Https?

Ok gelesen . Dann muss ich dies mal in aller Ruhe Schritt für Schritt machen. Hoffe das klappt :) Danke für die Anleitung im Voraus !! @rugk
 
@rugk
Danke für die Tipps. Vorher hatte ich B und jetzt A+.
Vorher:
Würfel_10.jpg

Nachher:
Würfel_9.jpg
 
Sorry falls die Frage etwas blöd ist, aber wie handhabt man es mit Smilies und Bildern, die User von anderer Seite eingebunden haben. Die geben ja Fehlermeldungen wenn sie über http eingebunden sind.
Gibt es da auch eine einfache Lösung?
 
Man sollte -besonders bei werbefinanzierten Foren- eine Umstellung auf https zweimal überdenken, bevor man sie macht. Einmal umgestellt, wird man das nämlich ein Forenleben lang nicht mehr los. Man muss selbst bei Rückstellung auf http ewig parallel https mitfahren.

Die meisten Werbelieferanten (selbst Google Adsense) können nicht ausschließlich (viele auch gar nicht, oft auch gern mit fehlerhaftem Zertifikat) https Werbematerial anliefern, was zu häßlichen SSL-Fehlern bei den Besuchern deiner Seite führt. Manchmal ist nur das SSL-Symbol durchgestrichen, manchmal kommt gleich eine riesige Fehlermeldung, die auffordert eine "Ausnahme" hinzuzufügen, um die Seite besuchen zu können.

Unterm Strich ist es bei werbefinanzerten (oder in der Zukunft geplant werbefinanzierten) Webseiten mehr schädlich als nützlich auf https umzustellen. Ich würde damit noch ein paar Jahre warten.
 
Google ist kein Problem und alle anderen Verträge habe ich gekündigt. Direktvermarkter bringen wenig und gehen stark auf die Performance.
Mir geht es eher um den anderen Http Balast wie oben beschrieben.
 
Google ist leider sehr wohl ein Problem. Denn über Adsense werden auch zugelieferte Werbemittel von Drittanbietern ausgeliefert, die es nicht so ernst mit dem Zertifikat oder der https Anlieferung nehmen.

Du musst zu 100% mit Zertifikatsfehlern auf deiner Seite leben (und damit mit -je nach Browser- mehr oder weniger gravierenden Zugangsproblemen für deine User und Besucher), wenn du werbefinanziert bist und die Werbemittel nicht auf deinem eigenen Server liegen.
 
Danke für den Hinweis
 
Google erklärt es so:
https://support.google.com/adsense/answer/10528?hl=de

Ich selbst habe wirklich keine Probleme mit Adsense. Mag ja in anderen Branchen anders sein.

Die Erklärung von Google ist nicht ganz der Realität entsprechend. Trotzdem sie versuchen Nicht-SSL Werbemittel von der Zuteilung auszuschließen, gelingt ihnen das nicht immer. Manche Werbezulieferer geben offenbar an SSL zu liefern und tun das dann aber nicht (oder nicht korrekt). Sehr oft ist das Zertifikats-Handling nicht korrekt. Meist stimmt die Domain nicht mit dem Servernamen überein.
 
Mit Werbung kann es durchaus Probleme geben - bei Google Adsense sollte jedoch Nicht-HTTPS-Werbung dann automatisch ausgefiltert werden. Dass dies nicht (korrekt) funktioniert, habe ich noch nicht gehört, aber ich habe auch keine Erfahrungen damit.

@Delazar
Sehr gut. :)
Da hast du den Webserver gegenüber Logjam abgesichert. :good3:

Sorry falls die Frage etwas blöd ist, aber wie handhabt man es mit Smilies und Bildern, die User von anderer Seite eingebunden haben. Die geben ja Fehlermeldungen wenn sie über http eingebunden sind.
Gibt es da auch eine einfache Lösung?
Die gute Nachricht ist: Ja, bei XenForo schon. Dort kann man einfach den Bilder-Proxy aktivieren und auch alle externen Bilder werden von der eigenen Domain geladen. So werden Mixed Content-Fehlermeldungen verhindert.
Alternativ kann man die Bilder, die Nutzer von HTTP-Seiten eingebunden haben, natürlich auch einfach laden lassen. Schön ist das nicht, aber aktuell wird es von Browsern (bei Bildern) nicht blockiert.
 
Den Bild Proxy habe ich mittlerweile auch entdeckt und aktiviert. Wie ist das mit dem Secret Key? Wird der automatisch vergeben oder muss ich da was eintragen?
 
@rugk

das nächste Projekt ist jetzt DNSSEC ;)
 
@Delazar
Da ist ja jemand sehr ehrgeizig. :)
DNSSEC (und DANE) würde das natürlich nochmal toppen und wäre zumindest für den kleinen Teil der Webseitenbesucher sinnvoll, welche ein entsprechendes Browser-Add-on dafür benutzen.
Aber wenn du es hin bekommst - gut. Da dies allerdings tief ins DNS-System geht ist es wohl nur möglich mit viel Kooperation des Hosters.

Davor würde ich jedoch empfehlen erst mal HPKP einzuführen. Dies ist ein einfacher Header. Wie gesagt, kann ich dazu auch gerne noch etwas schreiben - wobei dies eigentlich sehr viel leichter ist, als SSL an sich.
Bis dahin helfen hoffentlich auch diese Links weiter:

 
Hi,

bei United Domains gibt es zur Zeit keine Möglichkeit DNSSEC einzutragen. Kennt jemand von euch einen Domain Provider der so etwas anbietet?

Danke
Delazar
 
DNSSEC bzw. Dane ist aktuell noch sehr schwierig.
internetx.com und inwx.de (über support) bietet zumindest das Hinterlegen von den Daten an.
Bei den Nameservern ist es durchaus schwieriger.

Ich habe "eigene" Nameserver (PowerDNS) und bin eigentlich recht zufrieden.

Könnt ja mal gucken ;)
https://youcancraft.de/

HSTS wird bei ssllabs nicht angezeigt weil bei mir der Parameter SubDomains fehlt.
 
Zurück
Oben