Moin!

und zwar habe ich für einen Kunden einen Providerwechsel für seinen Onlineshop erfolgreich vorgenommen.

Wenn SSL fehlt, wohl offenbar doch nicht so erfolgreich.

Die Bestelldaten müssen aber über SSL übertragen werden. Nur leider, obwohl tel. abgesprochen, enthält unser Packet beim neuen provider keine SSL verschlüsselung!

Am Telefon spricht man sowas nicht ab. Nicht bei der Telekom! Der Laden ist so riesig, da gehen Telefongespräche mit absoluter Sicherheit verloren und werden vergessen. Alles schriftlich machen lassen.

Beim Provider handelt es sich um t-mart webservices von der telekom. Die jetzt meinten, man müsste eine umstellung auf ein komplett anderes System für den 4fachen preis vornehmen. Undenkbar.

Ich betreue zwar einen Webspace bei der Telekom, mit dem grundsätzlich auch SSL machbar wäre, aber dein T-Mart-Dingsda habe ich bei der Telekom nicht gefunden (auch ein Kriterium, warum man die Telekom meiden sollte als Kleinkunde).

Es ist so: Andere Provider, wie beispielsweise 1&1, bieten ihren Kunden die Möglichkeit an, einen zentralen SSL-Proxy für gesicherte Übertragungen zu verwenden. Dann ist zwar die Verbindung zwischen Proxy und auslieferndem Server nicht geschützt, aber da der Proxy (hoffentlich) im gleichen Netzwerk angeschlossen ist, welches zudem geswitcht ist, dürfte ein Belauschen dieser Verbindung sehr unwahrscheinlich sein.

Der Vorteil für den Provider: Er muß nur ein einziges SSL-Zertifikat signieren lassen, denn das kosten im jährlichen Abstand immer jeweils so 100 bis 300 Euro, je nach Anbieter.

Wenn die Telekom so einen SSL-Proxy also nicht anbietet, wirst du, um SSL machen zu können, also mindestens so ein Zertifikat für den jeweiligen Server organisieren müssen. Dazu kommt dann, dass dein Webspace-Server logischerweise eine eigenständige, einzelne IP-Adresse benötigt, weil HTTPS anders nicht funktioniert (viele virtuelle Hosts auf nur einer IP-Adresse gehen mit SSL nicht).

Gibt es nicht irgendeine Möglichkeit eine SSL übertragung über einen dritten anbieter zu gewährleisten? vielleicht irgendeinen Umweg?

Natürlich kannst du die relevante Datenübertragung auf einen komplett anderen Server packen. Also beispielsweise einen Internet-Zahlungsanbieter verlinken (gibt da einige, die sowohl Kreditkarten als auch EC-Karten akzeptieren und für den Kunden dann die Abwicklung übernehmen). Dann läuft die Kommunikation für diesen Schritt verschlüsselt und komplett über einen anderen Server, und du kriegst bestenfalls ein "hat geklappt" als Statusmeldung davon mit - vielleicht auch gar nichts (ich habe sowas noch nicht implementiert). Da bei solchen Angeboten das SSL-Zertifikat des bestehenden Abrechungsanbieters benutzt wird, kostet das natürlich kein Geld extra. Aber der Anbieter will vermutlich Provision haben, die bei deinem Kunden möglicherweise zu stark an den Margen zehrt. Kostenlos zu kriegen ist sowas jedenfalls nicht.

- Sven Rautenberg