https everywhere

Ab sofort auch für hoernernfranzracing.de: SSL Verschlüsselung !
Aktuell wächst der Druck auf Webseitenbetreiber/Besitzer, ihre Seiten auch oder ausschliesslich über https zugänglich zu machen, siehe z.B. ssl-zertifikat-januar-2017-pflicht und nun ist es auch hier soweit 😀 , erkennbar am kleinen Schloss und am ‚https://‘ der URL:
SSL Anzeige
Um dies zu erreichen, gibt es verschiedene Möglichkeiten, die sich deutlich in den Kosten, dem Einrichtungs- Administrations- und Betriebsaufwand, aber auch in der Sicherheit, die sie z.B. für Webshopkunden bieten, unterscheiden.

Was die Sicherheit angeht, unterscheidet man grob in 3 Kategorien:

  1. Domain Validation SSL-Zertifikate (DV)
  2. Organization Validation SSL-Zertifikate (OV) und
  3. Extended Validation SSL-Zertifikate (EV)

Von diesen lassen sich nur für die erste Kategorie Zertifikate automatisch erzeugen, und deswegen gibt es auch nur solche kostenlos, z.B. von letsencrypt.org.
Zertifikate dieser Art funktionieren technisch genauso wie die aufwändigeren, validierten Zertifikate (Kategorie 2 und 3), sind jedoch weniger vertrauenswürdig und daher vor allem für Betreiber von privaten Webseiten, Blogs, kleinen Vereinen usw. interessant, da hier das Kostenargument sehr wichtig ist.

Firmen (insbesondere Betreiber von Webshops usw.), Behörden, grössere Vereine, Clubs usw. sollten aber zu Zertifikaten der Kategorie 2 oder 3 greifen, eine grobe Übersicht (ohne Anspruch auf Vollständigkeit) über Anbieter und Kosten gibt es hier: ssl-zertifikate-anbieter.
Im Folgenden möchte ich kurz auf die Erstellung und Aktivierung eines kostenlosen Zertifikats von letsencrypt.org eingehen.
Eine recht gute Anleitung zur Zertifikatserstellung findet sich hier:
SSL-Zertifikate-kostenlos-fuer-Websites-erstellen, wobei die dort an erster Stelle befindliche Anleitung ‚SSL-Zertifikat auf dem Server installieren‘ wohl für die wenigsten privaten Webseitenbetreiber infrage kommt, weil diese meist keinen eigenen Server betreiben, sondern ihre Seite bei einem der grossen Hoster (1&1, Strato…) haben. Diese sollten daher gleich den Abschnitt ‚SSL-Zertifikat für andere Rechner erstellen‘ lesen, dort ist das recht gut erklärt.

Was in dieser Anleitung fehlt, ist die Beschreibung wie man das erstellte Zertifikat auf dem Server bzw. beim Hoster aktiviert. Das ist aber auch klar, denn dieser Vorgang ist nicht einheitlich geregelt, sondern unterscheidet sich von Hoster zu Hoster. Hier mal eine Liste von Links zu den Beschreibungen für gängige Hoster:

Eine Übersicht gibt es auch auf lets-encrypt-faq.
Und noch eine Anmerkung zu hoernerfranzracing.de :
Momentan ist hier die Desktop-Version per SSL abgesichert, die mobile Version dagegen nicht – dies ist eine Subdomain, da muss ich erst mal sehen, ob und wie das geht, und falls das zu aufwändig wird, lass ich es eben 😀 – der Login-Bereich steht dort eh nicht zur Verfügung und insofern ist das dann auch relativ egal.
Sobald es dazu was neues gibt, wird es hier als Update vermerkt…

Update 26.12.17:

Entgegen des vorherigen Abschnitts ist auch die mobile Version abgesichert, da inzwischen die Subdomain direkt auf die Hauptdomain verlinkt ist – das neue Theme ist ja responsive und passt sich automatisch an Mobilgeräte an.

Allerdings ist seit 25.12. das SSL Zertifikat abgelaufen, was zu Warnungen bzw. Fehlermeldungen in diversen Browsern führt. Das Problem kommt dadurch zustande dass mein aktuelles Hosting-Paket kein Update der Zertifikatsdateien ermöglicht. Dies wird voraussichtlich im Januar ’18 behoben werden – ich lasse bis dahin vorerst mal alles wie es ist (eine technisch funktionierende Absicherung mit Warnung ist immernoch besser als gar keine) – bitte also im Bedarfsfall einfach im Browser eine Ausnahme zulassen !