nicht angemeldet
Verständnis Redirect
JuliusHallo, ich bin noch nicht so vertraut mit der Domainumleitung, habe mir aber Anfang des Jahres ein SSL-Zertifikat besorgt und meine seit Jahren bestehende Web-Site für HTTPS eingerichtet. Ich nutze Joomla! und kann mit dem PlugIn SSLredirect sehr detailliert einstellen, welcher Teil HTTP und welcher Teil HTTPS nutzen soll. Das funktioniert so weit gut. Nun die eigentliche Frage, wenn ich z.B ein Menü auf HTTPS umgestellt habe und in den Artikeln unter diesem Menü sowohl HTTPS, als auch HTTP-Aufrufe verlinkt habe, wird immer nur HTTPS verwendet, obwohl der Aufruf in Joomla! als HTTP implementiert ist. Ist das eigentlich richti so, bzw. muss das konzeptionell so sein oder gibt es eine Möglichkeit, wenn man HTTPS aktiviert hat, auch auf Webseiten mit HTTP zu verlinken (ohne dies über die Htaccess-Datei für jede betroffene Seite selbst zu implementieren)? Besten Dank und beste Grüße, gupki
-
Hallo gupki,
Wenn ich richtig verstehe, was du vor hast, dann willst du nur einzelne Seiten auf einer einzigen Domain auf HTTPS umstellen. Korrekt? Abgesehen davon, dass ich keinen Sinn darin sehe, nicht einfach alles verschlüsselt auszuliefern, ist HTTPS ohne automatische Weiterleitung überall auf einer (Sub-)Domain und HTTP Strict Transport Security (HSTS) relativ sinnlos, weil du praktisch den „Downgrade“ auf eine unverschlüsselte Verbindung nicht verhinderst.
Wieso willst du nicht alle Seiten (= einzelne Dokumente) verschlüsselt ausliefern?
Sicherlich auch einen Blick wert: Wiki-Artikel zu TLS
Gruß
Julius-
ist HTTPS ohne automatische Weiterleitung überall auf einer (Sub-)Domain und HTTP Strict Transport Security (HSTS) relativ sinnlos, weil du praktisch den „Downgrade“ auf eine unverschlüsselte Verbindung nicht verhinderst.
Die automatische Weiterleitung kann in die Hose gehen – je nachdem, auf wie viele Besucher mit älteren Browsern, ich denke hier speziell an Telefone, man verzichten möchte.
Ich halte es da lieber mit dem Senden von HSTS über die unverschlüsselte Verbindung; das bezieht die Weiterleitung bei verständigen Browsern mit ein, während ältere, die das nicht kennen, auch nicht über aktuelle Verschlüsselungsprotokolle stolpern.
In der Praxis ist das jedoch zweifelsohne Abwägungssache im Einzelfall.
Wieso willst du nicht alle Seiten (= einzelne Dokumente) verschlüsselt ausliefern?
Das frage ich mich allerdings auch. Niemand hat einen Vorteil davon, wenn nur eine von zwei Seiten verschlüsselt wird. Und in diesem speziellen Fall macht dieses Durcheinander ja offenkundig auch noch Schwierigkeiten.
-
Hallo Siegbert,
ist HTTPS ohne automatische Weiterleitung überall auf einer (Sub-)Domain und HTTP Strict Transport Security (HSTS) relativ sinnlos, weil du praktisch den „Downgrade“ auf eine unverschlüsselte Verbindung nicht verhinderst.
Die automatische Weiterleitung kann in die Hose gehen – je nachdem, auf wie viele Besucher mit älteren Browsern, ich denke hier speziell an Telefone, man verzichten möchte.
Dann ist das halt so. Sichere Atomkraftwerke gibt es auch nicht.
Beispielsweise wird der Betreiber eines Online-Shops, der einen nennenswerten Anteil älterer Browser eine eigene IP benötigen, wenn er verhindern will, dass wegen SNI Nutzer des IE unter Windows XP und Nutzer von Android 2.x ausgesperrt werden.
Ich halte es da lieber mit dem Senden von HSTS über die unverschlüsselte Verbindung;
Nein, das ist falsch. Laut RFC 6797 ist das Senden des HSTS-Headers über unverschlüsselte Verbindungen verboten (Seite 17):
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.
weiterhin heißt es auf Seite 18:
If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s).
Zusammengefasst bedeutet das also, dass...
- Kein HSTS-Header darf über unverschlüsselte Verbindungen gesendet werden
- Browser müssen über unverschlüsselte Verbindungen gesendete HSTS-Header ignorieren
In der Praxis ist das jedoch zweifelsohne Abwägungssache im Einzelfall.
Nein, es ist schlicht falsch, weil hier die maßgebliche Norm für HSTS missachtet wird.
Gruß
Julius
-
-