ursus contionabundo: HTTP Server abschalten nach HTTPS Umstellung

Beitrag lesen

Oder warum nicht?

Weil es in folgenden Fällen zu unerwünschten Erscheinungen kommt:

  • Menschliche Besucher welche "http" ohne das "s" eintippen,
  • alte Links,
  • alte Skripte.
  • Browser, die vielleicht eine Adresseingabe wie www.foo.bar erst einmal zu http://www.foo.bar umschreiben.

Hingegen:

  • Die Weiterleitung mit 301er funktioniert.
  • "Formular"-Daten, die ohne Abschaltung womöglich versehentlich per http im Klartest gesendet werden würden, kann ein Angreifer dank der vielfältigen Möglichkeiten auf OSI-Level 3 auch anders einsammeln. Deshalb liegt die Verantwortung, dass Skripte oder Browser wegen missratener URLs in Formularen die Daten eben nicht oder (gegenwärtig) nicht ohne deutliche Warnung per http (ohne s) zum Server senden, beim Programmierer.
  • Das Abschalten bringt auch keinen anderen Vorteil: Die Software von Grabbern, Spammern und den Script-Kiddies kann auch https. Sonst würde die schon seit den 90ern laufen und es wären Skript-Oldies.
  • Das Abschalten verhindert auch keine DDoS-Attacke.

Offen gesagt liegt das alles so nahe, dass es mich wundert, dass ein alter Hase sowas überhaupt fragt.

Nichtdeszutrotz:

Gut möglich, dass in 5 oder 10 Jahren die unverschlüsselte Verbindung dermaßen unüblich und obsolet geworden ist, dass man das abschalten kann.