chruezundquer

chruezundquer.ch ist – ohne Zusatzkosten – von http://chruezundquer.ch zu https://chruezundquer.ch „gezügelt“ und dies obwohl der Hoster dieser Webseite keine kostenlose SSL-Zertifikate anbietet.

Was bedeutet HTTPS (SSL, TLS)?

HTTP steht für Hypertext Transfer Protocol, dem Protokoll zur Übertragung von Daten über das Internet. HTTPS steht für secure, also die sichere Variante davon. Dabei kommt eine SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) genannte Technik zum Einsatz. Auf dem Server wird dafür ein Zertifikat installiert. Dieses kann von einer Zertifizierungsstelle (oft via Hosting-Anbieter) erworben werden. Let’s Encrypt ist eine offene Zertifizierungsstelle, die kostenlos und automatisiert Zertifikate anbietet. Let’s Encrypt ist breit abgestützt. Neben den grossen Browser-Herstellern, wie mozilla (Firefox), Google (Chrome), vielen grossen Unternehmen, wie facebook, Automattic (WordPress) und vielen Hosting- und Netzwerkanbietern sind auch einige Schweizer Hostingprovider (cyon, infomaniak, Hostpoint) Sponsoren von Let’s encrypt.

Wieso soll heute eine Webseite per https:// verschlüsselt sein?

HTTPS ist ein Ranking Faktor bei Google

Mit anderen Worten: Wenn es zwei gleichwertige Webseiten gibt und eine davon mit HTTPS verschlüsselt übertragen wird und die anderen nicht, erscheint die HTTPS-Version weiter oben in den Suchtreffern bzw. die Version mit HTTP evtl. gar nicht.

Geschwindigkeit ist ein Ranking Faktor bei Google

Schnell ladende Seiten werden bei Google bevorzugt. HTTPS ist die Voraussetzung, dass ein Webserver das neue, schnellere Protokoll HTTP/2 nutzen kann und somit die Seite schneller ausliefern kann.

Browser-Warnung wegen unsichererer Verbindung

Browser zeigen an, ob eine Seite verschlüsselt geladen wird. Momentan ist das relativ dezent (solange man nicht auf das (i)-Symbol klickt). Bereits ist jedoch angekündigt, dass Warnungen auffälliger werden sollen. Spätestens wenn Ihre Webseite ein Eingabeformular hat – und sei es nur ein einfaches Suchfeld oder Kontaktformular – werden Browser deutlich davor warnen, dass die Verbindung unsicher sei.

Dies wird Besucher möglicherweise davon abhalten auf Ihrer Webseite zu bleiben.

„Man-in-the-middle“-Attacke verhindern

Da die Kommunikation zwischen dem Server auf dem die Webseite gespeichert ist und dem Browser des Empfängers verschlüsselt erfolgt, kann es keine Mitleser geben. Wenn ich jedoch Informationen auf der Webseite eines Gauners eintrage, nützt es natürlich nichts, dass diese verschlüsselt sind. Bei teuren Zertifikaten, welche Banken oder grosse E-Commerce Shops nutzen, muss sich der Inhaber der Seite identifizieren und wird dann im Browser auch direkt angezeigt:

Sichere Browserverbindung — Sichere Verbindung zu PostFinance

Diese Art von Zertifikaten ist deutlich teurer und für unsere Zwecke nicht erforderlich.

Ein kostenloses Let’s Encrypt Zertifikat tut es auch.

Was tun, wenn der eigene Provider keine kostenlosen Zertifikate anbietet?

Es gibt zwar Anleitungen im Internet, wie man ein Let’s Encrypt Zertifikat selber installieren kann. Allerdings funktioniert das gewöhnlich nicht bei einfachem shared hosting oder ist zumindest kompliziert.

Es gibt jedoch eine einfache Möglichkeit: Die Nutzung eines CDN, welches Let’s Encrypt anbietet.

Was ist ein CDN?

CDN bedeutet Content Delivery Network und bedeutet, dass die Webseiten-Dateien auf verschiedenen Servern verteilt werden und dem Empfänger jeweils vom nächsten Server ausgeliefert werden. Dadurch lassen sich Daten schneller zum Empfänger transportieren.

Dies ist der wichtigste Vorteil eines CDN. Im Falle von cloudflare kann zusätzlich SSL aktiviert werden und zwar unabhängig davon ob der eigene Server SSL unterstützt oder nicht.

chruezundquer.ch läuft mit WordPress und wie fast immer: Es gibt ein Plugin.

Cloudflare Plugins auf WordPress.org — Cloudflare Plugins

Das „offizielle“ Cloudflare Plugin bietet direkt im WordPress Backend die Möglichkeit diverse Einstellungen vorzunehmen und Analyse-Daten einzusehen.

Cloudflare im WP Backend — CloudFlare Einstellungen im WordPress Dashboard (Home)

Cloudflare Einstellungen im WP Backend — CloudFlare Einstellungen im WordPress Dashboard (Settings)

Cloudflare Analytics im WP Backend — CloudFlare Einstellungen im WordPress Dashboard (Analytics)

CloudFlare LittleBizzy — Werbung statt Nutzen – Das CloudFlare Plugin von LittleBizzy scheint mir vor allem die anderen Plugins des Autors zu empfehlen.

Das CloudFlare Plugin ist weitestgehend selbsterklärend und CloudFlare erstellt alle wichtigen Konfigurations-Einstellungen automatisch.

Zur Sicherheit würde ich vor dem Wechseln des DNS alle DNS-Einstellungen in ein Textdokument speichern bzw. sicherstellen, dass man auch nach dem Wechsel der Nameserver auf diejenigen von CloudFlare noch Zugriff auf die alte Konfiguration hat.

Falls ein Eintrag nicht automatisch richtig übernommen wird, kann man ihn noch anpassen. Am besten sofort, bevor die Einstellungen komplett über die ganze Erdkugel propagiert wurden.

Dann ist es wichtig die Einstellungen für den A-Record und den AAAA-Record so zu konfigurieren, dass die Daten zur DOMAIN über CloudFlare geleitet werden (Traffic to this hostname will go through Cloudflare.).

Das geschieht wenn die Wolke das entsprechende orange Symbol anzeigt, dass „DNS und HTTP proxy (CDN)“ aktiviert sind.

Mit Klick auf die Wolke kann zwischen den Modi „DNS only“ und „DNS and HTTP proxy (CDN)“ umgeschaltet werden.

Mit „DNS only“ (graue Wolke und Pfeil darum) bewirkt, dass die Seite als unsicher gilt, da auf der Ursprungseite kein gültiges Zertifikat vorhanden ist.

Zwei Links, die ich mir als Notiz gespeichert habe, hinterlasse ich ohne weitere Erklärung:

A secure web is here to stay Ein kurzer Blog-Artikel von Google über die Gründe http in Chrome als unsicher zu kennzeichnen.

http://www.ssltools.com/ (ein Tool um festzustellen, ob SSL korrekt konfiguriert ist. Interessanterweise selbst nicht über https erreichbar).