nicht angemeldet dedlfix
Der Martin
Der Martin
dedlfix
dedlfix
Der Martin
Der Martin
Hallo liebes Forum,
ich habe ein webbasierendes Programm, bei dam man sich einloggen muss mit "Sessions" realisiert. Da man mit diesem Programm nun auch Kundendaten verwalten kann, frage ich mich, ob die "Sessions" allein ausreichen.
Die Daten ansich werden ja unverschlüsselt übertragen.
Daher meine Frage, wie kann ich die Übertragung verschlüsseln?
Bei meinem E-Mail-Fach z.B. erscheint rechts unten im Browser dieses kleine Schloß. Wenn ich dort drauf klicke, wird mir erzählt, dass die Übertragung mit einer 265 Bit-Verschlüsselung geschlumpft wurde.
Wie kann ich so etwas programmieren - unter welchen Stichworten sollte ich da mal googlen?
Vielen Dank für Eure Hilfe
Peter
wie wäre es mit HTTPS ?
Hallo Knusperklumpen,
habe mir das mal durchgelesen und anschließend nach einem tutorial gegoogled.
Habe ich das richtig verstanden, dass ich statt http einfach nur https eingeben muss und schon wird alles verschlüsselt und sicher übertragen?
Scheint mir jetzt irgendwie ein bischen zu simpel.
Hast Du vielleicht sonst einen Tipp, wo ich mir ein tutorial oder Beispiel ansehen kann?
Gruß Peter
Mahlzeit Peter,
Habe ich das richtig verstanden, dass ich statt http einfach nur https eingeben muss und schon wird alles verschlüsselt und sicher übertragen?
Wenn Dein Webserver https beherrscht und ein passendes Zertifikat vorhanden ist: ja.
MfG,
EKKi
Wenn Dein Webserver https beherrscht und ein passendes Zertifikat vorhanden ist: ja.
Moin Eggi,
na dann schreib ich mir mal ein Script und probiere das einfach mal aus.
Melde mich ggf. nochmal
Danke schonmal für die Hilfe
Gruß Peter
Hi!
Wenn Dein Webserver https beherrscht und ein passendes Zertifikat vorhanden ist: ja.
na dann schreib ich mir mal ein Script und probiere das einfach mal aus.
Von allein entsteht so ein Zertifikat nicht. Das muss entweder selbst erstellt werden, was dann aber Browser nicht besonders mögen, weil sie dem nicht vertrauen. Oder man lässt eins bei den diversen Zertifizierungsstellen in der Regel gegen Entlohnung erstellen.
Lo!
wie wäre es mit HTTPS ?
Habe ich das richtig verstanden, dass ich statt http einfach nur https eingeben muss und schon wird alles verschlüsselt und sicher übertragen?
Nein:
1. Du musst das Verschlüsselungsmodul im Webserver aktivieren (Apache: mod_ssl).
2. Du musst dem Server ein Zertifikat verpassen, damit er sich gegenüber dem Browser ausweisen kann, der Browser also weiß, dass er mit dem verbunden ist, mit dem er verbunden sein will und nicht mit jemand anderem, der nur so tut, als wäre er der gewünschte Partner.
2b. Das Zertifikat muss beglaubigt werden, falls du deinen Besuchern jedesmal eine Warnung vom Browser antun willst, dass er die Echtheit des Zertifikates nicht feststellen kann (teuer bei Verisign & Co., umsonst auf diesem Wege).
3. Du musst dem Webserver sagen, dass er zusätzlich zum üblichen Port 80 für http-Verbindungen auch auf Port 443 für https-Verbindungen warten soll.
4. Wenn du schon so viel Arbeit reinsteckst, solltest du abschließend _alle_ Verbindungen, die unverschlüsselt reinkommen, auf die verschlüsselte umleiten. Es gibt keinen relevanten Grund, eine Verschlüsselung nur auf eine Handvoll Unterseiten anzuwenden.
Hallo,
- Wenn du schon so viel Arbeit reinsteckst, solltest du abschließend _alle_ Verbindungen, die unverschlüsselt reinkommen, auf die verschlüsselte umleiten. Es gibt keinen relevanten Grund, eine Verschlüsselung nur auf eine Handvoll Unterseiten anzuwenden.
doch, gibt es: SSL-verschlüsselte Seiten werden von den meisten Servern (nicht allen) wesentlich "zäher" ausgeliefert als unverschlüsselte. Vor allem die Antwortzeiten sind oft spürbar länger.
Außerdem: Etwas verschlüsseln, was keine vertraulichen Informationen enthält, ist unnützer Aufwand.
Ciao,
Martin
Tach,
doch, gibt es: SSL-verschlüsselte Seiten werden von den meisten Servern (nicht allen) wesentlich "zäher" ausgeliefert als unverschlüsselte. Vor allem die Antwortzeiten sind oft spürbar länger.
das ist allerdings behebbar: http://twitter.com/wiretapped_/status/18381560461
Außerdem: Etwas verschlüsseln, was keine vertraulichen Informationen enthält, ist unnützer Aufwand.
Aber was sind vertrauliche Informationen? Ich bevorzuge z.B. meine Suchanfragen zu verschlüsseln, seit Google das möglich macht; viele andere würden das vermutlich nicht vertraulich nennen. Ich hätte kein Problem damit meine gesamte Kommunikation im Internet zu verschlüsseln.
mfg
Woodfighter
Hallo,
SSL-verschlüsselte Seiten werden von den meisten Servern (nicht allen) wesentlich "zäher" ausgeliefert als unverschlüsselte. Vor allem die Antwortzeiten sind oft spürbar länger.
das ist allerdings behebbar: http://twitter.com/wiretapped_/status/18381560461
"You cannot use the Twitter website without having JavaScript enabled on your web browser.
Please re-enable JavaScript and refresh this page."
Vielen Dank für diese Nichtinformation. Schwaches Bild, wenn man nicht mal konkret verlinkte Daten abrufen darf. Dann halt nicht.
Außerdem: Etwas verschlüsseln, was keine vertraulichen Informationen enthält, ist unnützer Aufwand.
Aber was sind vertrauliche Informationen?
Das sieht anscheinend jeder anders.
Ich bevorzuge z.B. meine Suchanfragen zu verschlüsseln, seit Google das möglich macht; viele andere würden das vermutlich nicht vertraulich nennen. Ich hätte kein Problem damit meine gesamte Kommunikation im Internet zu verschlüsseln.
Ich dagegen habe mich erst kürzlich sehr unwillig über die IMHO sinnlose Verschlüsselung bei der Online-Steuererklärung über Elster-Online geäußert; ich hätte auch kein Problem damit, selbst mit meiner Bank unverschlüsselt zu reden.
Es muss nur in beiden Fällen sichergestellt sein, dass niemand unberechtigt Daten verändern oder Aktionen auslösen kann. Dazu haben die Banken das PIN/TAN-Verfahren. Und wenn meine PIN zufällig verlorengeht, kann jemand anders meine Kontoauszüge einsehen, sonst aber auch nichts - so what? Vielleicht will er mir ja dann auch aus Mitleid 300 Euro überweisen. Nur zu.
Vertraulich ist für mich dagegen fast alles, was ausschließlich dem Privatleben zuzuordnen ist. Beispielsweise meine private Handynummer, meine Einkaufsgewohnheiten, oder die Liebesbriefe aus der Jugendzeit.
Ciao,
Martin
Tach,
"You cannot use the Twitter website without having JavaScript enabled on your web browser.
Please re-enable JavaScript and refresh this page."
Vielen Dank für diese Nichtinformation. Schwaches Bild, wenn man nicht mal konkret verlinkte Daten abrufen darf. Dann halt nicht.
Extra für dich:
#gmail's switch to #https everywhere required "no additional machines and no special hardware" http://➡.ws/ssl-performance
Ich dagegen habe mich erst kürzlich sehr unwillig über die IMHO sinnlose Verschlüsselung bei der Online-Steuererklärung über Elster-Online geäußert;
Bei der Einkommenssteuer finde ich das schwedische Modell der Offenlegung eigentlich auch nicht schlecht.
ich hätte auch kein Problem damit, selbst mit meiner Bank unverschlüsselt zu reden.
Nein, darüber kann man deutlich zu viele Rückschlüsse auf mein Privatleben ziehen, die Daten auf Kontoauszügen geben u.U. sehr viel preis.
Es muss nur in beiden Fällen sichergestellt sein, dass niemand unberechtigt Daten verändern oder Aktionen auslösen kann.
Signatur statt Verschlüsselung ist aber auch kein realer Unterschied im Aufwand.
mfg
Woodfighter
Hi!
ich hätte auch kein Problem damit, selbst mit meiner Bank unverschlüsselt zu reden.
Es muss nur in beiden Fällen sichergestellt sein, dass niemand unberechtigt Daten verändern oder Aktionen auslösen kann. Dazu haben die Banken das PIN/TAN-Verfahren.
Das allein verhindert keine Man-in-the-Middle-Szenarien. Da muss auch noch sichergestellt sein, dass meine hier abgesendeten Daten (und nur die) unverfälscht am anderen Ende ankommen.
Vertraulich ist für mich dagegen fast alles, was ausschließlich dem Privatleben zuzuordnen ist. Beispielsweise meine private Handynummer, meine Einkaufsgewohnheiten, oder die Liebesbriefe aus der Jugendzeit.
Du magst dir mit deinen Daten recht unwichtig vorkommen. Damit hast du sicher Recht. Das beseitigt aber noch nicht die Gründe, warum jemand seine Bankaktionen und anderes nicht in die Öffentlichkeit hinausposaunt oder Inhalt oder das Wissen darüber in andere Hände gelangen sehen will.
Diesen Konflikt, ob Geheimhaltung notwendig ist oder nicht, kann man entweder durch generelle Geheimhaltung oder durch fallweise Entscheidung lösen. Letzteres ist aber unbequem, weil es ständiges Mitdenken und aufwendigeres Handeln erfordert. Auch für die Bank ist es einfacher, generell zu verschlüsseln als sich beispielsweise im Zweifelsfall mangelnde Sorgfalt vorwerfen lassen zu müssen.
Lo!
Okay, viele Antworten diverse anregungen.
Gehe ich das mal sChritt für Schritt durch.
Ich habe mir jetzt ein Script zum Testen zusammengebastelt, bei dem ich mit zunächst per Session anmelden muss. Sofern die Anmeldung genehmigt wird, wird der User zu einer https-Seite weitergeleitet.
Da kammt dan das bereits angesprochene 'Zetrifikat' bzw. das identifizieren.
Mein Firefox fragt mich, ob ich der Seite wirklich vertrauen will.
[..
Dieser Verbindung wird nicht vertraut
Sie haben Firefox angewiesen, eine gesicherte Verbindung zu www.ende.de aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.
Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
..]
Nächster Schritt wäre also dieses Zertifikat zu erstellen.
'Gingerbred' & 'dedlfix' schrieben bereits, dass das kosten verursachen würde bzw. von einer Externen firma gemacht wird.
Ist das definitiv so, oder kann ich das auch irgendwie selbst hinbekommen.
Dazu vielleicht noch ein, zwei Hintergrundinformationen:
Das Programm wird nur von bestimmten Personen bedient, die ich alle persönlich kenne. Man könnte sich also ein Verein vorstellen. Das Vertrauen ist also auf jeden Fall da - da kein FREMDER User das Programm nutzt.
Ist aber ja trotzdem nervig, wenn der Brwoser immer wieder nachfragt.
Freue mich über weitere Anregungen...
Gruß Peter
Tach,
'Gingerbred' & 'dedlfix' schrieben bereits, dass das kosten verursachen würde bzw. von einer Externen firma gemacht wird.
Ist das definitiv so, oder kann ich das auch irgendwie selbst hinbekommen.
Du hast ja offensichtlich bereits ein selbst ausgestelltes Zertifikat. Es gibt auch Aussteller (http://cert.startcom.org/), die kein Geld für die einfache Variante haben wollen, deren Root-Zertifikat sollte inzwischen auch in den meisten Browsern vorhanden sein.
Ist aber ja trotzdem nervig, wenn der Brwoser immer wieder nachfragt.
Du kannst das Zertifikat auch von Hand akzeptieren.
mfg
Woodfighter
Tach,
'Gingerbred' & 'dedlfix' schrieben bereits, dass das kosten verursachen würde bzw. von einer Externen firma gemacht wird.
Ist das definitiv so, oder kann ich das auch irgendwie selbst hinbekommen.Du hast ja offensichtlich bereits ein selbst ausgestelltes Zertifikat. Es gibt auch Aussteller (http://cert.startcom.org/), die kein Geld für die einfache Variante haben wollen, deren Root-Zertifikat sollte inzwischen auch in den meisten Browsern vorhanden sein.
Ist aber ja trotzdem nervig, wenn der Brwoser immer wieder nachfragt.
Du kannst das Zertifikat auch von Hand akzeptieren.
mfg
Woodfighter
Hallo Woodfighter,
Um sicher zugehen, dass ich es richtig verstanden habe:
Da der Brwoser mich fragt, ob ich der anderen Seite vertrauen will, existiert bereits ein Zertifikat? - Das ist ja schon mal gut.
Ich habe zwar die Option der manuellen Bestätigung, würde es aber natürlich bevorzugen, wen diese Frage garnicht erst aufkommt, oder brauch ich diese Frage nur ein einzigesmal bestätigen. Man kann doch auch im BRwoser selbst vertrauenswürdige Seiten anlegen - würde das vielleicht schon reichen?
Gruß Peter
PS: Sorry wenn ich da vielleicht auf´m Schlauch stehe, aber ich frage lieber nochmal nach
Tach,
Ich habe zwar die Option der manuellen Bestätigung, würde es aber natürlich bevorzugen, wen diese Frage garnicht erst aufkommt, oder brauch ich diese Frage nur ein einzigesmal bestätigen.
in allen von mir verwendeten Browsern kann ich Zertifikate von Hand dauerhaft hinzufügen.
mfg
Woodfighter
in allen von mir verwendeten Browsern kann ich Zertifikate von Hand dauerhaft hinzufügen.
Und hast Du diese Zertifikate selbst erstellt, oder meinst Du jetzt einmal manuell bestätigt, wird nicht mehr nachgefragt?
Gruß Peter
Tach,
in allen von mir verwendeten Browsern kann ich Zertifikate von Hand dauerhaft hinzufügen.
Und hast Du diese Zertifikate selbst erstellt, oder meinst Du jetzt einmal manuell bestätigt, wird nicht mehr nachgefragt?
äh, beides.
mfg
Woodfighter
Hi!
Ich habe zwar die Option der manuellen Bestätigung, würde es aber natürlich bevorzugen, wen diese Frage garnicht erst aufkommt, oder brauch ich diese Frage nur ein einzigesmal bestätigen.
in allen von mir verwendeten Browsern kann ich Zertifikate von Hand dauerhaft hinzufügen.
Wie hältst du das aber mit Zertifikaten deren Inhaber und Aussteller du nicht kennst und auch nicht auf Authentizität überprüfen kannst? Diesen Aufwand wird man nur in wenigen Fällen selbst betreiben können. Dafür gibt es die Zertifizierungsstellen, von denen man annimmt, dass man ihnen trauen kann und dass sie die Überprüfung übernehmen können.
Lo!
Tach,
Wie hältst du das aber mit Zertifikaten deren Inhaber und Aussteller du nicht kennst und auch nicht auf Authentizität überprüfen kannst?
im allgemeinen: nicht hinzufügen.
Dafür gibt es die Zertifizierungsstellen, von denen man annimmt, dass man ihnen trauen kann und dass sie die Überprüfung übernehmen können.
Schöne Formulierung.
mfg
Woodfighter
Hallo,
Wie hältst du das aber mit Zertifikaten deren Inhaber und Aussteller du nicht kennst und auch nicht auf Authentizität überprüfen kannst? Diesen Aufwand wird man nur in wenigen Fällen selbst betreiben können.
kommt auf den Anbieter an. Wenn HTTPS nur verwendet wird, um zu demonstrieren, dass man's kann (so wie auf weiten Teilen von mozilla.org), würde ich sagen: Ja, is' okay, nerv mich nicht weiter.
Wenn es allerdings wirklich um brisante Informationen geht, die da ausgetauscht werden, schau ich mir Domainnamen, IP-Adresse und Inhaber an, ob diese Angaben zueinander und zu den Angaben im Zertifikat passen. Wenn ja - genügt mir als Auskunft, Zertifikat akzeptieren.
Dafür gibt es die Zertifizierungsstellen, von denen man annimmt, dass man ihnen trauen kann und dass sie die Überprüfung übernehmen können.
Für Nutzer, die weniger mit der Materie vertraut sind, ist das wohl unabdingbar.
Ciao,
Martin
Hallo,
Man kann doch auch im BRwoser selbst vertrauenswürdige Seiten anlegen - würde das vielleicht schon reichen?
für dich selbst würde das reichen - aber jeder, der deine Seite besucht, müsste das Zertifikat dann ebenso auf Treu und Glauben manuell akzeptieren. Wenn du genügend Überzeugungskraft hast, um deine Besucher dazu zu bringen - okay.
So long,
Martin
Hi,
Ich habe mir jetzt ein Script zum Testen zusammengebastelt, bei dem ich mit zunächst per Session anmelden muss. Sofern die Anmeldung genehmigt wird, wird der User zu einer https-Seite weitergeleitet.
Das ist ja schonmal falsch ... die Verschlüsselung soll ja gerade die Übertragung von Anmeldeinformationen, wie Benutzername und Passwort sichern. Wenn jemand im Klartext diese Infos auslesen kann, interessiert es ihn nicht, wenn im Nachgang alles verschlüsselt ist.
Das Programm wird nur von bestimmten Personen bedient, die ich alle persönlich kenne. Man könnte sich also ein Verein vorstellen. Das Vertrauen ist also auf jeden Fall da - da kein FREMDER User das Programm nutzt.
Und wie stellst du sicher, dass es kein Fremder ist, der dein Programm nutzt?
Alles was übers Inet läuft ist prinzipiell _unsicher_ und _für jeden_ nutzbar.
mfg
Knusperklumpen
Das ist ja schonmal falsch ... die Verschlüsselung soll ja gerade die Übertragung von Anmeldeinformationen, wie Benutzername und Passwort sichern. Wenn jemand im Klartext diese Infos auslesen kann, interessiert es ihn nicht, wenn im Nachgang alles verschlüsselt ist.
Das ist ein gutes Argument. Ich muss also von vornherein auch die Anmeldemaske bereits über https laufen lassen - wird gleich korrigiert.
Und wie stellst du sicher, dass es kein Fremder ist, der dein Programm nutzt?
Alles was übers Inet läuft ist prinzipiell _unsicher_ und _für jeden_ nutzbar.
Damit wollte ich nur ausdrücken, dass ich nicht diverse Nutzer habe, bei denen eine Zertifizierung erst geschickt werden müsste, weil ich den gar nicht kenne. Mein hintergedange war, dass ich meine Handvoll Leuten vielleicht einfach nur eine Einstellung machen lassen muss, wie z.B. vertrauenswürdige Seite im Browser einstellen lassen und schon läuft das ganze rund. Da ich mich mit diesem Vertrauenswürdigen kram aber überhaupt nicht auskenne, dachte ich mir, dass solch eine Hintergrundinformation schon einiges an meinen Optionen ändern würde - scheint ja demnach nicht so zu sein.
Ist mir schon klar das letztendlich jeder USer aus dem Internet auf meine Seite zugreifen kann. ;)
Gruß Peter
Hi,
Das ist ein gutes Argument. Ich muss also von vornherein auch die Anmeldemaske bereits über https laufen lassen - wird gleich korrigiert.
Naja zumindest im action des Formulars, welches die Anmeldedaten übermittelt, sollte https:// stehen, damit dann alles verschlüsselt wird.
Was das Zertifikat angeht, muss dass m.E. immer bestätigt werden. Irgendwer hier hat ja aber nen Anbieter genannt, der ein kostenloses Zertifikat anbietet. Mit dem kannste es ja erstmal probieren.
mfg
Knusperklumpen
Mahlzeit Peter,
Ich habe mir jetzt ein Script zum Testen zusammengebastelt, bei dem ich mit zunächst per Session anmelden muss. Sofern die Anmeldung genehmigt wird, wird der User zu einer https-Seite weitergeleitet.
Das heißt also, dass die Anmeldedaten des Benutzers unverschlüsselt übertragen werden. Ist das wirklich das, was Du willst? Willst Du nicht viel eher bereits die Anmeldeseite per https übertragen?
MfG,
EKKi
Moin nochmal an alle,
ich habe mich mal mit den Links die Ihr mir gegeben habt beschäftigt und auch bei meinem aktuellen Provider angerufen.
Dieser erzählte mir, dass dieses Zertifikat auf jeden Fall vom Provider installiert werden muss, was definitiv mit Kosten verbunden ist.
Mein Provider selbst bietet auch eine Zertifikaterstellung an und würde dafür 19,95 pro Jahr verlangen. Für die installation eines externen Zertifikates nehmen die 50,00 Euro pro Jahr.
Bevor ich da jetzt blauäugig zusage, wollte ich hier zumindest nochmal kurz Rücksprache halten, ob es wohl in Ordnung wäre das ganze jetzt über meinen Provider laufen zu lassen.
Was meint Ihr also dazu?
Gruß und vielen Dank für Eure Unterstützung zu diesem Thema
Peter
Hi!
Bevor ich da jetzt blauäugig zusage, wollte ich hier zumindest nochmal kurz Rücksprache halten, ob es wohl in Ordnung wäre das ganze jetzt über meinen Provider laufen zu lassen.
Du wirst nicht drumrumkommen, wenn du nicht Administrator des Webservers bist.
Lo!
Du wirst nicht drumrumkommen, wenn du nicht Administrator des Webservers bist.
Dann auf jeden Fall schon mal vielen Dank für die vielen Informationen.
sobald dieses Zertifikat installiert ist werde ich mich ggf. wieder melden und nochmal um Eure Hilfe bitten.
Besten Gruß
Peter
PS: Schon mal vorab, soll ich dass dann hier posten, oder ein neues Thema öffnen?
'ǝɯɐu$ ıɥ
PS: Schon mal vorab, soll ich dass dann hier posten, oder ein neues Thema öffnen?
Kommt u.a. drauf an ob dich der Schwanzabschneider mittlerweile erwischt hat.
ssnɹƃ
ʍopɐɥs
Hi!
PS: Schon mal vorab, soll ich dass dann hier posten, oder ein neues Thema öffnen?
Kommt drauf an. Wenn der Faden dann noch aktiv ist, dann wäre es gut, wenn du hier weitermachst, denn dann sind alle Informationen zusammen. Wenn allerdings bereits das Archiv zugeschlagen hat, dann wäre es zumindest sinnvoll, im neuen Thread auf den Archivbeitrag zu verweisen/-linken.
Lo!
Hallo nochmal an alle,
im Zuge meines Verschlüsselungszertifikates, welches ich jetzt direkt über meinen Domainanbieter machen lasse fragt dieser nun, ob ich das Zertifikat auf 'www.meine-seite.de' oder lediglich 'meine-seite.de' drauf schalten lassen möchte. Es geht also um dieses 'www'.
Wo ist da genau der unterschied bzw. zu was würdet Ihr mir raten?
Dazu vielleicht noch ein paar Informationen:
Auf 'www.meine-seite.de' gibt es für die Allgemeinheit einige Informationen, halt eine ganz normale Internetseite. Du muss ja nicht zwingend verschlüsselt sein. Wenn man jedoch 'www.meine-seite.de/verein_1/index.php' eingibt, landet man auf einer Login-Maske über die man letztlich in den für die Öffentlichkeit gesperrten raum gelangt. Der Clou ist jetzt, da ich nicht nur ein Verein verwalte, dass es auch 'www.meine-seite.de/verein_2/index.php' gibt und soweiter.
Was macht jetzt mehr Sinn zu verschlüsseln bzw. was hat da Vor- oder Nachteile, 'www.meine-seite.de' oder 'meine-seite.de'?
Vielen Dank für Eure Meinungen
Gruß Peter
Mahlzeit Peter,
im Zuge meines Verschlüsselungszertifikates, welches ich jetzt direkt über meinen Domainanbieter machen lasse fragt dieser nun, ob ich das Zertifikat auf 'www.meine-seite.de' oder lediglich 'meine-seite.de' drauf schalten lassen möchte. Es geht also um dieses 'www'.
Mein Zertifikat gilt für "example.com" und "*.example.com" - das wäre schonmal der erste sinnvolle Schritt.
Und jetzt geht's um die "Installation" im Webserver (d.h. vermutlich die Einrichtung eines virtuellen Hosts auf Port 443)? Handelt es sich denn bei "example.com" und "www.example.com" um zwei unterschiedliche Web-Auftritte? Unterschiedlicher DOCUMENT_ROOT? Unterschiedliche virtuelle Hosts?
Was macht jetzt mehr Sinn zu verschlüsseln bzw. was hat da Vor- oder Nachteile, 'www.meine-seite.de' oder 'meine-seite.de'?
Beide. Bzw. genauer: sowohl die SLD als auch *alle* darunter liegenden Subdomains.
MfG,
EKKi
Gruß EKKi
Mein Zertifikat gilt für "example.com" und "*.example.com" - das wäre schonmal der erste sinnvolle Schritt.
Demnach hast Du zwei Zertifikate?
1x für deine Hauptdomain 'example.com'
1x für Deine Subdomain '*.example.com'
Warum sollte man eine 'öffentlich zugängliche' Homepage, in diesem Falle 'example.com' verschlüsseln. Reicht es da nicht, wenn man die Subdomains verschlüsselt?
Und wenn ich unterschiedliche Subdomains habe, z.B. test1.example.com und test2.example.com, benötige ich dann für jede Subdomain ein eigenes Zertifikat?
Und jetzt geht's um die "Installation" im Webserver (d.h. vermutlich die Einrichtung eines virtuellen Hosts auf Port 443)? Handelt es sich denn bei "example.com" und "www.example.com" um zwei unterschiedliche Web-Auftritte? Unterschiedlicher DOCUMENT_ROOT? Unterschiedliche virtuelle Hosts?
Nein, der Inhalt ist der gleiche und so soll es auch sein.
Gruß Peter
Mahlzeit Peter,
Mein Zertifikat gilt für "example.com" und "*.example.com" - das wäre schonmal der erste sinnvolle Schritt.
Demnach hast Du zwei Zertifikate?
1x für deine Hauptdomain 'example.com'
1x für Deine Subdomain '*.example.com'
Nein, ich habe *ein* Zertifikat, das sowohl für die Hauptdomain "example.com" als auch für "*.example.com" (d.h. alle Subdomains) gilt.
Warum sollte man eine 'öffentlich zugängliche' Homepage, in diesem Falle 'example.com' verschlüsseln. Reicht es da nicht, wenn man die Subdomains verschlüsselt?
Warum nicht? Definiere "reichen"! Das kannst nur Du beurteilen, da Du den Anwendungszweck und die zwischen Server und Browser hin- und hergehenden Daten besser kennst als alle anderen (hier).
Und wenn ich unterschiedliche Subdomains habe, z.B. test1.example.com und test2.example.com, benötige ich dann für jede Subdomain ein eigenes Zertifikat?
Nicht, wenn Du ein Zertifikat hast, das z.B. für "*.example.com" ausgestellt ist - das gilt für *jede* Subdomain.
MfG,
EKKi
