Endlich HTTPS

Hallo zusammen,

Es wird einige von euch sicher freuen, dass wir nun endlich die Seiten des Spielfreude e.V. über eine verschlüsselte Verbindung (HTTPS) ausliefern. Alle anderen merken hoffentlich nichts davon ;-)

Wir verwenden Zertifikate von Let's Encrypt. Am besten beschreibt es die Homepage von Let's Encrypt selbst: "Let's Encrypt is a free, automated, and open Certificate Authority." Für uns bedeutet das, dass weder (bisher teilweise sehr viel) Geld für die Zertifikate bezahlen müssen noch immer wieder aufwändig per Hand die Zertifikate aktualisieren müssen.

Ich habe mich dazu entschieden, die verschlüsselte Verbindung für alle Besucher/Benutzer der Seite verpflichtend zu machen. Es gibt also eine automatische Weiterleitung von HTTP (alt, unverschlüsselt) nach HTTPS (neu, verschlüsselt). Damit sollten gleichzeitig keine Links unerreichbar werden.

Woran erkenne ich das?

Als wesentlichen Unterschied solltet ihr jetzt beinahe immer in eurem Browser ein Schloss oben neben der Adress-Leiste sehen. Die verschiedenen Browser zeigen das sehr unterschiedlich an.

Das Schloss ist nicht grün / nicht da. Ist das ein Problem?

Auf manchen Seiten wird die Verbindung weiterhin als "nicht sicher" von den Browsern angezeigt. Je nach Browser fällt diese Anzeige unterschiedlich "aggressiv" aus.

Meistens ist der Grund dafür ein Bild, das auf der Seite angezeigt wird, aber seinerseits nicht über eine HTTPS-Verbindung abgerufen wird. Das ist oft bei externen Bildern der Fall, aber auch bei eigenen Bildern, die mit einer herkömmlichen, absoluten URL (also inklusive "http://") verlinkt wurden. Das ist normalerweise kein Problem, nur ein bisschen unsauber. Mit der Zeit werden solche Bilder vielleicht nach und nach korrigiert. Am besten ist es, wenn die Bild-URL relativ zur aktuellen Domain ist - also mit einem "/" anfängt.

Hat sich dadurch die Sicherheit der Seite verbessert?

Ja, in einem wichtigen Aspekt. Die Seite selbst ist auch bisher relativ sicher gewesen. Es ist jetzt allerdings viel schwieriger für einen möglichen Angreifer, den Besuch eines Benutzers "mitzulesen".

Mit anderen Worten: Wie schon immer, sind die nicht-öffentlichen Beiträge für niemand abrufbar, der nicht die nötige Berechtigung hat. Bisher wäre es einem Angreifer allerdings im Prinzip möglich gewesen, eine Seite die ihr (berechtigt) abruft, im Netzwerk "mitzulesen". Auch Passwörter hätte man so stehlen können. Besonders kritisch war das etwa bei öffentlichen WLAN-Netzwerken. Das ist jetzt für Angreifer wesentlich schwieriger und die Daten, die zwischen eurem Browser und dem Server ausgetauscht werden, bleiben geheim.

Fazit

Eine totale Sicherheit im Internet gibt es aber natürlich nicht. Weiterhin ist es wichtig, dass ihr auf die eingestellten Zugriffsrechte achtet, sowie darauf, in welchem Container ihr einen Beitrag postet.

Während wir versuchen, den Server und die dortige Datenbank möglichst gut zu schützen, liegen bei den Benutzern gespeicherte Passwörter, der Browser-Verlauf oder zwischengespeicherte Seiten außerhalb unseres Einflusses. Der Weg dazwischen, der auf jeden Fall durch das (öffentliche) Internet verläuft, ist jetzt immerhin deutlich besser geschützt.

Probleme/Fragen/Anmerkungen/Danksagungen gerne hier schreiben :-)

Viele Grüße
Roland/Elpy