tirsales.de und SSL die Zweite

3. November 2010 - 22:15 |

Den Gedankenraum könnt ihr sowohl unverschlüsselt über http://www.tirsales.de/ als auch verschlüsselt über https://www.tirsales.de/ erreichen. Die Verschlüsselung erfolgt dabei mittels SSL/TLS.

Einer der Vorteile von SSL (hier als https) ist, dass der Benutzer sicherstellen kann, dass er auf dem richtigen Server ist - beim Onlinebanking beispielsweise ganz praktisch, damit man die PIN nicht auf dem falschen Server eingibt. Dafür braucht der Server ein Zertifikat.

Dieses Zertifikat muss von irgendeiner Stelle beglaubigt werden (JA, der Server gehört wirklich der Deutschen Bank)… so eine Beglaubigung kostet Geld. Das ist Geld, dass ich derzeit nicht ausgeben will. Mein SSL-Zertifikat wurde daher von CaCERT signiert. Viele Browser halten CaCERT nicht für vertrauenswürdig – daher gibts eine Sicherheitswarnung, wenn ihr verschlüsselt auf mein Blog zugreift.

Keine Angst: Das ist völlig normal und braucht euch nicht zu beunruhigen. Ich halte nur mein Geld derzeit an anderer Stelle für besser angelegt ;)

Und warum SSL? Ganz einfach – ich möchte dem Benutzer die Wahl lassen ob er verschlüsselt oder unverschlüsselt auf mein Blog zugreift. Hier mag das irrelevant sein, aber nicht in jedem Land ist der Zugriff auf politische Inhalte legal … SSL ermöglicht es die Wahrscheinlichkeit zu erhöhen, dass Leitungsschnüffler weniger Freude haben – daher fände ich persönlich es ideal, wenn JEDER Server im Internet auch verschlüsselten Zugriff anbieten würde.

Zudem greife auch ich verschlüsselt auf mein Blog zu – meine Logindaten gehen meinen Provider ja nun nichts an ;)

Und warum gehen die Kurzlinks wie http://snerz.de/iw8 nun auf eine verschlüsselte seite? Ganz einfach … weil ich verschlüsselt auf die Seite gehe und der Kurzlink daher auf diese Version verweist. Ausserdem hat ein verschlüsselter Zugriff für euch keinerlei Nachteile ;) Die Sicherheitswarnung ist ein Zeichen, dass euer Browser aufpasst und solange ihr keine wertvollen Logindaten (bsp. bei Banken, Internetforen, oÄ) weitergebt, kann es euch auch herzlich egal sein ob das Zertifikat signiert ist oder nicht.

Wen es stört: Der Zugriff via http statt https (also unverschlüsselt) ist jederzeit weiterhin möglich.

Blog reactions

No reactions yet.
Tags:

Flattr
  1. Bernd (nicht überprüft) on 5. Dezember 2010 - 23:42

    Eine weitere Möglichkeit ist das Zertifikat von CAcert in den Browser zu importieren. Das hat den Vorteil, dass auch alle anderen Webseiten die sich dieses freien (Monopol und Kosten) Service bedienen bei Euch ohne Warnung angezeigt werden.

    Dazu (Firefox) auf die folgende Webseite gehen, das "Root Certificate (PEM Format)" anclicken. Bei dem Dialog der dann hochkommt auf "Ansehen" clicken um den SHA1 Fingerprint mit der Angabe von CAcert zu vergleichen (am besten eine zweite Quelle konsultieren, steht auf CAcert Anträgen oder auch in der ct stand der Fingerprint mal). Nach dem Vergleichen dann die Verwendung aktivieren (mindestens Webseite und E-Mail würde ich sagen). Und dann annehmen.

    http://www.cacert.org/index.php?id=3

    SHA1: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33

    Übrigens: statt dem Root Zertifikat kann man auch das "Intermediate" Zertifikat "Class3" importieren, dann werden aber nur die CAcert Zertifikate vertraut die aufwändiger überprüft wurden - das hilft Euch bei Tirsales.de nicht.

    Im Firefox finden sich beide Zertifikate unter "Extras -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Zertifizierungsstellen" Dort "Root CA / CAcert Class 3 Root" oder "Root CA / CA Cert Signing Authority". Dort kann man auch "Bearbeiten" und bei letzterer die Verwendung für Webseiten, Email und Software wieder abschalten.

  2. Jan Ehrhardt (nicht überprüft) on 15. April 2012 - 12:43

    Für Benutzer noch einfacher wäre die Verwendung eines SSL Zertifikats von StartSSL https://www.startssl.com/?app=40. Die bieten ein kostenloses Zertifikat, das aber den gängigen Browsern bekannt ist.

    Damit könnte die Seite komplett über SSL zugänglich gemacht werden und der Benutzer hat keinen extra Aufwand.