https (SSL) Zugang zum Forum

Hallo,

besteht die Möglichkeit einen https (SSL) verschlüsselten Zugang zum Forum bereitzustellen, damit meine Anmeldedaten (Benutzernamen + Passwort) nicht im Klartext den Weg durchs Internet gehen?
Es würde auch erstmal ein selbstsigniertes Zertifikat reichen.


Steven

[Itzi]

+1
Reicht ja ein eigenes Zertifikat - GE ist vertrauenswürdig

[ev4all]

+1. Das sollte eigentlich immer so sein, wenn Zugangsdaten durchs Internet gehen. Streng genommen gelten sie schon bei einmaliger unverschlüsselter Übertragung als kompromittiert.

[Guy]

Das selbst signierte Zertifikat hat allerdings den Nachteil, dass es unschöne Warnmeldungen gibt. Wer weiß, was das bedeutet, den wird es nicht weiter stören, auf andere könnte das jedoch schon abschreckend wirken.

Da die verschlüsselte Verbindung für weite Teile der Seite unnötig ist, möchte ich eigentlich nicht komplett umstellen. Werde mal schauen, was es da für Optionen gibt, um zumindest das Passwort sicher zu übertragen.

[Itzi]

Ja, die Warnmeldungen sind wirklich ein wenig unschön.
Vielleicht könnte man es optional machen. Quasi als Benutzereinstellung.
Das Loginformular müsste sofort abfragen ob der Benutzer nur ssl erlaubt, und es müsste schnell auf ssl umleiten. (Noch vor kennworteingabe)

Oder wir leisten uns gleich von hausaus ein pro-Zertifikat. Was kostet wohl sowas?

Optional würde mir schon reichen. So können die, die "das Wissen" haben es nutzen und der Rest der Nichtinteressierten stört sich nicht an den Warnmeldungen.


Steven

[endurance]

Da die verschlüsselte Verbindung für weite Teile der Seite unnötig ist, möchte ich eigentlich nicht komplett umstellen. Werde mal schauen, was es da für Optionen gibt, um zumindest das Passwort sicher zu übertragen.

du brauchst doch nichts umstellen. Es sollte doch reichen einfach beides anzubieten. D.h zwei Ports statt einem öffnen und das war's, oder nicht?

[Nichtraucher]

Oder wir leisten uns gleich von hausaus ein pro-Zertifikat. Was kostet wohl sowas?

Kostet je nach Anbieter weniger als 100 € / pro Jahr.
Ist halt etwas administrativer Aufwand beim Einrichten und es muss auch regelmäßig (alle 2 Jahre) erneuert werden.

Ein selbsterstelltes Zertifikat hat meines Erachtens auf einer öffentlichen Website nix zu suchen.
Warum? Man gewöhnt sich mehr und mehr an Warnmeldungen die einfach weggeklickt werden. Der Sicherheit im Internet förderlich ist das nicht. Außerdem ist es ein wesentlicher Bestandteil der Sicherheit, dass man sich sicher sein kann mit der richtigen Site verbunden zu sein. Ein selbst erstelltes goingelectric.de Zertifikat kann sich ja jeder ausstellen und behaupten er wäre es.

Außerdem behaupte ich mal, dass die wenigsten überhaupt in der Lage sind, die "Echtheit" eines solchen Zertifikats zu verifizieren. Wenn es gut gemacht ist, fallen da auch sogenannte Experten drauf rein.

[Nichtraucher]

Es sollte doch reichen einfach beides anzubieten. D.h zwei Ports statt einem öffnen und das war's, oder nicht?

Die SSL-Verschlüsselung sorgt für zusätzliche Last auf den Servern, auf denen goingelectric gehosted wird. Irgendwo muss die Verschlüsselung ja gerechnet werden. Wieviel zusätzliche Last es tatsächlich bedeutet, da gehen die Meinungen auseinander.
Ggf. wird auch weniger gecached, was auch wieder zu erhöhtem Traffic führt.
Einfach nur einschalten und alles gut wird wahrscheinlich nicht klappen. Ein kleines Projekt für jemand der sich auskennt ist das schon. Wenn man sich erst einarbeiten muss, ist das erheblicher Aufwand.

[Guy]

Wenn verschlüsselt, dann mit einem 'richtigen' Zertifikat, alles andere ist Murks. Die Kosten dafür und der Aufwand für die Einrichtung sind da erst einmal nebensächlich.

Mir persönlich ist die Verschlüsselung nicht so wichtig, da ja ohnehin so gut wie alles öffentlich ist, bei der Übertragung des Passworts sehe ich allerdings schon den Sicherheitsgewinn. Wobei man mit einem erbeutetem Passwort hier relativ wenig Dummheiten anstellen kann.

Ich werde mal schauen, welche Optionen es so gibt - komplette Verschlüsselung für alle Besucher, Verschlüsselung nur für eingeloggte Mitglieder, lediglich verschlüsselte Übertragung des Passworts