Gesicherte Verbindung zum Forum

Die kurze Version:

Das Forum kann jetzt https.

Die lange Version:

Hallo allerseits,

Uns liegt eure und unsere Privatsphäre am Herzen. Auch wenn wir nicht gerade eure Bankdaten verwalten, schreibt ihr hier PMs, habt eine Email-Adresse hinterlegt, etc..

Ihr passt auf Eurem Rechner gut drauf auf, und wir auf dem Kerzenburg-Sever natürlich auch, aber dazwischen trudeln sie unverschlüsselt (nicht euer Passwort, aber sonst alles) durch's Internet.

Jemand, der Zugriff irgendwo dazwischen hat - neben Geheimdiensten auch Malware die Zugriffe umleitet - kann theoretisch mitlesen und reinpfuschen. Das geht auch mit verschlüsselten Seiten noch, fällt aber eher auf.

Deswegen wollen wir jetzt das machen, was Banken und etliche Online-Shops auch tun - die Verbindung verschlüsseln.


Die Zusammenfassung:

Probiert doch mal die verschlüsselt übertragene Form des Forums und Wikis aus und gebt Bescheid, wenn euer Browser noch Fehler meldet. Positives Feedback ist natürlich auch gerne gesehen


Nach einer erfolgreichen Testphase wird die Verbindung in Zukunft automatisch über https statt http erfolgen.

So sieht man's:

Sehr schön.
Funktioniert einwandfrei bei mir und habe sofort mein Lesezeichen geändert.

Hmmm... *grübel*

Wow, was man alles entdeckt, wenn man bei der Gartenarbeit eine Pause macht...
Fazit also für mich: Ruhig öfter mal Pause machen.

Klasse Sache, vielen Dank, Durandil!
Das unterstützt unser Achten auf die Privatsphäre hier nochmal ein Stück.

Yay, Danke!

Getestet und für gut befunden..

Bin gerade darüber drin, und funktioniert soweit einwandfrei!

Tolle Sache!

Sir Darian: Diese Schlussfolgerung hätte ich jetzt auch gezogen!

Funktioniert, sehr gute Idee, ich bin begeistert

Funktioniert auch bei mir einwandfrei! Danke für die Mühen Dura!

Ja das kann man doch nur begrüßen. Danke!

Mein Firefox warnte mich merhmals nachdrücklich und dringend, dieser Seite mit möglicherweise gefälschten Daten und der Möglichkeit von Identitätsdiebstahl nicht zu vertrauen... Ich habe Firefox ignoriert...

@Admins

Super Idee, vielen Dank.


@Rhonwen

Merkwürdig, bei mir kam nicht der geringste Hinweis.


@Alle

Hat jemand eine Idee, wieseo bei Rhonwen Warnungen kammen und bei mir nicht eine einzige?

Schön zu hören, das sichere Verbindungen jetzt möglich sind.

Zwecks StartSSL und Firefox, haben für kleinere Projekte auf Arbeit schon öfters mal ein Zertifikat von StartSSL in ner Testphase verwendet (Symantec braucht meistens viel zu lang mit ihrem Sicherheitsanruf ) und Firefox kommt wohl nicht so ganz gut klar auf die Zertifikate, hatten es schon das einer von zwei Rechnern mit der gleichen Version das Problem mit den "gefälschten Daten" hatte, der andere wiederum nicht, nach ein paar Tagen war das Problem (ohne Update der FF Version) wie von Geisterhand verschwunden...

Alle anderen Browser die wir getestet hatten (IE8, 9, 10, 11, Chrome, Opera und selbst Iceweasel) hatten diese Probleme nicht...

Hmmm.. interessant
Ohne Update der Browser-Version klingt echt geisterhaft. Insbesondere, da FF ja seine eigene Zertifikatsverwaltung mit sich bringt. Dachte erst, dass die von Windows evtl. aktualisiert worden wäre, dürfte hier aber keine Rolle spielen. Es sei denn, FF lädt im Hintergrund ggfls. dynamisch Rückruflisten? Aber warum sollte dann StartSSL als CA temporär und auf einzelnen Rechnern auf so einer stehen?

Habe StartSSL-Zertifikate an anderer Stelle schon länger in Gebrauch und da noch nie Probleme gehabt, bzw. noch nie mitgeteilt bekommen.

Voraussetzung ist natürlich ein einigermaßen aktueller Browser, SHA-256 als Hash-Methode und ECDHE_RSA für den Schlüsselaustausch kann nicht jeder alte Browser. Im Gegensatz zu einigen kommerziellen Zertifikaten, die manchmal nichtmal Perfect Forward Secrecy unterstützen. Außerdem kann man StartSSL auch nur eine CSR übermitteln und muss nicht das komplette Paar dort generieren lassen.

Habe auch überlegt, ob ich die 60 $ für eine persönliche Validierung ausgebe, damit ich ein Class 2-Zertifikat verwenden kann. Aber das sind ja wiederkehrende Kosten ohne (z.B. hier) wirksamen Zugewinn.

Firefox-User können die Qualität von https-Verbindungen z.B. mit dem Addon Calomel SSL Validation immer schnell sehen.

Symantec/Verisign verwende ich nur für's Code Signing, MS hat oder hatte Dienste, die darauf bestanden.

Ach ja, eines fällt mir noch ein: Firefox warnt (afaik nur über's Symbol), wenn eine Seite unsichere Elemente enthält. D.h. wenn in einem Post eine Grafik noch über http:// statt https:// eingebunden wäre. Ich habe das hoffentlich großflächig in der Datenbank ersetzen lassen, kann aber nicht ausschließen, dass es einzelne Posts mit Sonderfällen gibt.

Wenn so etwas also nochmal jemandem vorkommt: bitte Adresse der Seite aus der URL-Leiste rauskopieren und mir mitteilen, dann schaue ich, welche unsicheren Elemente da sind und noch korrigiert werden können.

Dachte erst, dass die von Windows evtl. aktualisiert worden wäre, dürfte hier aber keine Rolle spielen.

Zum Vergrößern anklicken....

Kann ich bestätigen, da FF wie gesagt seine eigene Zertifikatsverwaltung mitbringt...

Wir haben auch mit Class2 Zertifikaten von StartSSL getestet, hat aber keinen Unterschied gemacht, Calomel hat auch gemeldet dass alles in Ordnung sei, aber trotzdem trat dieses Problem ein paar Tage lang an nem Testrechner auf...

Naja, ich habe dem Forum vertraut, weil ich ja von der Umstellung wusste, bei anderen Seiten hätte ich das nicht getan.

Und seit ich das Forum als Ausnahme eingestellt habe, kommt die Warnung nicht mehr. Ob es allerdings an der Ausnahmeregelung oder der Lernfähigkeit von FF liegt, weiß ich nicht.

Hast du denn eine aktuelle FF Version?

Top! Danke, Dura.

Ja, Caesar, habe ich. Glaube ich jedenfalls, wenn seit Pies letzten Meldungen nicht heimlich eine neue Version erschienen ist.

Gerade gesehen... Firefox warnt ja auch, wenn Seitenelemente nur http und noch nicht https sind. Es gab noch ein Signaturbild, dass noch nicht automatisch auf https umgestellt war, Seiten, in denen jener User gepostet hat, wurden daher von Firefox angemahnt... vllt. war's ja das