tag:forum.selfhtml.org,2005:/self Umstellung auf https: Die http-Welt ist auf einmal verschlossen – SELFHTML-Forum 2020-02-27T16:52:35Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765865#m1765865 Linuchs 2020-02-27T10:26:02Z 2020-02-27T10:26:02Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Moin,</p> <p>heute Nacht bin ich bei meinem problematischen one.com Vermieter ausgezogen. Er konnte meine PHP-Mails nicht versenden und verhindert, dass neue CSS-Dateien ausgeliefert werden. Wir haben das ausführlich diskutiert.</p> <p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> <p>Die Seite zu verlinken ist sinnlos, da ich die "Fehler" in den nächsten Stunden beheben werde.</p> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> <p>Ist das wirklich so strikt?</p> <p>Gruß, Linuchs</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765866#m1765866 dedlfix 2020-02-27T10:33:25Z 2020-02-27T10:33:25Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Tach!</p> <blockquote> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Alle Browser verhindern das. Und es ist ziemlich logisch. Wenn man eine Seite hat, die per HTTPS in einer gesicherten Übertragung zum Client gelangt, und dies auch so angezeigt wird, dann kann man da keine "unsicheren" Inhalte einfügen, weil das das Anliegen aushebelt. Das ist aber schon sehr lange bekannt.</p> <blockquote> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> </blockquote> <p>Das hat nichts mit Kompatibilität zu tun. Auch ist HTTPS keine Verbesserung von HTTP. HTTPS ist dasselbe HTTP, nur über eine gesicherte Verbindung übertragen.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765867#m1765867 Der Martin 2020-02-27T10:34:33Z 2020-02-27T10:34:33Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo,</p> <blockquote> <p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p> </blockquote> <p>einen Zwang, https zu verwenden, würde ich auch ablehnen. Die Möglichkeit ist aber durchaus willkommen.</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> </blockquote> <p>Ja, das ist so gewollt (nicht von dir, aber von den Sicherheitspäpsten).</p> <blockquote> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Es ist eine Eigenheit aller Browser: Eine Seite, die per https übermittelt wurde, soll keine unsicheren (d.h. unverschlüsselten) Ressourcen enthalten bzw. nachladen.</p> <p>Meines Wissens kann man diese Restriktion des Browsers in der individuellen Konfiguration lockern. Nur nützt dir das nichts: Dann könntest du selbst die "gemischten" Seiten zwar anzeigen, der Großteil deiner Besucher aber immer noch nicht.</p> <blockquote> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> <p>Ist das wirklich so strikt?</p> </blockquote> <p>Ja. Wenn die Verschlüsselung an einer Stelle aufgeweicht wird, könnte das übel ausgenutzt werden.</p> <p>Ciao,<br>  Martin</p> <div class="signature">-- <br> Ich stamme aus Ironien, einem Land am sarkastischen Ozean. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765868#m1765868 TS ts-self@online.de https://bitworks.de 2020-02-27T10:41:14Z 2020-02-27T10:47:04Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Nee, das ist das allgemeine Konzept für TLS und darauf aufsetzend HTTP. Es sind <strong>zwei kombinierte Protokolle</strong> in zwei getrennten Schichten. Aus einem "sicheren" Hauptdokument heraus unsichere aufzurufen, ist zunächst einmal verboten.</p> <p>Wie man das dann trotzdem wieder erlauben <strong>könnte</strong>, wirst Du bestimmt noch von Anderen erfahren. (Ich kann mit meinen Tab 4 ja noch nicht wieder vernünftig arbeiten :-( )</p> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765869#m1765869 Rolf B 2020-02-27T10:44:20Z 2020-02-27T10:44:20Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Linuchs,</p> <p>als Ergänzung zu den Hinweisen von dedlfix und Martin: Wenn Du Ressourcen einbinden willst, die nur per HTTP zugänglich sind und Du auch nicht im Stande bist, den Ressourcenanbieter zu einer Umstellung auf HTTPS zu überreden, dann musst Du auf deinem Server einen Proxy dafür einrichten.</p> <p>Das wird eher nicht funktionieren, wenn die Ressource eigenes Script mit eigenen Ajax Calls hat. Oder es macht viel Arbeit, weil Du jeden Ajax-Request dann über deinen Server laufen lassen und an den eigentlichen Ressourcenanbieter durchreichen musst. Aber für statische Ressourcen sollte es gehen.</p> <p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - clusi </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765870#m1765870 JürgenB https://www.j-berkemeier.de 2020-02-27T10:46:20Z 2020-02-27T10:47:57Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo,</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> </blockquote> <p>willkommen in der Gegenwart .</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765879#m1765879 Linuchs 2020-02-27T11:11:19Z 2020-02-27T11:11:19Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Jetzt muss ich doch zur problematischen Seite verlinken:</p> <p><a href="http://shanty-fsd.de" rel="nofollow noopener noreferrer">http://shanty-fsd.de</a> | <a href="https://shanty-fsd.de" rel="nofollow noopener noreferrer">https://shanty-fsd.de</a></p> <p>Mit dem Einfügen eines <code>s</code> ist es nicht getan:</p> <pre><code class="block language-html">L.tileLayer('https://{s}.tile.osm.org/{z}/{x}/{y}.png', {attribution: '<span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">class</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>ls2<span class="token punctuation">"</span></span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://shanty-fsd.de<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>shanty-fsd.de<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> | Map data <span class="token entity named-entity" title="&copy;">&copy;</span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://openstreetmap.org<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>OpenStreetMap<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> contributors, <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://creativecommons.org/licenses/by-sa/2.0/<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>CC-BY-SA<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span>'} ).addTo(mitglieder_map); L.marker([ 51.451, 11.9486 ], {icon: kreis_gruen}).addTo(mitglieder_map); </code></pre> <p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765901#m1765901 Linuchs 2020-02-27T12:35:36Z 2020-02-27T12:35:36Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Der Codierungs-Wahn treibt seltsame Blüten. Jetzt ist sogar die Buchstaben-Suppe verschlüsselt:</p> <p><a href="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg" rel="noopener noreferrer"><img src="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg?size=medium" alt="Buchstabensuppe" title="Buchstabensuppe" loading="lazy"></a></p> <p>Habe ich bisher nicht drauf geachtet, aber nun bin ich sensibilisiert.</p> <p>Linuchs</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765877#m1765877 Mitleser 2020-02-27T11:05:19Z 2020-02-27T11:05:19Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> </blockquote> <p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765871#m1765871 Linuchs 2020-02-27T10:48:51Z 2020-02-27T10:48:51Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Rolf,</p> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> <p>Linuchs</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765873#m1765873 JürgenB https://www.j-berkemeier.de 2020-02-27T10:50:38Z 2020-02-27T10:50:38Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Rolf,</p> <blockquote> <p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>seit ca. 3 Jahren. Mitte 2017 habe ich in meinen Kartenskripten die letzten http-Aufrufe auf https umgestellt.</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765872#m1765872 dedlfix 2020-02-27T10:50:33Z 2020-02-27T10:50:33Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Tach!</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>Er weiß das ja nicht, ob er nach HTTPS umgeleitet werden wird oder nicht.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765874#m1765874 JürgenB https://www.j-berkemeier.de 2020-02-27T10:52:41Z 2020-02-27T10:52:41Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo,</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765875#m1765875 TS ts-self@online.de https://bitworks.de 2020-02-27T10:56:41Z 2020-02-27T11:03:13Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Hallo Rolf,</p> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>Jein.</p> <p>Der Browser erkennt aus dem Scheme <code>https:</code>, dass er zunächst eine sichere Verbindung über TLS bei der Gegenstelle anfordern lassen soll, um dann darauf das zustandslosose HTTP zu sprechen.</p> <p>Deinem Gedanken folgend würde er zunächst eine unverschlüsselte Verbindung anfordern, darauf auch HTTP sprechen, aber nun von der Gegenstelle über diesen unsicheren Kanal eine Umleitungsanforderung (Location: https://~) zu erhalten. Erst damit würde er, wie oben beschrieben, von vorne anfangen.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878 pl https://rolfrost.de/fetchobjects.html 2020-02-27T11:07:54Z 2020-02-27T11:07:54Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p> <p>MFG</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765876#m1765876 TS ts-self@online.de https://bitworks.de 2020-02-27T10:59:56Z 2020-02-27T10:59:56Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Hallo,</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p> </blockquote> <p>Könnten wir uns auf eine andere Formulierung einigen?</p> <p>Der Server sendet dem Browser eine Umleitungsanforderung. Die Umleitung findet also nicht serverintern statt, sondern über einen Roundturn mif dem Client.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765880#m1765880 JürgenB https://www.j-berkemeier.de 2020-02-27T11:12:15Z 2020-02-27T11:12:15Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Tom,</p> <p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p> <pre><code class="block">RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881 TS ts-self@online.de https://bitworks.de 2020-02-27T11:13:06Z 2020-02-27T11:13:06Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <blockquote> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> </blockquote> <p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p> </blockquote> <p>Doch!</p> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> <p>Dafür, dass die das in dem von Dir verlinkten Dokument etwas verschwurbelt darstellen, kann ich nichts ;-)</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765891#m1765891 TS ts-self@online.de https://bitworks.de 2020-02-27T11:26:02Z 2020-02-27T11:26:02Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p> </blockquote> <p>Nee, denn HSTS ist ein <strong>Response</strong>Header.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765882#m1765882 dedlfix 2020-02-27T11:14:03Z 2020-02-27T11:14:03Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Tach!</p> <blockquote> <p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p> </blockquote> <p>Liegt aber an einem Programmierfehler deinerseits. Das Javascript steigt mit einer Fehlermeldung aus. Hättest du auch selbst in der Konsole sehen können.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765883#m1765883 JürgenB https://www.j-berkemeier.de 2020-02-27T11:15:36Z 2020-02-27T11:15:36Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo,</p> <p>beide Varianten liefern</p> <p>Laden fehlgeschlagen für das <script> mit der Quelle "http://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p> <p>bzw.</p> <p>Laden fehlgeschlagen für das <script> mit der Quelle "https://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765885#m1765885 TS ts-self@online.de https://bitworks.de 2020-02-27T11:17:56Z 2020-02-27T11:17:56Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Hallo Tom,</p> <p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p> <pre><code class="block">RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Mhh, technisch machbar, aber:</p> <p>Ja mit einem komplexen Proxy. Damit kann man per HTTP über diesen Proxy auf HTTPS-Seiten (i. d. R. <strong>fremde</strong>) zugreifen.</p> <p>Was würde Dir das serverintern nützten, wenn die Client-Server-Verbindung ohne TLS läuft?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765886#m1765886 Mitleser 2020-02-27T11:17:57Z 2020-02-27T11:17:57Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765890#m1765890 dedlfix 2020-02-27T11:23:31Z 2020-02-27T11:23:31Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Tach!</p> <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein, weil der Client den Request starten muss.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765913#m1765913 Linuchs 2020-02-27T16:34:36Z 2020-02-27T16:35:05Z .htaccess <p>Hallo Jürgen,</p> <p>habe ich in meine .htaccess übernommen:</p> <pre><code class="block">DirectoryIndex index.php index.htm index.html RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p> <p>Was ist falsch?</p> <p>Gruß, Linuchs</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765884#m1765884 Mitleser 2020-02-27T11:16:08Z 2020-02-27T11:16:08Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> </blockquote> <p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765889#m1765889 Linuchs 2020-02-27T11:23:24Z 2020-02-27T11:23:24Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>Liegt aber an einem Programmierfehler deinerseits.</p> </blockquote> <p>Oh ja, danke für den Hinweis.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765887#m1765887 TS ts-self@online.de https://bitworks.de 2020-02-27T11:19:16Z 2020-02-27T11:21:59Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <blockquote> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> </blockquote> <p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p> </blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> <p>Das Ganze erinnert mich an eine Person, die steif und fest behauptet hat, man könne aus zwei vorhandenen IPv4 nicht das kleinste gemeinam mögliche Netz bestimmen, wenn es eines gibt. ;-p</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765888#m1765888 Mitleser 2020-02-27T11:22:03Z 2020-02-27T11:22:03Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> </blockquote> <p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765892#m1765892 TS ts-self@online.de https://bitworks.de 2020-02-27T11:27:37Z 2020-02-27T11:27:37Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> </blockquote> <p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p> </blockquote> <p>Nee, denn HSTS ist ein Response-Header.<br> Wird der per http (also ohne TLS) gesendet, soll der Browser ihn sogar ignorieren.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765897#m1765897 JürgenB https://www.j-berkemeier.de 2020-02-27T11:40:42Z 2020-02-27T11:40:42Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo,</p> <blockquote> <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein, weil der Client den Request starten muss.</p> </blockquote> <p>Danke.</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765895#m1765895 JürgenB https://www.j-berkemeier.de 2020-02-27T11:38:31Z 2020-02-27T11:38:31Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Tom,</p> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765899#m1765899 TS ts-self@online.de https://bitworks.de 2020-02-27T11:59:31Z 2020-02-27T11:59:31Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hello,</p> <blockquote> <p>Hallo Tom,</p> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> </blockquote> <p>... und damit auch alle darin enthaltenen Links.</p> <p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p> <p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765900#m1765900 JürgenB https://www.j-berkemeier.de 2020-02-27T12:11:11Z 2020-02-27T12:12:55Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <p>Hallo Tom,</p> <blockquote> <blockquote> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> </blockquote> <p>... und damit auch alle darin enthaltenen Links.</p> </blockquote> <p>der Strict Transport Security-Header macht nur bei Seiten Sinn, die per https ausgeliefert werden. Darin enthaltene Links sollten auch auf https basieren. Aber wenn aus so einer Seite auf http verlinkt wird, wird die verlinkte Seite eben auch so aufgerufen und es gelten mögliche 301-Weiterleitungen auf https oder eben HSTS.</p> <blockquote> <p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p> </blockquote> <p>Ich vermute, im Benutzerprofil.</p> <blockquote> <p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p> </blockquote> <p>Wenn die einen HSTS-Header senden, wird beim nächsten mal die Seite per https Aufgerufen.</p> <p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p> <p>Gruß<br> Jürgen</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765912#m1765912 Mitleser 2020-02-27T16:23:41Z 2020-02-27T16:24:22Z Umstellung auf https: Die http-Welt ist auf einmal verschlossen <blockquote> <p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p> </blockquote> <p>So kann man es IMHO formulieren, auch wenn es analog RolfPlHotteHorsts Ausführungen nicht ganz sauber dargelegt ist, zusammenfassen.</p> <p>Aber ja, das ist letztlich die Idee hinter der Nummer, auch wenn TS das anders sieht und irgendwie versucht, sein Geschwurbel noch als fachlich fundiert hinzubiegen.</p> <p>Aber klar, <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881" rel="noopener noreferrer">MDN hat es verschwurbelt formuliert</a>. LOL</p> <p>Fun fact dabei ist, dass es der Google Chrome dann sogar als internen HTTP 307 im Netzwerkpanel protokolliert. Erscheint mir stimmig.</p> https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765917#m1765917 JürgenB https://www.j-berkemeier.de 2020-02-27T16:52:35Z 2020-02-27T16:52:35Z .htaccess <p>Hallo,</p> <blockquote> <p>habe ich in meine .htaccess übernommen:</p> <pre><code class="block">DirectoryIndex index.php index.htm index.html RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p> <p>Was ist falsch?</p> </blockquote> <p>ich habe vom Servergeschäft zu wenig Ahnung, da müssen andere ran. Ich kann nur sagen "Bei mir funktionierts.", aber das hilft dir nicht wirklich.</p> <p>Gruß<br> Jürgen</p>