HTTPS and Websites

HTTPS?
I nearly forgot – after i posted the article about “enabling https” a few days ago, there are of course some other problems that may come up.

Like the fact that – until recently – no one really cared about making the site itself… well… “https-proof”. Most common is that some resources may be missing, or a warning may be displayed (depends on your browser) – most common, i.e. in chrome you will encounter a warning sign in the adress bar, or even a red striked-through “https” before the URL. Well, no-one said it would be THAT easy.
So, how to deal with that?
Weiterlesen

Veröffentlicht unter Admin-Stuff | Verschlagwortet mit , , | Hinterlasse einen Kommentar

Apache and HTTPS

Despite that selfmade certificates usually provide more information and a higher key size as well (well… mine do), don’t use them for the public. It’s sad, but true, that the vast majority of the users out there has no idea how certificates work – they WILL complain on first warning. And stick there, wether you try to explain or not.

Obviously, this leaves you with high security for your backend (at least you should trust yourself), but if you’ll up to provide your visitors with encryption, you have to spend money for “a third party checking” (which, to be honest, is a joke, but well…)
Given the pricings and “for private” – don’t even think about E(xtended)V(alidation)-Certificates. Even if you can get one, it’ll be really expensive.

So… how to “certificate”?
First of all, bookmark this URL: https://www.ssllabs.com/ssltest/. The tests done there will show you where you can improve… but now, the basics…
Weiterlesen

Veröffentlicht unter Admin-Stuff | 1 Kommentar

Self-Signed Certificates

Just heute wurde ich wieder darauf gestossen, self-signed Certificates wären per Definition unsicher.

Warum?

Sehen wir uns einmal den Unterschied an.
Ein self-signed Certificate ist mit dem eigenen Schlüssel signiert. Punkt.
Punkt? Ja, denn das ist – abgesehen vom Geld – der einzige, wirklich einzige Unterschied. Persönlich fallen für mich auch Zertifikate darunter, die ich selbst mit meiner CA ausstelle, deren Rootzertifikat grundsätzlich selbstsigniert ist. Deren Erstellung und Schlüssel unterliegt ja ebenso meiner Kontrolle wie der des einzelnen Zertifikates. Natürlich, dieses Rootzertifikat ist nicht in den Listen der Browser enthalten, daher fragen diese beim Benutzer nach. Dies tut allerdings der Sicherheit des Zertifikates an sich keinen Abbruch.

Bei einem “kommerziellen” Zertifikat erstelle noch immer ich den CSR (certificate signing request) und schicke diesen an einen Dienstleister, der dann den Schritt der Zertifikatserstellung übernimmt (und nebenbei auch noch einiges an Zusatzinfo aus dem Zertifikat löscht, aber bitte). Die Überprüfung beschränkt sich im Grunde darauf, ob der Besteller irgendwas mit der Domain, für die das Zertifikat beantragt wurde, machen kann – da reicht es auch schon, einen META-Tag in die Seite einzubauen…
Weiterlesen

Veröffentlicht unter Admin-Stuff | Hinterlasse einen Kommentar

Minecraft

Da ich ja für Freunde und Bekannte einen kleinen Server betreibe, hier ein paar Dinge, die man so anstellen kann ;)

Weiterlesen

Veröffentlicht unter Ziemlich Ungeordnetes... | Verschlagwortet mit | Hinterlasse einen Kommentar

Um mal auf das Thema Werbung zurückzukommen…

Frau Meike hat hier mal ein paar wahre Worte zum Thema Onlineshops aufgeschrieben, denen ich mich ohne Weiteres so anschließen kann.

 

 

Also ehrlich, immer noch hier? Ihr müsst drüben weiterlesen! ;P

Veröffentlicht unter Fernsehen und Werbung | Hinterlasse einen Kommentar