Sichere Webseiten und die Webbrowser

    Moin,


    da ja einige hier im Forum auch eine Webseite betreiben ein paar Infos, was bei den naechsten Browser Versionen passieren wird:


    Google und andere grosse Unternehmen forcieren extrem die Verwendung von Verschluesselung fuer Webseiten, erkennbar am gruenen Schloss (https, Port 443, SSL). Die Browser Chrome und Chromium zeigen bereits Webseiten ohne Verschluesselung (http, Port 80) als unsicher an. Der Firefox hat es bereits eingebaut und ab Version 70 wird diese Funktion als Standard aktiviert sein. Microsoft hat es im Edge (Windows 10) auch eingebaut. Der naechste Schritt wird dann sein, dass das gruene Schloss entfaellt, d.h. Seiten werden nicht mehr als sicher angezeigt, sondern nur noch unsichere Seiten gut sichtbar als unsicher gekennzeichnet. Ausserdem ist davon auszugehen, dass die Suchmaschinen unsichere Webseiten abwerten, d.h. dass die letztendlich aus den Suchergebnissen verschwinden werden (sicher ueber einen laengeren Zeitraum, aber darauf wird es hinauslaufen). Das ist fuer private Seiten nicht so sehr kritisch, aber fuer Unternehmen, die Webmarketing betreiben und Geld ueber ihre Seiten verdienen (Shops usw.) , duerfte das katastrophal enden, wenn diese nicht auf Verschluesselung umstellen. Abgesehen davon, Online-Shops muessen zwingend verschluesselte Seiten fuer die Erfassung von personenbezogenen Daten verwenden (DGSVO).


    Lange Jahre war das immer ein Problem, dass man fuer die Verschluessung das noetige Zertifikat teuer erstehen musste, fuer eine rein private Seite ein Hemmniss. Seit einiger Zeit gibt es aber Let's Encrypt. Das ist ein Zusammenschluss, um sichere Webseiten zu foerdern. Dort kann man kostenlos ein Zertifikat fuer seine Webseite erstellen. Einige Webhoster bieten das sogar direkt an.


    Wenn ihr also nicht moechtet, dass die naechsten Browsergenerationen ein fettes rotes "not secure" in der URL Zeile anzeigen und so eventuelle Besucher verschreckt werden, dann solltet ihr eure Seite mit einem Zertifikat versehen und auf https umstellen. Die letzten Statistiken von Google und Mozilla kommen uebrigens auf ca. 80% fuer verschluesselte Seiten im Netz, das ist also bereits sehr weit fortgeschritten.


    Weitere Infos dazu gibt es direkt bei https://letsencrypt.org/


    73, Tom

    Hallo Tom,


    die Telekom hat vor ein paar Monaten alle bei ihr gehosteten Webseiten mit Let's Encrypt versehen, ohne dass man etwas dafür tun oder bezahlen musste.


    72/73 de Ingo, DK3RED - Don't forget: the fun is the power!

    Moin Ingo,

    Zitat von DK3RED

    die Telekom hat vor ein paar Monaten alle bei ihr gehosteten Webseiten mit Let's Encrypt versehen, ohne dass man etwas dafür tun oder bezahlen musste.

    Das ist vorbildlich! Ich verfolge die "normalen" Hoster nicht so sehr, da ich einen eigenen root Server raeumlich fast direkt am DE-CIX Knoten habe. Aber ich glaube, bei Ionos (frueher 1&1) muss man das auch nur mit ein paar Klicks aktivieren, bei Strato wird es vermutlich aehnlich sein.


    73, Tom

    Moin Tom und danke für die Info.


    Gibt es diesen von Dir geschilderten Sachverhalt bzw. die Entwicklungsrichtung irgendwo in deutsch kurz und knapp online? Betrifft mich nicht, aber in einem anderen Hobbybereich einige, die ich gerne davon in Kenntnis setzen würd.

    73 Michael, DF2OK.

    ~ AFU seit 1975 ~ DARC ~ G-QRP-Club ~ DL-QRP-AG ~ AGCW ~ FISTS ~ QRPARCI ~ SKCC ~

    "Der Gesunde weiß nicht, wie reich er ist."

    Moin Michael,


    ich weiss es nicht, ich habe noch nie danach geschaut.


    Es gibt ein paar Seiten von anderen Anbietern, die ich auf die Schnelle gefunden habe und die den Sachverhalt erlaeutern:


    https://www.cyon.ch/blog/HTTPS…rt-bevorzugt-sichere-URLs

    https://auftritt1.de/sichere-website-ssl-zertifikat-https/

    https://www.heise.de/security/…-weltweit-zu-3870427.html

    https://der-internetcoach.de/m…ps-umstellen-ja-oder-nein

    https://morethandigital.info/w…ht-sicher-meldung-chrome/

    https://www.drweb.de/sicher-ist-sicher-https-76633/

    https://www.heise.de/newsticke…als-unsicher-3963924.html

    https://www.soeren-hentzschel.…nd-https-in-adressleiste/


    Einige Hoster haben dazu noch Erlaeuterungen:

    https://www.ionos.de/digitalgu…ite-auf-ssl-und-https-um/

    https://www.hosteurope.de/blog…unkte-sollten-sie-achten/


    Hier die Seite mit ersten Infos dazu von Google aus dem Jahre 2014:

    https://webmasters.googleblog.…ps-as-ranking-signal.html

    Ein Video dazu habe ich auch noch gefunden:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Ich habe das jetzt nicht alles selbst gelesen und kann daher die Qualitaet nicht beurteilen, weil ich die Infos meist aus den englischsprachigen Newslettern beziehe. Knackpunkt ist auch immer der Begriff "geschaeftsmaessig", denn das wird allgemein als auf Wiederholung ausgelegt und betrifft damit nicht nur kommerzielle Webseiten.


    Einige Infos, bzgl. dem Datenschutz und der noetigen Verschluesselung findet man in der DSGVO, im TMG und beim BSI.


    73, Tom

    Hallo Tom,

    danke für die Erinnerung.

    Bei meinem Hoster 1blu lies sich das Let’s Encrypt Zertifikat problemlos aktivieren. Ist in der 1blu-FAQ gut beschrieben, dass auch eine Anpassung der .htaccess notwendig ist.

    73, Roland

    ***Ich baue selbst, also bin ich.***

    Zitat von DL7BJ

    Es gibt ein paar Seiten von anderen Anbietern, die ich auf die Schnelle gefunden habe und die den Sachverhalt erlaeutern:

    Moin Tom,


    danke für die Mühe und die Links.:thumbup:

    73 Michael, DF2OK.

    ~ AFU seit 1975 ~ DARC ~ G-QRP-Club ~ DL-QRP-AG ~ AGCW ~ FISTS ~ QRPARCI ~ SKCC ~

    "Der Gesunde weiß nicht, wie reich er ist."

    Hallo Tom!


    Danke für den Hinweis - obwohl ich die ssl/https Notwendigkeit kenne, habe ich bei der eigenen Website darauf vergessen...


    Mit letsencrypt bietet es auch mein webhoster in OE gratis an (Einziges Manko: damit sind keine Subdomains zu verschlüsseln. Macht aber nichts).

    73 de Chris, OE3HBW

    Hallo Chris,


    Ich denke mit "Subdomains" meinst du www.<domain>.at, das wäre ein Hostname.


    Evtl. denkst Du auch korrekt an w3.<sub>.<domain>.at, dann ist es korrekt.


    Man kann auch so ein Zertifikat per "Hand" erstellen und dann auf den Webserver laden.

    So kann man es für *.<domain>.at erzeugen und dann ist es auch für alle Subdomains gültig.


    Zitat von chirt

    Hallo Tom!


    Danke für den Hinweis - obwohl ich die ssl/https Notwendigkeit kenne, habe ich bei der eigenen Website darauf vergessen...


    Mit letsencrypt bietet es auch mein webhoster in OE gratis an (Einziges Manko: damit sind keine Subdomains zu verschlüsseln. Macht aber nichts).

    73 de Uwe
    DC5PI

    Nene Tom,


    die Zeiten sind vorbei, dass ich alles über die Komandozeile machen muss.


    Mein Provider bietet auch Wildcard *.<domain>.<tld> Zertifikate an.

    73 de Uwe
    DC5PI

    Moin Uwe,


    ja, aber trotzdem koennte man noch ;)


    Mein Provider bietet mir einen Server mit IPMI ;) Dafuer hat der installierte Debian Server aber certbot im Repository und ich liebe die Effektivitaet der Kommandozeile ;)


    Ich finde das aber gut, dass die Hoster das gleich anbieten, denn das Zertifikat muss ja auch alle 3 Monate erneuert werden, was die dann wohl auch automatisiert haben.


    73, Tom