in eigener Sache: HTTPS statt HTTP

SSL

Eine kurze Statusinfo: seit diesem Wochenende ist das dt über die URL https://www.designtagebuch.de erreichbar. Die Übertragung von Daten, seien es Stellenanzeigen-Aufträge, Kontaktanfragen oder Kommentare, erfolgt nunmehr mittels TLS-Verschlüsselung.

Die Umstellung verlief weitestgehend reibungslos. Nach zwanzig Minuten war alles erledigt. Einziger Wermutstropfen: im Zuge dessen gingen die vielen tausend Likes (Facebook, Twitter, Google und Pinterest verloren. Bitte also nicht wundern, dass fast alle Beiträge derzeit noch null Likes haben. Wer diesbezüglich eine Lösung zum Restore der Likes kennt, die sich ohne zusätzliches Plugin realisieren lässt, ist herzlich eingeladen diese zu teilen. Ich freue mich über jeden Kommentar.

Wer für eigene Projekte noch eine sehr gute Anleitung zur HTTP-auf-HTTPS-Umstellung von WordPress getriebenen Websites sucht, dem sei zudem der Beitrag von Sonia Rieder auf webtimiser.de ans Herz gelegt.

Für dt-Leser ändert sich übrigens rein gar nichts.

Weiterhin kreative Momente wünscht
Achim Schaffrinna

13 Kommentare zu “in eigener Sache: HTTPS statt HTTP

  1. Die Likes lassen sich wohl nicht mehr reaktivieren, denn die gehören zur jeweiligen URL – in diesem Fall die mit http davor (ein nach Jahren geänderter Tippfehler in der Adresse hat dieselbe Auswirkung). Für Facebook sind das zwei verschiedene Adressen.

    Man kann nun aufwendig die canonical– und og:url-Metatags auf die „http“-Version umschreiben, sobald der Facebook-Bot die Seite aufruft, aber das wäre äußerst umständlich.

  2. NetzBlogR – inwiefern wäre das denn aufwendig?

    Aktuelle URL Abrufen & https mit http ersetzen und dann in das Canonical & OG-Tag schreiben lassen. 5-10 Zeilen Code. Da das hier sicherlich eine modular aufgebaute Seite ist, lässt sich das doch im Mastertemplate einfügen.

      • Sollte wirklich kein großes Ding sein. Und hier ist ja, zumindest dem Quelltext nach, kein extra SEO-Plugin aktiv. Aber selbst damit bekommt man das recht fix in den Griff (für Mitleser: die meisten SEO-Plugins haben entspr. Filter-Hooks gesetzt, um die Ausgabe der Meta-Tags etc. noch nachträglich oder bereits während der Erzeugung individuell anzupassen).

        cu, w0lf.

  3. Ich vermisse in dem kurzen Beitrag eine aufklärerische Info, wie wichtig https in der heutigen Zeit ist. Im DT sind so viele Fachartikel. Aber bis heute fehlt das Bewusstsein in den Köpfen der Konzepter und einiger Webentwickler: Alles ohne TLS ist unprofessionell.

    Und mit Let’s Encrypt gibt’s längst kostenlose Zertifikate, die einige Hosting-Anbieter kostenlos an ihre Kunden weitergeben.

      • Aber gerne doch ;)

        Nein, aber ernsthaft: Kein Nutzer sieht, was bspw. mit den eigenen persönlichen Daten oder Login-Daten passiert. Denn wer stellt sich beim Benutzen einer Website schon die Frage:

        Ist der Computer, an dem ich mich gerade einlogge, frei von Malware?
        Bin ich in einem sicheren, vertrauenswürdigen WLAN?
        Ist der Webserver sicher, auf dem ich mich einlogge?
        Landen meine persönlichen Daten (Bewerbungen, Anmeldedaten, Kreditkartendaten, etc.) jetzt nur beim Empfänger oder doch noch wo anders?
        usw.

        Manch einer mag denken, dass diese Fragen schon Paranoia sind. Aber wer von uns hat schon die Kompetenz, diese Fragen zu beantworten? Und Websites mit einem grünen Schloss in der Browserleiste sind mehr als nur ein gutes Gefühl, es ist ein Baustein im Konzept digitaler Sicherheit.

        Siehst Du das nicht auch so, Achim?

      • Absolut. Aus eben jenen von Dir genannten Gründen erfolgte die Umstellung auf https. Sicherheit und das damit verbundene gute Gefühl, auf Seiten der Nutzer wie auch auf meiner Seite als Admin, sind mir dann doch wichtiger als die zugegebenermaßen vielen tausend Likes, die nun verschütt gegangen sind.

  4. Ein sinnvoller Schritt in die richtige Richtung. Du könntest aber noch mehr machen, um dem „aktuellen Stand der Technik“ zu entsprechen: Jetzt noch bei der DENIC einen DNSSEC-Eintrag hinterlegen (ist Aufgabe des Hosters) und dann im DNS einen TLSA-Eintrag ergänzen, dann kann man per DANE auch verlässlich prüfen, ob das SSL-Zertifikat nicht gefälscht wurde oder man auf eine Fake-Version von designtagebuch.de umgeleitet wurde (die Prüfung setzt derzeit z.B. das DNSSEC-Validator Plugin für Firefox oder Chrome voraus, sowie dass der Resolver des Internetprovider des Nutzers und der Router die DNSSEC-Antworten korrekt weiterleiten, was glücklicherweise immer häufiger der Fall ist). Außerdem empfiehlt sich ein CAA-Eintrag im DNS, damit wirklich nur Geotrust Zertifikate für diese Domain ausstellt (wenn versucht wird, ein Zertifikat für designtagebuch.de über eine andere Zertifizierungsstelle auszustellen, bekommst du eine Warnmeldung und verantwortungsbewusste CAs sollten die Fake-Ausstellung eines Zertifikats verhindern – so zumindest die Idee dahinter). Schließlich solltest du noch HPKP (public key pinning) in Betracht ziehen – damit wird dein Zertifikat „gepinnt“ und die Browser können direkt beim Aufruf prüfen, ob das korrekte Zertifikat genutzt wird (ähnlich wie bei DANE, allerdings wird HPKP schon nativ von Chrome und Firefox unterstützt). HPKP sollte aber mit Bedacht eingesetzt werden, da man auch einen Ersatz-Pin für einen Ersatz-Key hinterlegen muss, der dann im Falle einer Komprimittierung für die Erstellung des Nachfolge-Zertifikats genutzt werden muss (vorher gut einlesen ins Thema, bei Fehlern kann die Website unerreichbar werden, sinnvoll ist es aber trotzdem). Weniger dramatisch als HPKP, aber ebenso sinnvoll ist das setzen eines HSTS-Headers (Strict transport security), damit die Browser bei zukünftigen Aufrufen der Website gar nicht erst versuchen, eine unverschlüsselte Verbindung über http herzustellen, z.B. wenn man nur designtagebuch.de eingegeben hat (ohne https…)… dann klappts auch mit dem A+ bei ssllabs.com :-)

Kommentar verfassen

Folgende HTML-Elemente können verwendet werden: <b> <i> <img src="meineurl"> <a> <blockquote>