Blog jetzt SSL-ver­schlüs­selt 2


Ich bin ja mo­men­tan groß­flä­chig am Mo­der­ni­sie­ren mei­nes Blogs. Neu­er Ser­ver, PHP 7, neue Ober­flä­chen­ge­stal­tung hat­ten wir ja schon. Jetzt ha­be ich aber den Schritt voll­zo­gen, der Aus­lö­ser mei­ner gan­zen Mo­der­ni­sie­rungs­be­stre­bun­gen war:

„Letz­te Weis­hei­ten“ ist ab so­fort kom­plett SSL-ver­schlüs­selt.

Das heißt, je­de Ver­bin­dung zu mei­nem Blog wird zwi­schen Brow­ser und Ser­ver kom­plett ver­schlüs­selt, es ist nicht ab­hör­bar, wel­che In­for­ma­tio­nen über­tra­gen wer­den.

Ich be­die­ne mi­ch da­zu ei­nes kos­ten­lo­sen SSL-Zer­ti­fi­kats von Let’s en­crypt. Er­zeu­gung und Ein­bau ei­nes sol­chen Zer­ti­fi­kats auf ei­nem Ser­ver mit Voll­zu­gang sind ex­trem ein­fach und kom­for­ta­bel. Der lo­kal lau­fen­de Let’s-Encrypt-Client baut dan­kens­wer­ter­wei­se so­gar ei­ne pas­sen­de Apa­che-Kon­fi­gu­ra­ti­ons­da­tei zu­sam­men und spielt sie ein, so­dass – bei ei­ner Stan­dard­in­stal­la­ti­on – kaum et­was zu tun ist.

…na­ja, fast. Es gibt näm­li­ch ein Pro­blem mit ver­link­ten In­hal­ten auf den Sei­ten, wenn die­se nicht über HTTPS aus­ge­lie­fert wer­den. Dann gibt es ei­ne „Mi­xed Content“-Warnung im Brow­ser. Und das zieht be­mer­kens­wert gro­ße Krei­se. Es fängt an mit den Links auf Bil­der und an­de­re Me­di­en­da­tei­en im Blog selbst. Die­se be­gin­nen durch­gän­gig mit „http://“. Glück­li­cher­wie­se lässt si­ch das mit drei Da­ten­bank­an­fra­gen re­pa­rie­ren.

Aber es geht wei­ter: Hier, dort und da wer­den dann doch mal In­hal­te von ex­ter­nen Sei­ten ein­ge­bun­den – na­tür­li­ch auch über un­ver­schlüs­sel­te „http://“-Links. Da muss man dann schau­en, ob die Da­tei­en auch per HTTPS ab­ruf­bar sind oder an­sons­ten die Ein­bin­dung raus­wer­fen oder die Da­tei ko­pie­ren und lo­kal be­reit­stel­len – dann halt über HTTPS.

Und schließ­li­ch gibt es auch hier wie­der Plug­ins, die hart­ko­diert mit HTTP ar­bei­ten und so In­hal­te in die Sei­ten ein­bau­en, die die Si­cher­heits­war­nung aus­lö­sen. Auf die­se Wei­se hat si­ch das von mir seit vie­len Jah­ren ver­wen­de­te „Tweetable“-Plugin ab­ge­schos­sen. Es hat si­ch qua­si auf je­der Sei­te mit min­des­tens ei­nem un­ver­schlüs­selt über­tra­ge­nen Bild ver­ewigt und die Sei­te da­durch un­si­cher ge­macht. Nun ver­wen­de ich „WP to Twit­ter“ und hof­fe, dass das au­to­ma­ti­sche Pos­ten neu­er Bei­trä­ge ge­nauso gut klappt wie bis­her. [Nach­trag, 2016-11-13, 21:55 Uhr: Klappt.]

No­ch prü­fen muss ich das OSM-Kar­ten-Plugin. Das nutzt auch ei­ne un­ver­schlüs­sel­te Kar­ten­dar­stel­lung – wo­bei ver­schlüs­sel­te Kar­ten­da­ten­über­tra­gung wohl schon seit 2014 ver­füg­bar ist. Sei­ten, die die­ses Plugin nut­zen, er­zeu­gen al­so mo­men­tan no­ch ei­ne War­nung. Da das aber nur we­ni­ge Sei­ten be­trifft, wer­de ich die­ses Pro­blem nach­ar­bei­ten.

Die SSL-Über­tra­gung ist al­so seit heu­te scharf­ge­schal­tet und wird auch er­zwun­gen, d.h. beim Auf­ruf von „Letz­te Weis­hei­ten“ über HTTP wird der Brow­ser schon vom Apa­che au­to­ma­ti­sch auf die HTTPS-ver­schlüs­seln­de Sei­te um­ge­lei­tet – das macht der Lets-En­crypt-Cli­ent auf An­for­de­rung näm­li­ch auch gleich mit. Da­mit kommt mein Blog in der Rea­li­tät von 2016 an, in der die durch­gän­gi­ge Nut­zung von SSL-Ver­schlüs­se­lung im­mer wich­ti­ger wird – und durch In­itia­ti­ven wie Let’s En­crypt auch im­mer ein­fa­cher mach­bar ist. Ich bin ge­spannt, ob die Um­stel­lung rei­bungs­los klappt und das Blog wei­ter­hin er­reich­bar und nutz­bar bleibt.

[Nach­trag, 2016-11-13, 21:55 Uhr: Sieht gut aus.]


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

2 Gedanken zu “Blog jetzt SSL-ver­schlüs­selt