Schwächen, so garantiert es z.B. nur, dass die Webseite tatsächlich den angezeigten Namen trägt. Wenn man also einen Shop wie „anazon.com“ ansurft, garantiert das Zertifikat nur, dass in der URL wirklich anazon.com steht. Dass man sich in Wirklichkeit nur vertippt hat, fällt unter Umständen gar nicht auf. Es gibt noch weitere Probleme, https bewahrt nicht davor Vorsicht walten zu lassen wenn man Daten eingibt.
Darum und aufgrund der Tatsache, dass wir kein Shop sind, dass niemand bei uns vertrauliche Informationen eingeben muss, haben wir uns entschieden, selbst ein Zertifikat auszustellen. Die Verbindung ist damit nicht weniger sicher.
Um die Warnung loszuwerden, installiere man bitte folgendes Zertifikat:
Psiram Root Zertifikat
Klickt man den Link an, so fragt der Firefox, zu welchem Zweck man dem Zertifikat vertrauen möchte. Man wählt zumindest „Webseiten identifizieren“ und schon bekommt man keine Warnung mehr. Im Chrome geht es ähnlich, dort wählt man einfach Import.
Im Internet Explorer ist es etwas aufwändiger, dort muss man „Zertifikat installieren“ wählen und dann manuell festlegen, dass er das Zertifikat im Speicher für „Vertrauenswürdige Stammzertifizierungsstellen“ ablegen soll.
In anderen Browsern geht es ähnlich, wenn jemand Fragen dazu hat, werden wir diesen Blog um entsprechende Antworten erweitern.
„Viele Links gehen bei uns (vor allem im Blog) auf die http-Version, daher nicht wundern, wenn man nach ein paar Klicks im Blog plötzlich wieder mit http unterwegs ist.“
Leider kann ich hier keinen Code posten. Mit HTTPS Everywhere unter FF/Chrome funktioniert das Umleiten von http auf https.
Wer Interesse daran hat wie das geht, kann das unter Update nachlesen.