Karl Heinz: ist https zwingend notwendig?

Hallo,

ich habe einen kleinen Online-Shop der mit "http" arbeitet. Nun habe ich gehört, dass ich besser "https" verwenden sollte. Hierzu ein paar Fragen:

1.) Was genau macht "https" überhaupt?
2.) Ist es wirklich notwendig "https" zu verwenden?
3.) Kostet die Umstellung auf "https" Geld?
4.) Wie setze ich das praktisch um?

  1. 1.) Was genau macht "https" überhaupt?
    2.) Ist es wirklich notwendig "https" zu verwenden?
    3.) Kostet die Umstellung auf "https" Geld?
    4.) Wie setze ich das praktisch um?

    1. https verschlüsselt den Datenverkehr zwischen Server und Browser.

    2. hängt davon ab was du genau tust. Bezahlinformationen gehören meiner Ansicht nach in https.

    3. dafür brauchst du ein Zertifikat. Am besten eines das von einer anerkannten Vergabestelle signiert ist. Man kann sich auch selber Zertifikate erstellen, aber die erfordern dann dass man sie im Browser ausdrücklich zulässt. In Firefox sieht das nicht sehr Ruf-fördernd für deinen Shop aus, daher solltest du dir ein gescheites Zertifikat zulegen.
    Je nach dem woher du das hast kostet es. Informier dich bei deinem Hoster, vielleicht hat der da was brauchbares.

    4. Viel tun musst du dazu nicht. Was genau weiß ich nicht da ich es noch nie gemacht habe. Du musst deinen Shop aber nicht komplett umstellen.

  2. Hallo,

    1.) Was genau macht "https" überhaupt?
    2.) Ist es wirklich notwendig "https" zu verwenden?
    3.) Kostet die Umstellung auf "https" Geld?
    4.) Wie setze ich das praktisch um?

    Solche sehr allgemeinen Fragen solltest du dir erst einmal durch eigene Recherche beantworten, bevor sich hier jemand Zeit nimmt und dir eine individuelle Antwort schreibt.

    http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
    http://de.wikipedia.org/wiki/Transport_Layer_Security
    http://www.netzwelt.de/news/85067-netzwelt-wissen-ssl-verschluesselung.html
    http://www.nick-prosch.de/?page_id=159
    http://blog.bigbasti.com/ssl-teil1-serverseitige-authentifizierung-und-zertifikate/

    Um dir im konkreten Fall weiterzuhelfen, müsstest du erst einmal deine konkrete Situation beschreiben.

    Mathias

    1. Hi,

      sehe ich das richtig, dass HTTPS nicht vor man-in-the-middle Angriffen schützt?

      1. Tach,

        sehe ich das richtig, dass HTTPS nicht vor man-in-the-middle Angriffen schützt?

        doch tut es, vorausgesetzt die verwendete Zertifikatsinfrastruktur tut es.

        mfg
        Woodfighter

      2. Moin dave,

        sehe ich das richtig, dass HTTPS nicht vor man-in-the-middle Angriffen schützt?

        das ist kompliziert.

        Die Zertifikats-Infrastruktur sorgt über eine Vertrauens-Hierarchie dafür, dass ein MITM-Angriff nicht passieren kann: das Zertifikat würde nicht von einer der vertrauten Stellen aus der Hierarchie stammen und du würdest dem Zertifikat also nicht vertrauen. Bei Ausstellung eines Zertifikats muss ja die Identität und Berechtigung überprüft werden.

        Soweit die Theorie.

        In der Praxis trifft das auf viele Probleme: die Stellen, die Zertifikate ausstellen können, nehmen überhand, so darf z. B. die deutsche Telekom und die meisten Hochschulen jederzeit für jede Domain ein Zertifikat ausstellen. Ausserdem sind, wie DigiNotar zeigt, die Stellen nicht vertrauenswürdig. Das führt also dazu, dass MITM-Angriffe möglich werden, über falsch ausgestellte Zertifikate.

        LG,
         CK

        1. Hi,

          danke euch beiden. Hatte zwar noch ein anderes Verständnisproblem aber der Hinweis auf die Zertifikate hat geholfen.

          ~dave

  3. Hi,

    ich habe einen kleinen Online-Shop der mit "http" arbeitet.

    3.) Kostet die Umstellung auf "https" Geld?

    Die Nicht-Umstellung wird Dich vermutlich mehr Geld kosten.
    Welcher Kunde gibt denn schon Zahlungsdaten über HTTP raus?
    Da dürftest Du viele Kunden abschrecken ...

    cu,
    Andreas

    --
    Warum nennt sich Andreas hier MudGuard?
    O o ostern ...
    Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
    1. Die Nicht-Umstellung wird Dich vermutlich mehr Geld kosten.
      Welcher Kunde gibt denn schon Zahlungsdaten über HTTP raus?

      Hast du dazu ne Quelle?
      Weder meine eigene Erfahrung noch die einiger Mitbewerber stützen diese Aussage, deshalb würd mich interessieren, wo ich was dazu nachlesen kann.

      1. Hi,

        Die Nicht-Umstellung wird Dich vermutlich mehr Geld kosten.
        Welcher Kunde gibt denn schon Zahlungsdaten über HTTP raus?

        Hast du dazu ne Quelle?

        Auf einer Firmenseite war mal wegen irgendeines Iframes nicht alles https, sondern teilweise http.
        Einige Browser zeigten also Warnungen an.
        Diverse Kunden haben daraufhin bei unserer Kundendienst-Telefonnummer angerufen, um zu fragen, wie sie die Bankverbindung sicher übertragen bekommen, da das ja mit dem Formular nicht möglich sei ...

        Dazu eigene Erfahrung (ich würd's nicht machen) und die diverser Kollegen, die derselben Meinung sind.

        cu,
        Andreas

        --
        Warum nennt sich Andreas hier MudGuard?
        O o ostern ...
        Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
        1. Dazu eigene Erfahrung (ich würd's nicht machen) und die diverser Kollegen, die derselben Meinung sind.

          Also weil bei deiner Firma ein paar Leute (und du sagst nichtmal, wieviel % der Kunden das sind) schliesst du auf andere Shops?

          Wenn ich heute einen Shop betreibe, nutze ich für Bezahlung entweder externe Anbieter(Paypal, Sofortüberweisung usw.) oder Vorkasse.
          Bei keinem der üblichen Zahlungsmethoden muss der Kunde seine Bankdaten angeben.

          Und wenn ein Shop Bankeinzug anbietet (idR sind das grössere Shops) existiert grösstenteils eine SSL-Verschlüsselung oder es wird wiederum auf externe Anbieter zurückgegriffen. Diese Shop sind aber prozentualzu vernachlässigen, da es zig tausende kleine Shops gibt aber nur ne Handvoll richtig grosse.

          Ich hab keine Ahnung, wo du arbeitest, aber ich befasse mich schon einige Zeit mit Shopsystemen und Kundenbindung. Und da zeigt deine Äusserung lediglich, dass du das nicht getan hast. Deshalb halte ich deine Aussage für kontraproduktiv, weil sie Neueinsteigern suggeriert, sie machen etwas falsch, obwohl sie nur auf jemanden hören, der keine Ahnung hat.

          EIn Paradebeispiel für _gefährliches_ Nichtwissen (ist ja nichtmal Halbwissen)

          Und ja, ich habe Quellen, die würden aber hier mehr Platz füllen als der Post saelbst, ausserdem sind es grösstenteils kostenpflichtige Quellen, die ohne entsprechenden Zugang nicht einsehbar sind).

          1. Hi,

            Ich hab keine Ahnung, wo du arbeitest, aber ich befasse mich schon einige Zeit mit Shopsystemen und Kundenbindung. Und da zeigt deine Äusserung lediglich, dass du das nicht getan hast.

            Ich habe auch nichts behauptet, nur etwas vermutet. Aber das zu erkennen, war für Dich vermutlich zu schwer.

            Deshalb halte ich deine Aussage für kontraproduktiv,

            Da Du nicht einmal eine Vermutung von einer Aussage unterscheiden kannst, kann ich Dich nicht wirklich ernst nehmen. Sorry.

            EIn Paradebeispiel für _gefährliches_ Nichtwissen (ist ja nichtmal Halbwissen)

            Ich habe es NICHT als Wissen dargestellt. Sondern als Vermutung. Daher das Wort "vermutlich" in meinem Posting.

            cu,
            Andreas

            --
            Warum nennt sich Andreas hier MudGuard?
            O o ostern ...
            Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
          2. Hallo,

            (…) Deshalb halte ich deine Aussage für kontraproduktiv, weil sie Neueinsteigern suggeriert, sie machen etwas falsch, obwohl sie nur auf jemanden hören, der keine Ahnung hat.

            Was ist denn MudGuards Aussage? Er sagte, dass Kunden keine Zahlungsdaten ohne Verschlüsselung herausgeben wollen. Ich sehe nicht, dass du dem inhaltlich widersprochen hast; du sagst nur, dass die meisten Shops externe Anbieter nutzen – die meines Wissens natürlich SSL verwenden. Ist das nicht dasselbe? Wo wurden jetzt hier Neueinsteiger verunsichert?

            Und ja, ich habe Quellen, die würden aber hier mehr Platz füllen als der Post saelbst, ausserdem sind es grösstenteils kostenpflichtige Quellen, die ohne entsprechenden Zugang nicht einsehbar sind).

            Dir ist also klar, wie vertrauenswürdig dein Posting für Mitlesende wirkt? ;)

            Grüße,
            Mathias

  4. Moin Karl,

    2.) Ist es wirklich notwendig "https" zu verwenden?

    Ich bin ein Freund der Verwendung von „https” (SSL): je mehr verschlüsselter Verkehr im Internet unterwegs ist, desto weniger wird verschlüsselter Verkehr von Leuten, die wirklich notwendigerweise verschlüsselt kommunizieren, auffallen.

    LG,
     CK