Einrichtung von SSL-Verbindungen

Hallo,
ich habe schon mehrere Themen gesehen, in denen angekündigt wurde, dass SSL-Verbindungen zu bplaced möglich werden würden, jedoch wurde dies scheinbar bislang noch nicht umgesetzt. Daher aufgrund eines aktuellen Anlasses nochmal die Bitte, dies zu ermöglichen.

Im von der Bundesregierung vor kurzem verabschiedeten Sicherheitsgesetz wird auch verlangt
"Betreiber von Webangeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen." [https://www.datenschutzbeauftragter-info.de/sicherheitsgesetz-zweck-anforderungen-und-sanktionen/]

Nach meiner Interpretation gehört die Verschlüsselung von kritischem Datenverkehr, wie personenbezogenen Daten (z.B. Passwörter, wie sie auf jeder Webseite anfallen, die ein Login anbietet), dazu. Entsprechend müssten Anbieter von Webseiten, die Logins anbieten (was heutzutage bei den meisten Webseiten der Fall ist (so auch unserer Seite)), die Daten verschlüsselt übertragen. Dies ist nur über eine SSL-Verbindung (HTTPS) sinnvoll möglich.

Daher möchte ich hiermit fragen, ob es nicht möglich wäre, dass bplaced es ermöglicht die Webseiten mit einem SSL-Zertifikat auszustatten. Bei StartSSL gibt es zum Beispiel die Möglichkeit kostenlos Zertifikate zu erstellen, die auch von den gängigen Browsern (IE, Firefox, Chrome…) als vertrauenswürdig eingestuft werden. Eventuell wäre auch das Hochladen von eigenen Zertifikaten hilfreich.

Der Aufwand, der an der Benutzerschnittstelle und im Backend vorgenommen werden müsste, wäre vermutlich zudem nicht zu umfangreich (Schaltfläche, um Zertifikat hochzuladen/zu erstellen und speichern und in der Config zum VirtualHost entsprechend das Zertifikat u. private Key eintragen und SSL aktivieren). Gegebenenfalls könnte bplaced auch eine eigene CA erstellen, deren Zertifikat die User dann installieren müssten. Mit dieser einfachen Konfigurationsänderung könnte die Sicherheit der gehosteten Webseiten jedoch sehr stark erhöht werden.

Daher die Frage: Kann der Einsatz von SSL-Zertifikaten u. HTTPS realisiert werden?

Gruß
FZ Gutdrauf

[quote=“fzgutdrauf”][] die Daten verschlüsselt übertragen. Dies ist nur über eine SSL-Verbindung (HTTPS) sinnvoll möglich.
[][/quote]stimmt nicht :stuck_out_tongue: Du könntest auch via Javascript etwas entsprechendes basteln :stuck_out_tongue: Gekoppelt mit Server seitigem PHP. Einzig das problem wäre das Javascript zuverlässig auszuliefern da ein vermeintlicher “attacker” diese ja ersetzen könnte. streng genommen müsste es aber möglich sein sogar mehr Sicherheit als über SSL zu erzielen.

Hilft dir vermutlich nicht viel, sollte nur richtig stellen das es auch ohne HTTPS gehen würde xD

Eher relevant als irgendwelcher kram der in deutschen Gesetzen steht [size=85](die besonders im Bereich IT sehr hinterherhinken oder bullshit sind)[/size], ist wohl das SSL heutzutage oft schon Standard ist. Insbesondere Suchmaschinen die SSL-only seiten höher bewerten.

Ich persönlich bin zwar gegen SSL weil es unnötige ressourcen frisst als auch neue Probleme mit sich bringt wie mit proxies oder caches, oder der tatsache das normale seitenbetreiber/entwickler es eigl. unmöglich nutzen können ohne horrende summen zahlen zu dürfen. Aber seitens bplaced mag es dennoch überfällig sein.
Mein letzter stand war allerdings das man es nicht umgesetzt hat weil man für die user schlecht certificate ausstellen kann und self-signed auch nicht viel nützen. Aber man könnte zumindest den usern erlauben es zu aktivieren und eigene certificates zu hinterlegen.

Auch wenn der Thread etwas alt ist, hoffe ich, dass ein Admin das liest und darüber nachdenkt.

Es ist mittlerweile gar nicht mehr so schwer SSL für alle einzubauen. Ihr müsstet nur Let’s Encrypt unterstützen und dann einmal im Monat per CronJob ein neues Certifikat anfordern alles andere macht dan Let’s Encrypt für euch.

Schaut es euch mal an, wäre echt nice, wenn ihr es unterstützen könntet.

Hier auch nochmal ein Link mit Hostern die es schon unterstützen und wer eben leider nicht:

Bplaced arbeitet zur Zeit an einem riesigen Update.
Damit soll dann auch SSL kommen,das steht schon fest.
Man will aber nicht viele Kleinigkeiten nacheinander liefern,deswegen laesst das komplette Update eben noch auf sich warten.

1 Like