Ich habe jetzt endlich etwas getan, was ich eigentlich schon lange hätte tun sollen. Dieser Blog, und vor allem die WordPress-Installation, sind jetzt auch SSL-gesichert erreichbar. Das heißt, ihr könnte darauf zugreifen, indem ihr vor die Blog-Domain https anstatt nur http schreibt.
Dabei solltet ihr je nach Browser und Domain zwei Warnungen bekommen. Einmal, dass die Zertifizierungsstelle unbekannt ist, weil ich das Zertifikat zertifizierungsmäßig selbst zertifiziert habe. Und dann, weil das Zertifikat auf eine andere Domain und/oder Wildcarddomain ausgestellt ist. Da man nämlich ein SSL Zertifikat nur auf eine Domain ausstellen kann, ist es im Moment auf *.bjoern-tantau.de ausgestellt.
Wieso das ganze? Einmal ist es für mich gut, weil ich so meine Login-Daten nicht in die Welt hinaus posaune, wenn ich mal nicht von Zuhause aus etwas bloggen will, oder mein Internet-Provider sich dazu entschließt (ob freiwillig oder unfreiwillig) den Datenverkehr abzuhören.
Dann ist es gut für euch, die Besucher, weil so nicht gleich jeder direkt erfährt für welche Artikel bei mir ihr euch besonders interessiert. Außerdem müssen Kommentatoren ja ihre E-Mail Adresse hinterlegen und mit der Verschlüsselung wird verhindert, dass irgend ein Hansel zwischen eurem Computer und meinem Server diese Adresse aufschnappen kann.
Welche Nachteile hat das? Einmal, wie erwähnt, die Warnhinweise wegen des Zertifikats. Je nach Browser muss man diese möglicherweise bei jedem Aufruf der Seite ertragen.
Dann gibt es in einigen Firmen-Netzwerken sehr schießwütige Admins, die einfach keinen verschlüsselten Datenverkehr zulassen. Und da mein Blog hauptsächlich in den Bürozeiten gelesen wird, ist das ein Punkt, den ich besonders beachten muss.
Im Moment wird die verschlüsselte Verbindung nur verwendet, wenn ihr die Seite explizit mit https aufruft. Und dann auch nur für diesen einen Aufruf der Seite. Bilder, Links und auch noch das Kommentar-Formular werden im Moment noch unverschlüsselt übertragen.
Ich hätte nämlich gerne Rückmeldung, ob eine eventuelle Pflicht-Verschlüsselung für irgend jemanden eine zu große Hürde darstellen würde. Um das zu testen ruft bitte https://blog.bjoern-tantau.de/ auf und sagt mir, entweder als Kommentar oder per Mail, ob es Probleme gibt. Ansonsten werde ich bald voll auf Verschlüsselung setzen.
4 Antworten auf „Überfällige Wegsicherung“
Keine Hürde.
Ich hab zwei Anmerkungen:
1. Bei mir meckert mein Feuerfuchs, dass die Seite nur teilweise verschlüsselt ist und
2. Klickt man von der Startseite auf einen Artikel, so wird dieser über normales http aufgerufen und die Verschlüsselung ist dahin
Ansonsten finde ich die Initiative seeeeehr lobenswert!
Andere Bemerkung: Guck dir mal bei Openssl den -subj Parameter an (wenn ich mich recht erinnere). Es gehen auch mehrere Common Names für mehrere Domains im Zertifikat. Solltest du das mit nem Configfile generiert haben, gibts da auch ne Möglichkeit mehrere CN anzugeben (wenn ich mich grade recht erinenre mit CN.0=domain [nächste zeile] CN.1=domain [nächste] CN.2= usw.) 😉
Danke, aber zumindest Firefox meckert immer noch über unterschiedliche Domains. Egal, ich lass es trotzdem jetzt so.