SSL/HTTPS im Diskussionsforum

  • Moin!


    Die BHKW-Infothek hatten wir bereits vor ein paar Wochen auf HTTPS umgestellt. Im Rahmen unseres Jahrestreffens haben wir mit vereinter Admin-Power gestern Abend auch das Diskussionsforum mit einem Verschlüsselungs-Zertifikat ausgestattet. Der Login ins Forum ist damit jetzt noch besser geschützt und auch in offenen WLAN kein Sicherheitsrisiko mehr. Wenn Ihr Fehler findet, bitte hier im Thema melden. :)

  • Moin,


    ist erneuert und läuft jetzt drei Jahre.
    Hatte vor 14 Tagen wohl ne Mail bekommen und vermutlich gelöscht :(


    Grüße
    Tom

  • Hallo,


    Während www.bhkw-forum.de auf https://www.bhkw-forum.de/ weiterleitet und dann die folgende Fehlermeldung ausspuckt:

    gibt es bei "bhkw-forum.de" als URL (-> "https://bhkw-forum.de/") keine Probleme.


    Mein Vorschlag ist daher, entweder dem Zertifikat auch eine Gültigkeit für die Subdomäne www.bhkw-forum.de zu verpassen, oder eine Weiterleitung von www.bhkw-forum.de auf https://bhkw-forum.de/ zu installieren.


    Das Gleiche passiert bei Safari (Diese Verbindung ist nicht privat - Diese Webseite gibt sich möglicherweise als "www.bhkw-forum.de" aus, um deine persönlichen oder finanziellen Informationen zu stehlen. Kehre zur vorherigen Seite zurück.) - wie sieht es bei anderen Browsern aus?


    Gruß,
    Gunnar



    PS

    Zitat von Erweiterte Informationen von Mozilla

    http://www.bhkw-forum.de verwendet ein ungültiges Sicherheitszertifikat.


    Das Zertifikat gilt nur für folgende Namen:
    http://www.energietec.eu, bhkw-forum.de, energietec.eu, uvr1611-forum.de


    Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

    Ist die Wärme kraftgekoppelt, wird die Energie gedoppelt. (Ulli Brosziewski)

    6 Mal editiert, zuletzt von gunnar.kaestle () aus folgendem Grund: Safari ergänzt

  • Eine Weiterleitung existiert bereits, diese wird jedoch von den Browsern wegen des fehlenden Zertifikates für die "www" Subdomain nicht verarbeitet. Ist @Tom3244 bekannt und wird dann vermutlich beim nächsten neuen Zertifikat behoben.

  • Hallo Lui


    Mir ist der Fehler heute noch mal aufgefallen: erstmal auf http://www.bhkw-forum.de keine Verbindung hinbekommen, sondern nur die Fehlermeldung "Diese Verbindung ist nicht sicher" und dann zwei-dreimal erfolglos hin und hergeklickt, bevor die URL eingekürzt wurde. Ich könnte mir vorstellen, dass aufgrund dieses Hemmnissfaktors ein nicht unerheblicher Teil der Laufkundschaft einfach fernbleibt, wenn das auf Anhieb nicht klappt. Kann man die SSL-Funktion für http://www.bhwk-forum.de nicht einfach ausschalten, auch wenn die Gefahr eines Man in the Middle Angriffs steigt?


    Gruß,
    Gunnar

  • Wie bereits geschrieben, fällt das SSL im Diskussionsforum in die Zuständigkeit von @Tom3244
    Soweit ich informiert bin, ist der Fehler bekannt, aber da das bis zum 7. Juli 2020 gültige Zertifikat nur die TLD "bhkk-forum.de" jedoch nicht www.bhkw-forum.de enthält, wird sich daran leider wohl die nächsten Jahre nichts ändern.

  • Wenn ich in einem bliebigen Browser bhkw-forum.de (also intern ausgewertet als http://bhkw-forum.de) eingebe, lande ich auf https://www.domain.de/



    Das ist neu und sehr unglücklich.



    Gleiches Verhalten bei www.bhkw-forum.de



    Man muß wirklich explitzit https://bhkw-forum.de/ eingeben, was die meisten Leute nicht wissen werden.


    Ihr müßtet in der Apache-Konfiguration eine Rewrite-Condition eingeben, wenn möglich.

  • Kann man die SSL-Funktion für http://www.bhwk-forum.de nicht einfach ausschalten, auch wenn die Gefahr eines Man in the Middle Angriffs steigt?

    Nein. DSGVO schreibt für personenbezogene Daten vor das sie verschlüsselt übermittelt werden müssen. Emailadressen sind personenbezogen, registrieren im Forum nur über Angabe einer Emailadresse möglich - Verschlüsselung daher zwingend.



    Mal davon abgesehen das Google, seit nicht all zu langer Zeit, über ihren Chrome-Browser unverschlüsselte Webseiten identifiziert und im Index der Suchmaschine abwertet.



    mfg JAU

  • DSGVO schreibt für personenbezogene Daten vor das sie verschlüsselt übermittelt werden müssen. Emailadressen sind personenbezogen, registrieren im Forum nur über Angabe einer Emailadresse möglich - Verschlüsselung daher zwingend.

    Betrifft die Verschüsselung personenbezogener Daten nur die Übermittelung per HTTPS zum Server (was bei Login-Versuchen, wo ein geheimes Kennwort ausgetauscht wird, unzweifelhaft sinnvoll ist) oder auch die Aufbewahrung auf dem EDV-System?

    Ich fand es trotzdem lästig, dass man beim Aufruf der URL http://www.bhkw-forum.de erstmal eine Fehlermeldung erhalten hat und möchte noch mal für den Quick-Fix meinen Dank ausprechen, indem nun eine Autoumleitung auf den verschlüsselten Link https://bhkw-forum.de/ keine Laufkundschaft mehr verschreckt.


    Es mögen zwar mehr BHKW-Freunde angemeldet sein, aber ich habe den Eindruck, dass früher hier mehr aktive Poster unterwegs war. Wenn nun die alten Hasen etwas müde werden (dazu zähle ich mich auch), dann sollte man es neuem und frischem Blut so einfach wie möglich machen, hier heimisch zu werden.


    Gruß,
    Gunnar