Warum kein SSL

[hume]

Hallo zusammen,

mir ist aufgefallen dass das Forum kein SSL verwendet warum eigentlich?
Es könnte doch auch LetsEncrypt auch verwendet werden oder nicht: https://letsencrypt.org/.

Ohne SSL könnten doch theoretisch Daten wie Passwörter etc. abgefangen werden oder nicht?

[Liffi]

Das Forum benutzt SSL und zwar mit Let's Encrypt. Hast du es mal per https angesurft?

[Lord_Carlos]

Geht wunderbar.

[hume]

Das Forum benutzt SSL und zwar mit Let's Encrypt. Hast du es mal per https angesurft?

Ja, direkt mit Https funktioniert es. Jedoch wenn ich eingebe www.debianforum.de oder debianforum.de funktioniert es nicht.
Auch wenn ich mich einlogge gibt es keine Weiterleitung zu Https.

[Liffi]

Jedoch wenn ich eingebe http://www.debianforum.de oder debianforum.de funktioniert es nicht.
Auch wenn ich mich einlogge gibt es keine Weiterleitung zu Https.

Ja, bisher gibt es keine automatische Weiterleitung zu https. Vielleicht könnte @feltel da mal was einbauen. Spricht aus meiner Sicht auch nichts gegen .

[inne]

Schau mal hier xul-ext-https-everywhere und hier Firefox_HTTPSEverywhere_Rules.

[Lord_Carlos]

Gibt es ein vorteil keine automatische Weiterleitung serverseitig zu haben?

[hume]

Schau mal hier xul-ext-https-everywhere und hier Firefox_HTTPSEverywhere_Rules.

Vielen Dank, ich benutze aber Windows 10. Nur mein Server ist Linux.

Gibt es ein vorteil keine automatische Weiterleitung serverseitig zu haben?

Meines Wissens nicht, aber warum die Frage?

[KBDCALLS]

Eigentlich sollte das zwangsweise funktionieren. Tuts wohl aber nicht mit allen Browsern.

• viewtopic.php?f=14&t=155458&p=1042123&h ... l#p1043259

Habs gerade nochmal getestet. Firefox Opera 12.16 , GoogleChrome und Viwaldi. Der einzige war Firefox der mir eine https Seite angezeigt hat. Also sogar ein Rückschritt.

[hume]

Eigentlich sollte das zwangsweise funktionieren. Tuts wohl aber nicht mit allen Browsern.

• viewtopic.php?f=14&t=155458&p=1042123&h ... l#p1043259

Habs gerade nochmal getestet. Firefox Opera 12.16 , GoogleChrome und Viwaldi. Der einzige war Firefox der mir eine https Seite angezeigt hat. Also sogar ein Rückschritt.

Ich habe auch den Firefox benutzt und standardmäßig geht bei mir nix mit SSL ohne Https Eingabe.
Gerade mit Safari getestet auch ohne Https.

[michaels]

@KBDCALLS
Dein Testergebnis könnte an HSTS liegen. Womöglich hattest du damals mit Opera das debianforum vorher über HTTPS besucht.

[KBDCALLS]

Für solche Zwecke habe ich einen extra User . Bei dem ich ohne Probleme die Config der Browser löschen kann, so das sie mit einer frisch angelegten starten können.

Zumindest bei Firefox kann man das erzwingen

Code: Alles auswählen

firefox -P <Profile>

oder

Code: Alles auswählen

firefox --ProfileManager

, ohne das das Profile was man sonst nutzt in Mitleidenschaft gezogen wird. Damit das funktioniert muß Firefox vor geschlossen werden.

[Lord_Carlos]

Schau mal hier xul-ext-https-everywhere und hier Firefox_HTTPSEverywhere_Rules.

Vielen Dank, ich benutze aber Windows 10. Nur mein Server ist Linux.

Die meisten gängigen Browser haben ein HTTPS everywhere plugin. Ist allgemein ganz nett.

Gibt es ein vorteil keine automatische Weiterleitung serverseitig zu haben?

Meines Wissens nicht, aber warum die Frage?

War an alle gerichtet. Wollte wissen ob es ein grund gibt warum https hier nicht default ist.

[uname]

Am besten wäre es, wenn per Rewrite einfach alle unverschlüsselten Seiten auf verschlüsselte Seiten umgeleitet würden.

Etwa so:

Code: Alles auswählen

        
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.debianforum.de%{REQUEST_URI}

Man müsste aber noch zwischen "debianforum.de" und "www.debianforum.de" unterscheiden.
Aber es gibt wohl Gründe die dagegen sprechen. Leider weiß ich nicht mehr welche das waren.

Im übrigen wird dieser Thread als unsicher (gelbes Schloss) angezeigt wahrscheinlich aufgrund des eingebunden Bildes http://i.imgur.com/zz3SnKu.png von Lord_Carlos. Richtiger wäre https://i.imgur.com/zz3SnKu.png gewesen.

[Lord_Carlos]

Oh wie dumm.
Ich gehe immer auf https://imguer, dank HTTPS everywhere plugin, aber der "Share link" auf deren webseite ist immer http://

Komisch ist auch das ich https:// erzwingen kann, mein browser holt es also via https, aber chrome maeckert immernoch das nicht alles verschluesselt ist.

[feltel]

Ja, mittlerweile könnte man eigentlich auch zwangsweise auf HTTPS umleiten. Zwar sollte der Anteil an HTTP-Traffic dank HSTS ziemlich gering sein, aber es spricht eigentlich nichts mehr gegen eine Zwangsumleitung. Alt-Clients und -browser spielen eigentlich keine Rolle mehr.

[uname]

Kannst du noch schnell posten mit welcher Konfiguration umstellen würdest?

[feltel]

Ich würd einfach die bisherige Umleitung www > non-www für den HTTP-VHost um ein einzelnes s erweitern. Aus

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_HOST}   !^debianforum\.de [NC]
RewriteCond %{HTTP_HOST}   !^$
RewriteRule ^/(.*)         http://debianforum.de/$1 [R=301,L]

würde dann einfach

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_HOST}   !^debianforum\.de [NC]
RewriteCond %{HTTP_HOST}   !^$
RewriteRule ^/(.*)         https://debianforum.de/$1 [R=301,L]

[uname]

Ein Versuch wäre es wert.

[KBDCALLS]

Außer Firefox scheint sich daran aber keiner zu halten .

• viewtopic.php?f=14&t=165334#p1133024

[feltel]

Sodele, Zwangsumleitung ist aktiv.

[Lord_Carlos]

Funktioniert nicht in Edge Auch nicht im IE 11

[feltel]

Caching-Geschichte?

Der Redirect funktioniert aber so, wie er soll. Hier mal die größt mögliche Umleitungskette www > non-www > HTTPS:

Code: Alles auswählen

feltel@bigblue:~$ wget -O/dev/null http://www.debianforum.de
--2017-05-30 11:49:45--  http://www.debianforum.de/
Auflösen des Hostnamens »www.debianforum.de (www.debianforum.de)« … 2a01:4f8:200:22a4::2, 144.76.154.165
Verbindungsaufbau zu www.debianforum.de (www.debianforum.de)|2a01:4f8:200:22a4::2|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: https://debianforum.de/ [folgend]
--2017-05-30 11:49:45--  https://debianforum.de/
Auflösen des Hostnamens »debianforum.de (debianforum.de)« … 2a01:4f8:200:22a4::2, 144.76.154.165
Verbindungsaufbau zu debianforum.de (debianforum.de)|2a01:4f8:200:22a4::2|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 302 Found
Platz: /forum/ [folgend]
--2017-05-30 11:49:46--  https://debianforum.de/forum/
Wiederverwendung der bestehenden Verbindung zu [debianforum.de]:443.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: nicht spezifiziert [text/html]
Wird in »»/dev/null«« gespeichert.

[Lord_Carlos]

Jetzt geht es.
Glaube aber nicht das es caching auf meiner Seite war, denn ich benutzte Edge/IE eigentlich nie. Auch egal warum, jetzt geht es

[uname]

Wieder deaktiviert?