Zertifikat für das Forum

Alle technischen Themen, Fragen und Diskussionen, für die wir kein Spezialforum haben, passen hier rein.
Antworten
Benutzeravatar
touchy
Member
Member
Beiträge: 79
Registriert: 8. Nov 2016 08:51

Zertifikat für das Forum

Beitrag von touchy » 28. Mär 2019 10:56

Hallo liebes Board-Team,
spendiert dem Forum hier doch mal ein Lets Encrypt Zertifikat o.ä.

Und die Kollegen von willytel.de sollten sich auch mal eins für ihre Webseite gönnen. Es dauert zwar immer etwas länger bei denen, aber es macht schon einen besseren Eindruck.

Benutzeravatar
burnz
Member
Member
Beiträge: 355
Registriert: 8. Nov 2016 00:02
Wohnort: Hamburg

Re: Zertifikat für das Forum

Beitrag von burnz » 28. Mär 2019 12:33

Wozu ein Let's Encrypt, wenn es hier auch ein wunderbares Comodo tut..

cybershadow
Member
Member
Beiträge: 87
Registriert: 26. Jul 2017 22:48

Re: Zertifikat für das Forum

Beitrag von cybershadow » 28. Mär 2019 14:35

Eben.

Und für http://www.willytel.de ist ein Zertifikat völlig verzichtbar. Diese Seite besteht ausschließlich aus öffentlichen Informationen und bietet nicht mal ein Kontaktformular, über das ein Besucher ggf. personenbezogene Daten übertragen könnte. Ohne personenbezogene Daten ist die DSGVO nicht anwendbar, und damit besteht kein Grund zu verschlüsseln.

Wulf
Member
Member
Beiträge: 16
Registriert: 11. Mär 2016 09:03

Re: Zertifikat für das Forum

Beitrag von Wulf » 31. Mai 2019 09:50

http://www.willytel.de/ verweist auf http://webmail.willytel.de/ und http://portal.willytel.de/
Das ist alles http, ohne s.

Es ist eine kommerzielle Webseite, dadurch ist die DSGVO anwendbar. Personenbezogene Daten sind IP-Adresse, UserAgent, etc.
Bei einer rein informativen Seite braucht man https nicht zwingend; aber dadurch dass zu anderen Seiten verlinkt wird, besteht doch auch eine gewisse Pflicht, zu verschlüsseln.
Derzeit können Angreifer (z. B. bei öffentlichen WLANs) mit wenig Aufwand die Seite manipulieren und den Besuchern Schadcode unterschieben oder sie zu anderen gefälschten Seiten umleiten und so Logins etc. klauen.

Es gibt hier also ein echtes Sicherheits-Problem. Und es ist kein gutes Aushängeschild, kein https zu nutzen.

Ob das Zertifikat von LetsEncrypt oder irgendeiner anderen CA stammt ist vollkommen egal.

Benutzeravatar
pirat
Member
Member
Beiträge: 38
Registriert: 27. Mai 2018 09:43

Re: Zertifikat für das Forum

Beitrag von pirat » 31. Mai 2019 12:14

ich weiss nicht was du hast, bei mir wird immer auf die https weitergeleitet egal welcher link

Benutzeravatar
fLoo
WT-Technik
WT-Technik
Beiträge: 145
Registriert: 14. Dez 2016 08:09
Kontaktdaten:

Re: Zertifikat für das Forum

Beitrag von fLoo » 31. Mai 2019 12:30

Wulf hat geschrieben:
31. Mai 2019 09:50
http://www.willytel.de/ verweist auf http://webmail.willytel.de/ und http://portal.willytel.de/
Das ist alles http, ohne s.
Das ist korrekt, trotzdem wird der Request durch den Webserver intern auf https umgeschrieben (forced rewrite). Da auf der Hauptseite keine Nutzerdaten einzugeben sind, werden als auch keine Sessioncookies o.Ä. weitergereicht.

Code: Alles auswählen

ffs@localhost:~# curl -I -X GET webmail.willytel.de
HTTP/1.1 301 Moved Permanently
Date: Fri, 31 May 2019 10:26:52 GMT
Server: Apache/2.2.15 (CentOS)
Location: https://webmail.willytel.de/
Content-Length: 321
Connection: close
Content-Type: text/html; charset=iso-8859-1

Code: Alles auswählen

ffs@localhost:~# curl -I -X GET portal.willytel.de
HTTP/1.1 301 Moved Permanently
Date: Fri, 31 May 2019 10:30:33 GMT
Server: Apache
X-Frame-Options: DENY
Location: https://portal.willytel.de/
Content-Length: 235
Connection: close
Content-Type: text/html; charset=iso-8859-1
Wulf hat geschrieben:
31. Mai 2019 09:50
Es gibt hier also ein echtes Sicherheits-Problem.
Ein >Sicherheitsproblem< besteht an den Links nicht, ich stimme dir aber in dem Punkt zu, dass man den Link gleich auf https setzen kann :wink:

Mit deinem zweiten Punkt hast Du hingegen recht. Hier wäre es sinnvoll für willytel.de ebenfalls ein rewrite auf https einzurichten, ist aber außerhalb meines Wirkungsbereichs. Den Vorschlag bitte direkt an willytel weiterleiten, da wir hier von wilhelm.tel sind ;-)

it-pa
Administrator
Administrator
Beiträge: 198
Registriert: 30. Okt 2016 02:43

Re: Zertifikat für das Forum

Beitrag von it-pa » 31. Mai 2019 20:53

An dieser Stelle auch gerne nochmal gesondert der Hinweis, dies ist ein Forum für Kunden der wilhelm.tel GmbH und nicht von willy.tel.

MatzeHH
Member
Member
Beiträge: 34
Registriert: 8. Nov 2016 06:46

Re: Zertifikat für das Forum

Beitrag von MatzeHH » 1. Jun 2019 01:58

it-pa hat geschrieben:
31. Mai 2019 20:53
An dieser Stelle auch gerne nochmal gesondert der Hinweis, dies ist ein Forum für Kunden der wilhelm.tel GmbH und nicht von willy.tel.
Naja, ein anderes Forum gibt's halt nicht, an dass sich Willy.Tel-User wenden können.
Ich verstehe total, was Du uns damit sagen möchtest. Aber letztlich ist das aus Kundensicht alles eins.

Wulf
Member
Member
Beiträge: 16
Registriert: 11. Mär 2016 09:03

Re: Zertifikat für das Forum

Beitrag von Wulf » 1. Jun 2019 12:28

fLoo hat geschrieben:
31. Mai 2019 12:30
trotzdem wird der Request durch den Webserver intern auf https umgeschrieben (forced rewrite).
[…]
Ein >Sicherheitsproblem< besteht an den Links nicht
Naja, schon. Der Redirect kann von einem Angreifer mühelos unterbunden werden.
Außerdem ist kein HSTS (https://en.wikipedia.org/wiki/HTTP_Stri ... t_Security) eingerichtet.
Bei www.wilhelm-tel.de übrigens auch nicht.
Den Vorschlag bitte direkt an willytel weiterleiten, da wir hier von wilhelm.tel sind ;-)
Ich werd's mal probieren. Aber ich meine ich hatte mich da schonmal vor paar Jahren drüber beschwert.

Antworten