[Matteo]

Habe ich das richtig im Kopf, dass mondgesaenge.de mittlerweile auch von WoP gehostet wird?
Falls ja: Bisher kann man die Seite nicht über über https ansteuern, gibt es dafür einen bestimmten Grund und könnte man das ändern? Vor einiger Zeit sind ja soweit ich weiß alle Netzwerkseiten Standardmäßig auf https umgestellt worden.

[Schatten]

Kontaktiere diesbezüglich bitte RoiDanton. Er ist der Administrator der Seite.

[meditate]

die seite steht auf archiv und ist bei uns gehostet. es kann eigentlich keiner mehr dort etwas machen. somit ist sie auch eigentlich nicht unsicher. ich geb das mal weiter.

[Lookbehind]

die seite steht auf archiv und ist bei uns gehostet. es kann eigentlich keiner mehr dort etwas machen. somit ist sie auch eigentlich nicht unsicher.
...

Ähm, nur weil ihr am Inhalt der Seite nichts mehr ändert, heißt das nicht, dass eine Transportverschlüsselung überflüssig ist.

[Kyle07]

Seit wann ist "https" denn ein Ding wenn man fragen darf? Die deutsche Wikipediaseite spricht von 1994. Aber ich meine selbst mitbekommen zu haben, dass in den letzten Jahren die Popularität von "https" zugenommen hat, oder?

[mondy]

Was ist denn der Unterschied zwischen http und https? Also mal einem Laien in einfachen Worten erklärt. Warum ist das so wichtig?

[Golden Girl]

https ist eine Erweiterung von http. Es beinhaltet ein Sicherheitsprotokoll das die Cyber-Sicherheit gewährleisten soll und hat eine Datenverschlüsselung implementiert.

https://www.globalsign.com/de-de/blo...ttp-und-https/

[mondy]

Danke!

[meditate]

Falls ja: Bisher kann man die Seite nicht über über https ansteuern, gibt es dafür einen bestimmten Grund und könnte man das ändern? Vor einiger Zeit sind ja soweit ich weiß alle Netzwerkseiten Standardmäßig auf https umgestellt worden.

danke für den hinweis. leite es an unsere techniker weiter

[Lookbehind]

Seit wann ist "https" denn ein Ding wenn man fragen darf? Die deutsche Wikipediaseite spricht von 1994. Aber ich meine selbst mitbekommen zu haben, dass in den letzten Jahren die Popularität von "https" zugenommen hat, oder?

Die Idee hinter https an sich ist schon recht alt. Vielleicht sogar älter als 1994, je nach dem was man da als "Vater der Idee" ansieht. Aber das ist Haarspalterei.
Als 2013 Snowden der Welt gezeigt hat, was nicht nur Verbrecher sondern auch Regierungen mit dem Datenverkehr im Netz machen, war klar das Verschlüsselung der Standard werden muss. Nicht nur für das, was wir für wichtig erachten, sondern für alles. Weil sich Dinge die wir eigentlich für unwichtig halten im Nachhinein als Fatal heraus stellen können. Und das Internet vergisst nicht.
Und dann haben sich Leute gefragt, wie es eigentlich sein kann, dass die verschlüsselte Übertragung von Webseiten zwar seit gefühlten Ewigkeiten standardisiert ist, aber selbst in 2013 immernoch so wenig angewendet wird.

https hatte dabei zwei Probleme.
Zum einen war es nicht der Default. Wer in seinem Webbrowser google.com eingegeben hat, der landete auf der unverschlüsselten http-Seite von Google. Wer die verschlüsselte haben wollte, musste das explizit mit https://google.com aufrufen. Das wurde dann immer mehr geändert. Seiten die verschlüsseln konnten, haben angefangen Anfragen auf die unverschlüsselte Seite automatisch an die verschlüsselte Variante weiter zu leiten. Das Forum war da schon recht spät mit dran, und es war ein zähes Ringen.
Zum anderen war es schlicht zu teuer. Wer seine Webseite verschlüsselt anbieten möchte, braucht ein (X.509)-Zertifikat dafür. Und die kosten Geld und man musste durch etliche Reifen springen um da ran zu kommen. Die großen, Amazon, Google, PayPal, usw. hatten damit wenige Probleme, weil niemandem aufgefallen ist, dass das Geld dafür in der Portokasse fehlte. Aber das Internet besteht eben nicht nur aus "den großen", sondern eben überwiegend aus super vielen kleinen Seiten. Und da war dann das Geld und oft auch das Know-How nicht da.

Um letzteres zu beseitigen haben sich 2014 dann die Electronic Frontier Foundation und Mozilla, zusammen mit einigen anderen Organisationen, insbesondere aus dem Universitäre oder OpenSource-Bereich, aber auch ein paar kommerzielle, zusammen getan und Let's Encrypt gegründet. Mit dem Ziel, insbesondere eben kleinen und nicht kommerziellen Seiten kostenlos und einfach ein Verschlüsselungszertifikat aus zu stellen. 2015 war Let's Encrypt und die dazugehörigen Protokolle und Programme dann Produktionsreif, und seit dem ist Verschlüsselung, zumindest bei Webseiten wirklich der Standard. ... zum Glück.

Was ist denn der Unterschied zwischen http und https? Also mal einem Laien in einfachen Worten erklärt. Warum ist das so wichtig?

Ganz einfach: Bei http verläuft die Kommunikation zwischen dem Webserver und deinem Rechner unverschlüsselt ab. Bei https ist sie verschlüsselt.

Das impliziert mehrere Dinge:
1. Keiner kann lesen WAS da übertragen wird. ... ist bei einer statischen Webseite wie Mondgesänge nun nicht SO dramatisch. Spiegelt aber das wieder, was die meisten Menschen mit Verschlüsselung verbinden. Das ist eben noch sehr in der realen Welt behaftet. Auch im Internet haben die Leute vor allem angst, dass ihnen jemand etwas weg nimmt. Verschlüsselung kann das verhindern.
2. Manipulationssicherheit. Es geht nämlich im Internet selten darum, dass dir jemand etwas weg nimmt. Die meisten bösen Buben im Internet geben dir gerne etwas extra! Bei einer unverschlüsselten Verbindung kann jeder, der die Datenpakete in die Hand bekommt diese nicht nur lesen, sondern auch manipulieren. Entweder um dir falsche Informationen zukommen zu lassen (Den News-Artikel kurz vor der Wahl mal schnell etwas umformulieren), oder um dir Schadsoftware (im Volksmund gerne "Viren" genannt) unter zu jubeln.
3. Authentifizierung. Bei einer sauberen https Verbindung kannst du dir sicher sein, dass der Server mit dem du da sprichst, auch der ist, der er vor gibt zu sein. Ich könnt ja sonst einfach eine Seite aufsetzen, die wie die Seite deiner Bank aussieht, aber auf meinem Server läuft. Du würdest den Unterschied vermutlich nicht merken. ... aber ich freue mich anschließend aber über deine Zugangsdaten. Mit https geht das so ohne weiteres nicht. Ohne schon.

Oder kurz: https ist dieses kleine Schloss oben links in der Adresszeile von deinem Browser.

[mondy]

3. Authentifizierung. Bei einer sauberen https Verbindung kannst du dir sicher sein, dass der Server mit dem du da sprichst, auch der ist, der er vor gibt zu sein. Ich könnt ja sonst einfach eine Seite aufsetzen, die wie die Seite deiner Bank aussieht, aber auf meinem Server läuft. Du würdest den Unterschied vermutlich nicht merken. ... aber ich freue mich anschließend aber über deine Zugangsdaten. Mit https geht das so ohne weiteres nicht. Ohne schon.

Oder kurz: https ist dieses kleine Schloss oben links in der Adresszeile von deinem Browser.

Danke für deine Zusammenfassung

Den Punkt 3 verstehe ich nicht ganz. Woran erkenne ich (oder mein PC, oder mein Browser), dass deine gefälschte Seite gefälscht ist anhand https?

[Lookbehind]

Danke für deine Zusammenfassung

Den Punkt 3 verstehe ich nicht ganz. Woran erkenne ich (oder mein PC, oder mein Browser), dass deine gefälschte Seite gefälscht ist anhand https?

Weil das Zertifikat für eine bestimmte Seite ausgestellt ist, und der Aussteller sicher gestellt hat, dass derjenige, dem er das Zertifikat ausgestellt hat, wirklich für die Seite zuständig ist.

Eine Analogie:
Angenommen ich möchte in die USA einreisen. Was ich mir ob der aktuellen politischen Situation gut überlegen würde, aber der Grand Canyon soll auch mit Trump im weißen Haus noch schön an zu sehen sein. Ich will also in die USA einreisen. Die USA möchten aber gerne wissen, wen sie da so ins Land lassen, also möchten sie von mir auch wissen wer ich bin. Dann gehe ich hin und sag: "Guten Tag, ich bin der Herbert Grönemeyer, lassens mich bitte rein, ich will mir da so ne Schlucht in Arizona angucken." Was wird der Grenzbeamte sagen? "Na sie können mir viel erzählen. Beweisen sie mal, dass sie der Grönemeyer sind." Und weil ich nicht singen kann, und der Grenzbeamte nicht weiß wer Herbert Grönemeyer ist, werde ich wohl blöderweise nicht rein gelassen.
Aber irgendwie muss ich ja beweisen können, dass ich bin, wer ich bin.
Zu diesem Zweck hat mir meine Regierung ein Zertifikat ausgestellt. Im Volksmund Reisepass genannt. Den zeige ich dem Grenzbeamten vor. Der Grenzbeamte kann prüfen ob der Reisepass echt ist, weil er von der deutschen Regierung ein entsprechendes Muster bekommen hat, welches er mit meinem Pass abgleichen kann. Außerdem vertrauen die USA der deutschen Regierung, dass diese ihre Reisepässe nur an die Person ausstellt, die dazu auch berechtigt ist. Und so kann ich beweisen wer ich bin, und werde rein gelassen. ... oder eben auch nicht. Denn ich bin nicht Herbert Grönemeyer. Es gibt also folgende Möglichkeiten:
1. Das Zertifikat (aka Reisepass) ist gefälscht. Das sollte der Grenzbeamte erkennen können.
2. Herbert hat nicht auf seinen Reisepass aufgepasst. Auch das sollte auffliegen, denn zum einen hat Herbert das sicher schnell gemeldet und den Reisepass für ungültig erklärt lassen. Zum anderen sind in das Zertifikat Merkmale von Herbert eingearbeitet, die erkennen lassen, dass ich absolut nicht aussehe wie der Grönemeyer.
3. Die deutsche Regierung prüft doch nicht so gut, wem sie welches Zertifikat ausstellt. Dann sollten die USA ihr nicht mehr vertrauen.

Praxis. Achtung, wild, nicht erschrecken. Ich hebe die wichtigen Teile farbig hervor.
Ich hab mir mal kurz das Zertifikat von diesem Forum rausgeben lassen.

Spoiler:(zum lesen bitte Text markieren)

Code:

$ echo | openssl s_client -connect forum.worldofplayers.de:443 2>/dev/null | openssl x509 -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            04:d6:23:bb:7d:8d:6b:06:fc:9c:14:03:18:27:63:5d:d6:ca
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jul 29 05:02:48 2019 GMT
            Not After : Oct 27 05:02:48 2019 GMT
        Subject: CN = forum.worldofplayers.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c7:19:17:b0:2d:f4:6f:05:68:0a:ea:54:8f:1b:
                    20:50:19:d9:e5:ca:2e:2f:08:2b:7c:73:10:c3:3f:
                    1a:7d:94:1c:1c:0e:2f:e7:bb:e9:2c:42:1b:f4:69:
                    45:a5:81:1e:66:d9:4a:83:28:b2:ed:94:fd:40:55:
                    34:e8:0e:ac:7e:fc:bb:db:2a:df:4c:af:ae:bc:a9:
                    04:44:18:66:a7:d7:93:e5:55:3b:db:51:ce:d0:66:
                    d8:41:3d:01:ca:5c:98:ac:16:a2:a6:60:12:59:69:
                    6f:98:6a:d8:5d:67:f6:7a:82:74:bf:78:71:37:2f:
                    fa:f4:e6:1d:60:14:26:fb:5a:08:87:c6:87:f9:cc:
                    c0:df:11:b6:4b:a1:fc:be:5c:01:2a:d9:a6:69:0f:
                    95:61:52:e3:6a:9d:69:50:7a:42:f5:68:67:eb:ed:
                    89:02:16:9d:17:dc:61:94:a3:fc:d3:88:ae:07:71:
                    aa:65:0e:ae:cc:98:21:be:85:18:8d:88:14:5f:7a:
                    98:ec:f2:37:a6:f6:e1:ce:48:32:ef:ad:63:b9:d3:
                    6b:41:ee:56:7f:e7:7d:9b:61:56:28:74:9c:df:27:
                    0a:18:eb:dd:20:29:62:db:45:05:f1:57:2f:3b:15:
                    b3:06:83:8e:d9:7c:70:b1:93:09:d0:8a:a2:6d:03:
                    3f:2d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                22:58:37:D0:8E:31:52:46:1E:DE:03:D4:A4:1B:2D:45:E5:61:D8:4D
            X509v3 Authority Key Identifier: 
                keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1

            Authority Information Access: 
                OCSP - URI:http://ocsp.int-x3.letsencrypt.org
                CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

            X509v3 Subject Alternative Name: 
                DNS:forum.worldofplayers.de
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
                Policy: 1.3.6.1.4.1.44947.1.1.1
                  CPS: http://cps.letsencrypt.org

            CT Precertificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : E2:69:4B:AE:26:E8:E9:40:09:E8:86:1B:B6:3B:83:D4:
                                3E:E7:FE:74:88:FB:A4:8F:28:93:01:9D:DD:F1:DB:FE
                    Timestamp : Jul 29 06:02:48.762 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:44:02:20:60:70:7F:72:6A:DD:39:3A:BD:20:71:5E:
                                34:AA:13:CA:36:F7:B1:EE:F5:FD:D2:79:F5:88:F7:A9:
                                C7:D9:E9:7E:02:20:1E:CD:93:46:A1:4D:BA:47:50:45:
                                47:89:E7:F1:2E:D5:7B:F1:44:54:8B:5C:07:BB:1E:A9:
                                C7:41:CA:98:A3:9A
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:
                                6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78
                    Timestamp : Jul 29 06:02:48.765 2019 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:F7:F0:ED:7E:8E:E1:33:A0:70:48:76:
                                6E:31:3F:B3:F8:AF:84:BB:F5:AE:0D:C8:57:5E:03:3F:
                                52:00:D8:D9:09:02:21:00:A1:5F:10:B5:7B:DD:A3:87:
                                61:24:9A:53:B7:8A:4A:C6:13:B5:AA:7B:E1:0A:B5:F5:
                                F4:AB:21:B3:75:FF:BC:F9
    Signature Algorithm: sha256WithRSAEncryption
         76:1d:39:92:a2:2c:39:a5:1a:6c:61:3d:b4:b4:e3:88:d0:a0:
         07:4e:7f:0d:16:a5:8d:6e:a7:5c:92:89:4d:0c:08:5a:a1:6c:
         a5:f4:5e:e9:af:70:b5:a6:a0:71:4c:92:8b:d6:c8:02:57:0b:
         1b:48:cf:6d:b2:04:d0:c9:81:f9:71:40:32:0f:a5:52:ef:89:
         c8:e8:7c:a4:70:0e:fa:dd:4e:b5:20:ea:8b:7d:37:14:07:5e:
         36:94:d6:11:9e:27:a2:f8:55:84:90:a1:ae:8e:e0:b2:e6:68:
         28:8c:01:dd:5d:1e:9e:d3:cd:98:e7:6d:a7:af:07:e5:ac:14:
         1e:eb:0a:5d:f8:8a:1f:24:37:49:c2:9c:e9:ae:8f:2b:0c:f0:
         14:8a:b5:e0:6d:f6:f6:90:3c:df:87:9c:a7:cb:db:2a:14:27:
         3d:25:64:de:42:48:7c:e0:2c:71:d2:5a:df:60:5c:aa:7a:53:
         18:7d:98:d4:46:1d:e7:2c:e3:fe:c1:7d:47:e3:a2:24:bf:ca:
         ab:2c:41:e9:5d:1e:12:b0:d4:d5:f1:94:9d:23:d6:aa:3a:03:
         74:00:2e:12:bc:89:08:18:e9:88:ea:40:6d:77:24:1d:13:41:
         dc:3b:1d:51:06:74:78:8a:b6:0b:a2:8a:3c:58:95:2b:06:8b:
         04:fb:2d:d7
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Sieht wild aus, ich weiß. Im wesentlichen sehen wir hier 2 Dinge. Zum einen den "Issuer". Das ist die Instanz, welche das Zertifikat ausgestellt hat. Das muss eine vertrauenswürdige Instanz sein, denn sie beglaubigt, dass, wer immer dieses Zertifikat vorzeigen kann, auch wirklich der ist, der auf dem Zertifikat drauf steht. Und wer steht auf dem Zertifikat drauf? Das ist das "Subject".
In diesem Fall ist der Issuer Let's Encrypt, und das Subject forum.worldofplayers.de.
Let's Encrypt hat den ganzen Kram dann nochmal digital signiert (da spielt dann ein wenig asymmetrische Verschlüsselung mit rein), und dein Browser hat ein entsprechendes Zertifikat von Let's Encrypt selbst integriert. Sobald dein Browser jetzt also das Zertifikat vom Forum erhält, kann es in Kombination mit dem Zertifikat von Let's Encrypt prüfen, ob das Zertifikat vom Forum echt ist.

Wir erkennen hier Dinge aus der Analogie wieder:
Issuer - Hier Let's Encrypt - In der Analogie war das die deutsche Regierung
Subject - Hier forum.worldofplayers.de - In der Analogie war das wessen Name auch immer auf dem Reisepass steht.
Server - Hier ist das entweder der von der WoP, oder meine gefälschte Bankseite - In der Analogie war ich das, der vor dem Grenzbeamten steht und beweisen möchte, wer ich bin.
Zertifikat - Das wurde hier mehrfach verwendet. Zum einen als Zertifikat vom Server, aber auch als Zertifikat vom Issuer (Let's Encrypt) - In der Analogie war ersteres mein Reisepass, letzteres das Muster, welches der Grenzbeamte zur Verfügung hatte um die Echtheit meines Reisepasses zu verifizieren.
Ganz wie der echte Reisepass, hat das Zertifikat übrigens auch ein Ablaufdatum und muss erneuert werden.

[Thoronador]

Mondgesange.de ist jetzt auch über HTTPS erreichbar: https://mondgesaenge.de/ (In dieser Hinsicht kann man nur sagen: Let's Encrypt ist schon richtig geiles Zeug!)
HTTP geht aber auch noch: http://mondgesaenge.de/

Eine automatische Weiterleitung von HTTP auf HTTPS wurde noch nicht eingerichtet, da ich nicht weiß, ob dazu auf der Seite vorher noch angepasst werden muss. (Einige Browser mögen es nicht, wenn die Seite selbst über HTTPS geladen wird, aber JavaScript auf der Seite nur über HTTP geladen wird.)

[Matteo]

Mondgesange.de ist jetzt auch über HTTPS erreichbar: https://mondgesaenge.de/ (In dieser Hinsicht kann man nur sagen: Let's Encrypt ist schon richtig geiles Zeug!)
HTTP geht aber auch noch: http://mondgesaenge.de/

Im Prinzip super, aber da gibt's noch einen kleinen (bzw. eigentlich einen großen) Wehrmutstropfen:
Versucht man https://mondgesaenge.de aufzurufen, wird man leider automatisch auf http://mondgesaenge.de/PORTAL weitergeleitet.
Ändert man die Adresse im Nachhinein auf https ab, bleibt's zwar für die Dauer des Besuches bei https, aber diese Weiterleitung sollte man noch anpassen...

[Thoronador]

Das Problem ist jetzt auch behoben, sodass die Weiterleitung nun auch das angegebene Protokoll berücksichtigt.

[Matteo]

Super, vielen Dank!