pl: HTTP Server abschalten nach HTTPS Umstellung

s. Thema. Macht das jemand? Wenn ja warum? Oder warum nicht? Bitte ma um Hinweises.

  1. s. Thema. Macht das jemand?

    Irgendjemand macht das bestimmt. Wobei dann die Formulierung "den Webserver nicht mehr auf Port 80 lauschen lassen" in den meisten Fällen zutreffender sein wird. Auf 443 und 80 verschiedene Webserver laufen zu lassen wird doch eher die Ausnahme sein.

    Wenn ja warum?

    Keine Ahnung. Ich würde es nicht tun wollen.

    Oder warum nicht?

    Wenn jemand "rolfrost.de" in die Adresszeile wirft, wird er dann eine Fehlermeldung erhalten. Eher doof.

    Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https://rolfrost.de/"

    1. Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https:.."

      Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht? MFG

      1. Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https:.."

        Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht? MFG

        Womöglich weil er dann per https geliefert bekommt, was er bislang nur per http zu sehen bekam.

        Aber ja: wenn Du Port 80 abklemmst, stellt sich die Frage nicht, weil der http-Request ja dann ins Leere läuft. Irgendwie uncool, oder?

      2. Liebe) pl,

        Warum sollte denn ein Besucher umgeleitet werden

        weil SSL/TLS-Verbindungen heute Pflicht sind! Das sollte keine Frage mehr sein, sondern eine Selbstverständlichkeit!

        auf eine Seite wo dasselbe steht?

        Wenn eine Weiterleitung kommt, braucht die unverschlüsselte Seite überhaupt nichts enthalten, außer dem Weiterleitungsheader. Deshalb faselst Du ja auch etwas von Abschalten des HTTP-Servers, was aber technisch einer Abschaltung des Webservers gleichkäme - also völliger Unfug.

        Es gibt keinen HTTPS-Server, sondern nur einen HTTP-Server aka Webserver. Dass man diesen über einen SSL/TLS-Tunnel kontaktiert, und das auf Port 443, bedeutet nicht, dass man nicht mehr nach wie vor via HTTP kommuniziert. Was sollen denn Browser und Webserver sonst miteinander sprechen, wenn nicht HTTP?

        Liebe Grüße,

        Felix Riesterer.

        1. Deshalb faselst Du ja auch etwas von ..

          Diese Ausdrucksweise ist unangebracht. Bitte mäßigen Sie sich!

          1. Lieber pl,

            Deshalb faselst Du ja auch etwas von ..

            Diese Ausdrucksweise ist unangebracht. Bitte mäßigen Sie sich!

            bei allem Respekt vor Deinem Fachwissen, lieber Rolf, aber Dein Thread hier passt einfach nicht dazu. Dass Du dann auch noch darauf bestehst, in der Sache Recht zu haben, macht es noch schlimmer. Daher meine deutliche Wortwahl.

            Liebe Grüße,

            Felix Riesterer.

      3. Tach!

        Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht?

        "Nichts/Fehlermeldung/Umleitung" und "Inhalt" sind nicht dasselbe.

        dedlfix.

    2. Lieber Mitleser,

      Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https://rolfrost.de/"

      dass das immer noch erwähnt werden muss... o_O

      Liebe Grüße,

      Felix Riesterer.

  2. Oder warum nicht?

    Weil es in folgenden Fällen zu unerwünschten Erscheinungen kommt:

    • Menschliche Besucher welche "http" ohne das "s" eintippen,
    • alte Links,
    • alte Skripte.
    • Browser, die vielleicht eine Adresseingabe wie www.foo.bar erst einmal zu http://www.foo.bar umschreiben.

    Hingegen:

    • Die Weiterleitung mit 301er funktioniert.
    • "Formular"-Daten, die ohne Abschaltung womöglich versehentlich per http im Klartest gesendet werden würden, kann ein Angreifer dank der vielfältigen Möglichkeiten auf OSI-Level 3 auch anders einsammeln. Deshalb liegt die Verantwortung, dass Skripte oder Browser wegen missratener URLs in Formularen die Daten eben nicht oder (gegenwärtig) nicht ohne deutliche Warnung per http (ohne s) zum Server senden, beim Programmierer.
    • Das Abschalten bringt auch keinen anderen Vorteil: Die Software von Grabbern, Spammern und den Script-Kiddies kann auch https. Sonst würde die schon seit den 90ern laufen und es wären Skript-Oldies.
    • Das Abschalten verhindert auch keine DDoS-Attacke.

    Offen gesagt liegt das alles so nahe, dass es mich wundert, dass ein alter Hase sowas überhaupt fragt.

    Nichtdeszutrotz:

    Gut möglich, dass in 5 oder 10 Jahren die unverschlüsselte Verbindung dermaßen unüblich und obsolet geworden ist, dass man das abschalten kann.

    1. Offen gesagt liegt das alles so nahe, dass es mich wundert, dass ein alter Hase sowas überhaupt fragt.

      Mein Zertifikat ist jetzt eine Woche alt. Es ist soweit alles indiziert in sowohl als auch. In den Ergebnisseiten liegen die Links zu https und http sogar direkt untereinander. So werde ich es dem Besucher überlassen, über welches Protokoll er die Seite zu sehen wünscht.

      Daß moderne Browser mit Sicherheitshinweisen ziemlich großzügig umgehen hat sich ja schon rumgesprochen. Also sehe ich hier auch keinen Handlungsbedarf.

      Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben. Das ist der Stand der Dinge, ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor. MFG

      1. Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben. Das ist der Stand der Dinge, ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor. MFG

        Nehmen wir einmal an, das wäre eine schlüssige Argumentation: warum zum Henker fragst Du dann nach "HTTP Server abschalten nach HTTPS Umstellung"?

      2. Lieber pl,

        Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben.

        keine Cookies? Kein IP-Logging?

        ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor.

        Du ignorierst die Interessen Deiner Besucher. Deshalb bezeichnete ich Deine Formulierungen als Gefasel.

        Liebe Grüße,

        Felix Riesterer.

    2. Noch etwas: Zum Aufbau einer SSL Verbindung kommt natürlich auch TCP/IP ins Spiel. Und auch hier werden Source IP wie Ziel IP im Klartext übertragen. Das nurmalso nebenbei, es soll ja auch User geben die denken daß beim Aufruf einer HTTPS Seite ihre IP Adresse verschlüsselt übertragen wird 😉

  3. Hallo,

    ich vermute mal, die willst keine Server, sondern nur das http-Protokoll abschalten.

    s. Thema. Macht das jemand?

    Ja, ich. Allerdings schalte ich nichts ab, ich leite nur http auf https weiter. Nur auf meiner Testdomain lasse ich beide Protokolle zu.

    Wenn ja warum? Oder warum nicht?

    Zwei Gründe:

    Je mehr Seiten verschlüsselt übertragen werden, desto weniger fallen die auf, die wirklich etwas zu verbergen haben, z.B. Homebanking.

    Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.

    Bitte ma um Hinweises.

    Reicht das?

    Gruß
    Jürgen

    1. Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.

      Bei unverschlüsselter Übertragung sieht man mit einem Sniffer auch nur das was ohnehin im Browser zu sehen ist. MFG

      1. Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.

        Bei unverschlüsselter Übertragung sieht man mit einem Sniffer auch nur das was ohnehin im Browser zu sehen ist. MFG

        das muss ich jetzt nicht verstehen.