|
Im Netz der Manipulationen
|
17.01.2017, 20:54
Mein Hoster bietet das standardmässig an, daher ist das kein Problem mit dem https, aber in moment sehe ich da kein Handlungsbedarf ;D
Signatur
Have a nice Day ;D >> BogusMusikRausch jeweils Donnerstag um 20 Uhr in Uwes KeulenBar Tschöö Bogus | PinguinsReisen.de | M: @gse@norden.social 
17.01.2017, 21:17
(Dieser Beitrag wurde zuletzt bearbeitet: 17.01.2017, 21:36 von Mareta Dagostino.
Bearbeitungsgrund: Let’s Encrypt gefunden
)
(17.01.2017, 20:43)ska skaduwee schrieb: Hallo, nur mal nebenbei https://www.gridtalk.de funktioniert, so halbwegs im Prinzip. Es ist ein selbst erstelltes Zertifikat erstellter Schlüssel [geändert von Mareta] vorhanden, aber es ist einiges nicht richtig eingerichtet. Ich schreibe im übrigen gerade verschlüsselt Ich habe mal gerade den öffentlichen Schlüssel von Bogus blind als vertrauenswürdig akzeptiert.  @Bogus: Wenn dein Provider dir ein Zertifikat schenkt, würde ich aber HTTPS auch anbieten. Die Software kann es sowieso, nur das optische Forenlayout ist zur Zeit für https noch nicht konfiguriert. Wer die abschreckende Browsermeldung bei selbstgemachten Schlüsseln sehen will, kann ja mal auf https://www.gridtalk.de klicken. Das ist wirklich nur noch was für Techies: Ausnahme akzeptieren, Key herunterladen, Haken bei permanent vertrauen machen... und bei Chrome sieht das noch bedrohlicher aus als bei Firefox: Da steht mehrmals "nicht sicher". Letzteres ist natürlich Unfug, sobald man den öffentlichen Key mit einer zweiten Quelle vergleichen kann. Diese zweite Quelle könnte notfalls ein Brief sein oder eine befreundete Webseite, oder die freie CAcert. https://de.wikipedia.org/wiki/CAcert ---------------- Noch eine Alternative: Bei "Let's Encrypt" macht Mozilla mit, deren Zertifikate könnten zur Zeit eher Chancen haben von den Browsern standardmäßig akzeptiert zu werden. Aktuell aber kommt dort auch die Sicherheitswarnung. https://letsencrypt.org/ 
17.01.2017, 21:34
(17.01.2017, 21:17)Mareta Dagostino schrieb: ... und bei Chrome sieht das noch bedrohlicher aus als bei Firefox: Huhu Mareta und wenn du dich richtig gruseln willst, dann schau mal welche Zertifikatsserver und Zertifizierungsstellen dein Browser als "vertrauenswürdig" akzeptiert, muahhhhhh. diese Signatur ist in deinem Land nicht verfügbar :-P
17.01.2017, 21:58
@Mareta: was das Layout vom Forum bei https url angeht, da muss ich eigentlich nur was in den Einstellungen ändern.
Aber da bei https vor dem einloggen eine bestätigung kommen würde, das würde nur die meisten verwirren. Daher wird es mal so gelassen wir es ist ;D
Signatur
Have a nice Day ;D >> BogusMusikRausch jeweils Donnerstag um 20 Uhr in Uwes KeulenBar Tschöö Bogus | PinguinsReisen.de | M: @gse@norden.social 
17.01.2017, 22:34
Bugus,
wenn du das richtig konfiguriert hast und dein Zertifikat gültig ist, kommt keine zusätzliche Abfrage. Ich würde, wie ich oben schon empfohlen, habe ein Zertifikat von Let's Encrypt nehmen. Das lässt sich so konfigurieren, dass es automatisch vor dem Ablauf der Gültigkeit wieder aktualisiert wird. /Chris
17.01.2017, 22:47
Bogus, natürlich meine ich nicht, dass du einfach deinen selbstgemachten Schlüssel verwenden sollst! Das kann man unter Freunden machen, aber für ein öffentliches Forum brauchst du eine Zertifizierung. Dies kann auf drei Wegen geschehen:
a) Du nimmst Geld in die Hand, und gibst einer Zertifizierungsstelle deinen öffentlichen Schlüssel. Die prüfen dann, dass du wirklich der Domainbesitzer bist, und bestätigen gegenüber Dritten (z.B. den Internet-Browsern), dass dein Schlüssel ok ist. Dafür musst du dann deren Zertifikat referenzieren statt des eigenen öffentlichen Schlüssels. b) Dein Provider schenkt dir ein Zertifikat. Dann bekommst du von denen einen privaten Schlüssel und ein dazu passendes Zertifikat. c) Du hoffst darauf, dass zukünftig möglichst viele Browser eins der freien Zertifikate akzeptieren: Das von Chris und mir erwähnte "Let's Encrypt" Zertifikat hat derzeit die größten Chancen. In dem Fall würde ich https aber nur optional anbieten, und die Standardbenutzer erst mal noch auf http schicken. Die Warnmeldung ist doch zu abschreckend, um das jetzt schon verbindlich auf https zu setzen, solange das verwendete Zertifikat nicht wirklich "überall" akzeptiert wird. 
17.01.2017, 22:54
Mal ganz naiv gefragt, was droht uns denn an Gefahr um Leib und Leben wenn wir alles lassen wie es ist???
17.01.2017, 23:01
Hier noch als Nachtrag die Kompatibilitätsliste von Let's Encrypt.
https://letsencrypt.org/docs/certificate-compatibility/ Es sind nur noch wenige, ziemlich exotische Systeme die die Zertifikate nicht akzeptieren. /Chris
17.01.2017, 23:04
(Dieser Beitrag wurde zuletzt bearbeitet: 17.01.2017, 23:07 von Mareta Dagostino.
Bearbeitungsgrund: Typos... grrr
)
@Dorena: Keine Gefahr für Leib und Leben, mein Online-Banking mache ich woanders. Aber wenn Bogus Spaß an Technik hat und das sichere Internet voranbringen will, kann er's doch machen. HTTPS anbieten tut ja auch keinem weh.
Let's Encrypt wird übrigens schon von ziemlich vielen Programmen akzeptiert, siehe oben im Link von Chris. Also auch ohne formelle Anerkennung geht schon einiges dort.
18.01.2017, 01:53
(17.01.2017, 20:54)Bogus Curry schrieb: .... daher ist das kein Problem mit dem https, aber in moment sehe ich da kein Handlungsbedarf ;D
Signatur
Have a nice Day ;D >> BogusMusikRausch jeweils Donnerstag um 20 Uhr in Uwes KeulenBar Tschöö Bogus | PinguinsReisen.de | M: @gse@norden.social |
|
|
