Dienstag, 19. August 2014, 12:43
manitu.de und hostblogger.de nur noch via https erreichbar
Seit gestern sind manitu.de und hostblogger.de nur noch via https erreichbar. Den passenden HSTS-Header haben wir natürlich auch gesetzt.
Wer es nachmachen möchte, hier ein passender Ausschnitt für eine .htaccess-Datei:
Nachtrag 12:51 Uhr
Ich habe soeben alle Links zu manitu.de in diesem Blog auf https:// korrigiert.
Wer es nachmachen möchte, hier ein passender Ausschnitt für eine .htaccess-Datei:
Wer den HSTS-Header auch für Subdomains möchte:<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> <IfModule mod_headers.c> Header always set Strict-Transport-Security "max-age=86400;" </IfModule>
Header always set Strict-Transport-Security "max-age=86400; includeSubDomains"
Nachtrag 12:51 Uhr
Ich habe soeben alle Links zu manitu.de in diesem Blog auf https:// korrigiert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Tetja Rediske
Der Adminblogger
Manuel Schmitt (manitu)
Der Adminblogger
JanS
Warum sind Zertifikate so teuer? Für nen automatisiert erstelltes Zertifikat und ggf. nen Brief über PostIdent?
Gibt es Alternativen damit ich auf https komme ohne Browsermeldung und ohne horrende Kosten? Ich bin Hobbyfotograf der einfach gerne https nutzen möchte. Kein Banker oder Anwalt wo meine Identität absolut 100pro bestätigt sein muss. Meinen Seitenbesucher möchte ich keine SSL Warnmeldungen zumuten. Da hab ich ja dann noch weniger Besucher.
Gruß
Jan
Tetja Rediske
Kostengünstig, das Ausstellen umsonst, ist zum Beispiel startssl.com, allerdings kostet ein Revoke dort Geld, daher haben einige bei Heartbleed dort ganz schön geweint.
Florian Pritz
https://www.imperialviolet.org/2014/04/19/revchecking.html
Thomas Preissler
Fuer den Paranoiden kann ich das nicht empfehlen: Vor ein paar Jahren war deren root Zertifikate noch MD5 gehasht und "Email validated" (wobei letzters
bei allen Billiganbietern der Fall ist).
Und nun um nen Flamewar loszubrechen - mit DNSSEC und DANE wird eh alles besser.
Von StartSSL wuerd ich abraten, da Du keine Garantie hast, dass deren root Zertifikate in allen gaengigen Browsern ist. IIRC hatte es zum
Beispiel Debian vor ein paar Wochen entfernt (und es ist wiederum eine andere Frage wieviele Linux Benutzer Deine Seite hat). Nebenbei, der
Hintergrund war ein recht interessanter warum sie es entfernten... so manche Sachen nahm StartSSL nicht ernst genug (aber ich erinner mich nur vage).
HTH
Daniel Brandt
Redirect permanent / https://www.manitu.de/
Siehe auch: https://wiki.apache.org/httpd/RedirectSSL
Korbinian
L.E.
Siehe bspw. hier: https://blog.lars-ewald.com/entryid/667/Weshalb-man-als-Server-Admin-mit-BEAST-beruhigt-schlafen-kann
Im Übrigen wäre es auch nicht schlecht, Session Tickets zu deaktivieren, da man sich sonst Forward Secrecy gleich sparen kann...
Thomas Preissler
https://bettercrypto.org/static/applied-crypto-hardening.pdf und auch andere Seiten empfehlen groessere max-age Werte, so habe ich hauptsaechlich
ein halbes Jahr gefunden. Der maximal Wert is ubrigens 1 Jahr. Auf der anderen Seite macht es nicht sooo einen grossen Unterschied, der Browser spart sich nur dem 301 zu folgen, und die Seite ladet schneller... *g
https://www.virtuesecurity.com/blog/the-dos-and-donts-hsts/ schreibt interessanterweise dass der Browser HSTS headers auf der http:// Adresse ignoriert, was ja auch irgendwie Sinn macht, bei Lichte betrachtet, und kein Man-in-the-Middle kann Dir nen HSTS header unterjubeln, den Du Du nicht magst. Kann gut sein, dass ich das auf meiner Seite auch falsch gemacht hatte...
Die RFCs geben da leider nicht viel her... hmmmm.