HTTP Server abschalten nach HTTPS Umstellung – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 05:31:19 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747278#m1747278 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747278#m1747278 <p>s. Thema. Macht das jemand? Wenn ja warum? Oder warum nicht? Bitte ma um Hinweises.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 05:47:27 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747279#m1747279 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747279#m1747279 <blockquote> <p>s. Thema. Macht das jemand?</p> </blockquote> <p>Irgendjemand macht das bestimmt. Wobei dann die Formulierung "den Webserver nicht mehr auf Port 80 lauschen lassen" in den meisten Fällen zutreffender sein wird. Auf 443 und 80 verschiedene Webserver laufen zu lassen wird doch eher die Ausnahme sein.</p> <blockquote> <p>Wenn ja warum?</p> </blockquote> <p>Keine Ahnung. Ich würde es nicht tun wollen.</p> <blockquote> <p>Oder warum nicht?</p> </blockquote> <p>Wenn jemand "rolfrost.de" in die Adresszeile wirft, wird er dann eine Fehlermeldung erhalten. Eher doof.</p> <p>Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https://rolfrost.de/"</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 11:12:22 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747344#m1747344 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747344#m1747344 <blockquote> <p>Oder warum nicht?</p> </blockquote> <p>Weil es in folgenden Fällen zu unerwünschten Erscheinungen kommt:</p> <ul> <li>Menschliche Besucher welche "http" ohne das "s" eintippen,</li> <li>alte Links,</li> <li>alte Skripte.</li> <li>Browser, die vielleicht eine Adresseingabe wie <code>www.foo.bar</code> erst einmal zu <code>http://www.foo.bar</code> umschreiben.</li> </ul> <p>Hingegen:</p> <ul> <li>Die Weiterleitung mit 301er funktioniert.</li> <li>"Formular"-Daten, die ohne Abschaltung womöglich versehentlich per http im Klartest gesendet werden würden, kann ein Angreifer dank der vielfältigen Möglichkeiten auf OSI-Level 3 auch anders einsammeln. Deshalb liegt die Verantwortung, dass Skripte oder Browser wegen missratener URLs in Formularen die Daten eben nicht oder (gegenwärtig) nicht ohne deutliche Warnung per http (ohne s) zum Server senden, beim Programmierer.</li> <li>Das Abschalten bringt auch keinen anderen Vorteil: Die Software von Grabbern, Spammern und den Script-Kiddies kann auch https. Sonst würde die schon seit den 90ern laufen und es wären Skript-Oldies.</li> <li>Das Abschalten verhindert auch keine DDoS-Attacke.</li> </ul> <p><strong>Offen gesagt liegt das alles so nahe, dass es mich wundert, dass ein alter Hase sowas überhaupt fragt.</strong></p> <p>Nichtdeszutrotz:</p> <p>Gut möglich, dass in 5 oder 10 Jahren die unverschlüsselte Verbindung dermaßen unüblich und obsolet geworden ist, dass man das abschalten kann.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 16:18:06 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747354#m1747354 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747354#m1747354 <p>Hallo,</p> <p>ich vermute mal, die willst keine Server, sondern nur das http-Protokoll abschalten.</p> <blockquote> <p>s. Thema. Macht das jemand?</p> </blockquote> <p>Ja, ich. Allerdings schalte ich nichts ab, ich leite nur http auf https weiter. Nur auf meiner Testdomain lasse ich beide Protokolle zu.</p> <blockquote> <p>Wenn ja warum? Oder warum nicht?</p> </blockquote> <p>Zwei Gründe:</p> <p>Je mehr Seiten verschlüsselt übertragen werden, desto weniger fallen die auf, die wirklich etwas zu verbergen haben, z.B. Homebanking.</p> <p>Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.</p> <blockquote> <p>Bitte ma um Hinweises.</p> </blockquote> <p>Reicht das?</p> <p>Gruß<br> Jürgen</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:12:14 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747280#m1747280 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747280#m1747280 <blockquote> <p>Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https:.."</p> </blockquote> <p>Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht? MFG</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:28:38 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747282#m1747282 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747282#m1747282 <p>Lieber Mitleser,</p> <blockquote> <p>Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https://rolfrost.de/"</p> </blockquote> <p>dass das immer noch erwähnt werden muss... o_O</p> <p>Liebe Grüße,</p> <p>Felix Riesterer.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:17:56 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747281#m1747281 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747281#m1747281 <blockquote> <blockquote> <p>Angebracht wäre - aber das hatten wir schon zig Male - ein 301 auf "https:.." Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht? MFG</p> </blockquote> </blockquote> <p>Womöglich weil er dann per https geliefert bekommt, was er bislang nur per http zu sehen bekam.</p> <p>Aber ja: wenn Du Port 80 abklemmst, stellt sich die Frage nicht, weil der http-Request ja dann ins Leere läuft. Irgendwie uncool, oder?</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:34:22 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747283#m1747283 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747283#m1747283 <p>Liebe) pl,</p> <blockquote> <p>Warum sollte denn ein Besucher umgeleitet werden</p> </blockquote> <p>weil SSL/TLS-Verbindungen heute Pflicht sind! Das sollte keine Frage mehr sein, sondern eine Selbstverständlichkeit!</p> <blockquote> <p>auf eine Seite wo dasselbe steht?</p> </blockquote> <p>Wenn eine Weiterleitung kommt, braucht die unverschlüsselte Seite überhaupt nichts enthalten, außer dem Weiterleitungsheader. Deshalb faselst Du ja auch etwas von Abschalten des HTTP-Servers, was aber technisch einer Abschaltung des Webservers gleichkäme - also völliger Unfug.</p> <p>Es gibt keinen HTTPS-Server, sondern nur einen HTTP-Server aka Webserver. Dass man diesen über einen SSL/TLS-Tunnel kontaktiert, und das auf Port 443, bedeutet nicht, dass man nicht mehr nach wie vor via HTTP kommuniziert. Was sollen denn Browser und Webserver sonst miteinander sprechen, wenn nicht HTTP?</p> <p>Liebe Grüße,</p> <p>Felix Riesterer.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:44:56 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747287#m1747287 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747287#m1747287 <p>Tach!</p> <blockquote> <p>Warum sollte denn ein Besucher umgeleitet werden auf eine Seite wo dasselbe steht?</p> </blockquote> <p>"Nichts/Fehlermeldung/Umleitung" und "Inhalt" sind nicht dasselbe.</p> <p>dedlfix.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 06:38:30 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747285#m1747285 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747285#m1747285 <blockquote> <p>Deshalb faselst Du ja auch etwas von ..</p> </blockquote> <p>Diese Ausdrucksweise ist unangebracht. Bitte mäßigen Sie sich!</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 08:03:39 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747309#m1747309 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747309#m1747309 <p>Lieber pl,</p> <blockquote> <blockquote> <p>Deshalb faselst Du ja auch etwas von ..</p> </blockquote> <p>Diese Ausdrucksweise ist unangebracht. Bitte mäßigen Sie sich!</p> </blockquote> <p>bei allem Respekt vor Deinem Fachwissen, lieber Rolf, aber Dein Thread hier passt einfach nicht dazu. Dass Du dann auch noch darauf bestehst, in der Sache Recht zu haben, macht es noch schlimmer. Daher meine deutliche Wortwahl.</p> <p>Liebe Grüße,</p> <p>Felix Riesterer.</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 11:26:57 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747348#m1747348 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747348#m1747348 <blockquote> <p>Offen gesagt liegt das alles so nahe, dass es mich wundert, dass ein alter Hase sowas überhaupt fragt.</p> </blockquote> <p>Mein Zertifikat ist jetzt eine Woche alt. Es ist soweit alles indiziert in sowohl als auch. In den Ergebnisseiten liegen die Links zu https und http sogar direkt untereinander. So werde ich es dem Besucher überlassen, über welches Protokoll er die Seite zu sehen wünscht.</p> <p>Daß moderne Browser mit Sicherheitshinweisen ziemlich großzügig umgehen hat sich ja schon rumgesprochen. Also sehe ich hier auch keinen Handlungsbedarf.</p> <p>Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben. Das ist der Stand der Dinge, ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor. MFG</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 16:10:37 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747353#m1747353 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747353#m1747353 <p>Noch etwas: Zum Aufbau einer SSL Verbindung kommt natürlich auch TCP/IP ins Spiel. Und auch hier werden Source IP wie Ziel IP im Klartext übertragen. Das nurmalso nebenbei, es soll ja auch User geben die denken daß beim Aufruf einer HTTPS Seite ihre IP Adresse verschlüsselt übertragen wird </p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 14:43:32 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747351#m1747351 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747351#m1747351 <blockquote> <p>Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben. Das ist der Stand der Dinge, ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor. MFG</p> </blockquote> <p>Nehmen wir einmal an, das <em>wäre</em> eine schlüssige Argumentation: warum zum Henker fragst Du dann nach "HTTP Server abschalten nach HTTPS Umstellung"?</p> HTTP Server abschalten nach HTTPS Umstellung Wed, 24 Apr 19 15:35:56 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747352#m1747352 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747352#m1747352 <p>Lieber pl,</p> <blockquote> <p>Und persönliche Daten werden auf meinen Seiten ohnehin nicht erhoben.</p> </blockquote> <p>keine Cookies? Kein IP-Logging?</p> <blockquote> <p>ein wirklicher Grund zur Umstellung auf HTTPs liegt also gar nicht vor.</p> </blockquote> <p>Du ignorierst die Interessen Deiner Besucher. Deshalb bezeichnete ich Deine Formulierungen als Gefasel.</p> <p>Liebe Grüße,</p> <p>Felix Riesterer.</p> HTTP Server abschalten nach HTTPS Umstellung Thu, 25 Apr 19 07:19:10 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747375#m1747375 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747375#m1747375 <blockquote> <p>Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.</p> </blockquote> <p>Bei unverschlüsselter Übertragung sieht man mit einem Sniffer auch nur das was ohnehin im Browser zu sehen ist. MFG</p> HTTP Server abschalten nach HTTPS Umstellung Thu, 25 Apr 19 10:09:20 Z https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747386#m1747386 https://forum.selfhtml.org/self/2019/apr/24/http-server-abschalten-nach-https-umstellung/1747386#m1747386 <blockquote> <blockquote> <p>Bei verschlüsselter Übertragung sollte ein Man-in-the-middle-Angriff unmöglich oder doch deutlich schwieriger sein.</p> </blockquote> <p>Bei unverschlüsselter Übertragung sieht man mit einem Sniffer auch nur das was ohnehin im Browser zu sehen ist. MFG</p> </blockquote> <p>das muss ich jetzt nicht verstehen.</p>