https-Verbindungen: Google belohnt Verschlüsselung

[Seidenwald AG]

Danke Mike - das ist gut erklärt.

Im Prinzip sollte es nur der Checkout sein - dass der Rest dann auch über https erreichbar ist, wusste ich nicht.

Na gut also zurück auf Anfang - dann steht die Umstellung also doch noch bevor.

Tschau
Patricia

[JohnGalt]

Teilweise sind da sehr gute Ansätze mit bei:

[...]

Hmm hab mir das mal angeschaut, ein Schelm wer böses denkt.

Also es ist nur eine Vermutung passt aber in das Beuteschema seitens G.

Das SPDY Protokoll ist von Google, sicher irgend eine Backdoor (um Daten eines Servers welcher das Plugin installiert hat abzugreifen) dabei, es funktioniert aber nur bei installiertem SSL.

So und dass alle mitmachen, gibt es die Meldung dass es gut fürs Ranking ist, was sicher der Fall ist. Wenn fast alle dabei sind, mal schauen wie lange dann das plus bleibt. Und alle arbeiten wieder für G.

Aber das ganze hat auch positives, Spamseiten, für die lohnt sich so ein "teures" Cert nicht, man könnte einfach die Wirkung von diesen Seiten nehmen, also Links haben halbe Kraft als mit SSL, und dies liese sich sogar technisch durch die Bots einfach bewerkstelligen. Das wäre die Königsweg im Spamfighting, es sei denn ein Cert kostet bald nur Cents, denn der Preis wird für diese Fallen, da es dann ein Geschäft wird und alle etwas vom Kuchen ab haben wollen.

Quelle: http://www.abakus-internet-marketing.de ... 26218.html

Das, was da im Abakus-Forum gepostet wurde ist Schwachsinn.

a) SPDY ist an sich erstmal nur ein Protokoll, keine konkrete Software. Das Protokoll ist offen standardisiert. Die verschiedenen Implementierungen (soweit sie open source sind) sind sauber.

b) Certs kosten nichts und lassen sich vollautomatisch erzeugen. Nur von einer CA validierte Certs kosten häufig was. Häufig, aber nicht immer. SSL wird genau keinen Spammer davon abhalten zu spammen.

Eigentlich gibt es schon lange keinen Grund mehr dafür, kein SSL einzusetzen. Vor allem nicht im eCommerce-Bereich.

[Andre (KM)]

Eigentlich gibt es schon lange keinen Grund mehr dafür, kein SSL einzusetzen.

Also bei All-Ink. kostet dass 100 Euro je Jahr & Domain....das wäre für mich ein Grund (zumindest für kleine Projekte es nicht zu machen).

http://all-inkl.com/webhosting/zusatzdienste/

[Xantiva]

Selbsterstellte Zertifikate (nicht CA validiert) sorgen beim User doch eigentlich immer für die Warnungen im Browser:

Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu example.com aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
Was sollte ich tun?

Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren.

Somit sind diese doch eigentlich nur für den "internen Gebrauch", oder?

Was will ich mit einer Webseite, bei der die User aus Angst gleich immer verschwinden?

[JohnGalt]

Eigentlich gibt es schon lange keinen Grund mehr dafür, kein SSL einzusetzen.

Also bei All-Ink. kostet dass 100 Euro je Jahr & Domain....das wäre für mich ein Grund (zumindest für kleine Projekte es nicht zu machen).

http://all-inkl.com/webhosting/zusatzdienste/

Ein eigenes Zertifikat kostet ab ca. 10 €. Der "Zusatzdienst", den all inkl hier anbietet, ist vor allem wegen all inkl so teuer, nicht wegen des Zertifikats. Was auch immer die für ab 89 € so treiben.

Ich würde mir mal einen neuen Anbieter suchen.

[JohnGalt]

Selbsterstellte Zertifikate (nicht CA validiert) sorgen beim User doch eigentlich immer für die Warnungen im Browser:

[...]

Somit sind diese doch eigentlich nur für den "internen Gebrauch", oder?
Was will ich mit einer Webseite, bei der die User aus Angst gleich immer verschwinden?

Ein selbstsigniertes Zertifikat ist im Prinzip genauso gut wie eines von der CA signiertes (denn keine CA taugt irgendwas, Google macht es vielleicht besser). De facto hast du aber Recht: Die Warnmeldung der Browser lässt eigentlich nur ein von einer CA-signiertes Zertifikat zu; diese sind allerdings schon ab 10 €/Jahr für einfache Zertifikate zu haben.

Teuer machen es die Hoster, die SSL offensichtlich immer noch nicht als Selbstverständlichkeit entdeckt haben, sondern wie der Vorposter schrieb, gerne mal unverschämte Summen dafür nehmen. Das ist ein deutliches Signal dafür, dass der Hoster nichts taugt.

Ich mache mich damit vermutlich nicht beliebter, aber ein vernünftiger Online-Händler wird bei so einem Massenhoster sowieso früher oder später unglücklich. Dafür erzwingen die Webspace-Pakete einfach zu viele miese Kompromisse bei Geschwindigkeit, Ausstattung und Sicherheit.

[Andre (KM)]

Ich würde mir mal einen neuen Anbieter suchen.

Ja, weil All-Inkl. auch so ein unbedeutener, kleiner Möchtegern-Webhoster ist

Gruß Andre

PS: Komischerweise ist es bei DF, Hetzner & weiteren Anbietern ähnlich teuer. Wobei es bei diesen Zertifikaten wohl auch deutliche Unterschiede in den Leistungen gibt, bei DF gibt es auch sehr günstige.

Nachtrag:

Das ist ein deutliches Signal dafür, dass der Hoster nichts taugt.

Ich mache mich damit vermutlich nicht beliebter, aber ein vernünftiger Online-Händler wird bei so einem Massenhoster sowieso früher oder später unglücklich. Dafür erzwingen die Webspace-Pakete einfach zu viele miese Kompromisse bei Geschwindigkeit, Ausstattung und Sicherheit.

Sorry, aber dich kann ich nicht ernst nehmen wenn Du sagst, dass DF, Hetzner oder All-Ink. nichts taugen

[Xantiva]

Ich habe mein Zertifikat bei HostEurope (ebenfalls nur noch per https erreichbar) für 5 Jahre gebucht: 130€ = 26 € / Jahr

https://www.hosteurope.de/Server/Addons ... omain-SSL/

[JohnGalt]

Das ist ein deutliches Signal dafür, dass der Hoster nichts taugt.

Ich mache mich damit vermutlich nicht beliebter, aber ein vernünftiger Online-Händler wird bei so einem Massenhoster sowieso früher oder später unglücklich. Dafür erzwingen die Webspace-Pakete einfach zu viele miese Kompromisse bei Geschwindigkeit, Ausstattung und Sicherheit.

Sorry, aber dich kann ich nicht ernst nehmen wenn Du sagst, dass DF, Hetzner oder All-Ink. nichts taugen

Das sei dir unbenommen.

Ich freue mich auf jeden Fall darüber, dass Google hier ein - wenn auch kleines - Zeichen für bessere Infrastruktur setzt.

[JohnGalt]

Ich habe mein Zertifikat bei HostEurope (ebenfalls nur noch per https erreichbar) für 5 Jahre gebucht: 130€ = 26 € / Jahr

https://www.hosteurope.de/Server/Addons ... omain-SSL/

Allerdings ist dein Setup kaputt:
Für https://www.xantiva.de/ wird ein Zertifikat für http://www.basteln-selbermachen.de ausgeliefert und man wird auf eine Default-Seite weitergeleitet.

nota bene: Das SSL-Setup von HE ist ziemlich schlecht. Unterstützt zwar viele Clients, aber teilweise mit schlechten Cipher Suites und mit SSLv2, was bekanntermaßen unsicher ist.

Hast du da einen eigenen vServer? Wenn ja würde ich die Konfiguration noch mal überarbeiten.

[Xantiva]

Naja, das Zertifikat ist auch für den Shop und nicht für die (schon ewig nicht mehr gepflegte) Webseite.

Wenn Du da Tipps hast, gerne auch per PN. Ansonsten hoffe ich endlich mal für meinen Shop Zeit zu finden, den zur aktualisieren und dann auf einen neuen vServer umzuziehen. Der jetzige ist schon betagt.

[JohnGalt]

Naja, das Zertifikat ist auch für den Shop und nicht für die (schon ewig nicht mehr gepflegte) Webseite.

Dann solltest du das auch entsprechend weiterleiten bzw. deine vHosts so einrichten, dass man da nicht falsch läuft.

Die saubere Konfiguration von SSL ist leider nicht trivial, da würden ein paar PN leider vermutlich leider auch nicht helfen.

Das Update des vServers solltest du aber unbedingt machen.

[beat]

.....für 5 Jahre gebucht: 130€ = 26 € / Jahr

Und das war falsch.
Maximal 3 Jahre sollte man nehmen.
Ab 1.4.2015 werden Browser Probleme produzieren wenn eine Seitenzertifikat mit > 39 Monaten Laufzeit angesprochen wird. Es ist kein Aprllscherz.

Gruß

[JohnGalt]

.....für 5 Jahre gebucht: 130€ = 26 € / Jahr

Und das war falsch.
Maximal 3 Jahre sollte man nehmen.
Ab 1.4.2015 werden Browser Probleme produzieren wenn eine Seitenzertifikat mit > 39 Monaten Laufzeit angesprochen wird. Es ist kein Aprllscherz.

Nö, das passt schon. Man kann seit 01.07.2012 keine Zertifikate mehr kaufen, die länger als 5 Jahre gelten:

Certificates issued after the Effective Date MUST have a Validity Period no greater than 60 months.

Und ab 01.04.2015 kann man keine mehr kaufen, die länger als 39 Monate gültig sind:

Except as provided for below, Certificates issued after 1 April 2015 MUST have a Validity Period no greater than
39 months.

Ausgestellte Zertifikate gelten weiterhin.

Doch natürlich gibt es Ausnahmen:

Beyond 1 April 2015, CAs MAY continue to issue Certificates with a Validity Period greater than 39 months but not
greater than 60 months provided that the CA documents that the Certificate is for a system or software that:

(a) was in use prior to the Effective Date;
(b) is currently in use by either the Applicant or a substantial number of Relying Parties;
(c) fails to operate if the Validity Period is shorter than 60 months;
(d) does not contain known security risks to Relying Parties; and
(e) is difficult to patch or replace without substantial economic outlay.

(Quelle, Hervorhebung von mir)

Xantiva ist davon eh nicht betroffen, sein Zertifikat ist von 2011 und gilt bist 2016. Man hätte das Zertifikat eigentlich eher sogar nach Heartbleed mal revoken sollen.

[4now]

Hallo hab meinen Shopware4 Shop auf https umgestellt. Ist das jetzt ok ?
Wenn man http://www.kuscheldir.com aufruft kommt aber immer noch die http Seite

[basti]

PS: Komischerweise ist es bei DF, Hetzner & weiteren Anbietern ähnlich teuer. Wobei es bei diesen Zertifikaten wohl auch deutliche Unterschiede in den Leistungen gibt, bei DF gibt es auch sehr günstige.

Ich würde aber behaupten 99% den Kunden ist es egal ob das Zertifikat nur die Domain oder auch den Inhaber validiert. Da kann mal also auch das günstige nehmen. Mehr Vertrauen schafft nur die grüne Adresszeile, die kennen sie vom Onlinebanking

[boden-piloten]

Hallo hab meinen Shopware4 Shop auf https umgestellt. Ist das jetzt ok ?
Wenn man http://www.kuscheldir.com aufruft kommt aber immer noch die http Seite

Nein, die http musst du mittels 301 redirect umleiten.

[degraf]

Also bei All-Ink. kostet dass 100 Euro je Jahr & Domain...

Ab "All-Inkl Business" ist ein Zertifikat inklusive:
http://all-inkl.com/webhosting/business/

[boden-piloten]

Beim all-inkl. Tarif stellt sich jedoch die Frage, inwieweit mit diesem Billig-Angebot, es noch seriös zu geht.

[imwebsein]

Hallo,

wir haben so ein Allinkl Business Paket und jetzt auch https. Kann mal einer rüber schauen ob das so ok ist was die da gemacht haben?

Ansonsten muss ich sagen wir sind bei Allinkl echt zufrieden, guter Service, Server auch ok, kann mich zumindestens nicht beklagen.