Ich bin ja momen­tan groß­flä­chig am Moder­ni­sie­ren mei­nes Blogs. Neu­er Ser­ver, PHP 7, neue Ober­flä­chen­ge­stal­tung hat­ten wir ja schon. Jetzt habe ich aber den Schritt voll­zo­gen, der Aus­lö­ser mei­ner gan­zen Moder­ni­sie­rungs­be­stre­bun­gen war:

„Letz­te Weis­hei­ten” ist ab sofort kom­plett SSL-ver­schlüs­selt.

Das heißt, jede Ver­bin­dung zu mei­nem Blog wird zwi­schen Brow­ser und Ser­ver kom­plett ver­schlüs­selt, es ist nicht abhör­bar, wel­che Infor­ma­tio­nen über­tra­gen werden.

Ich bedie­ne mich dazu eines kos­ten­lo­sen SSL-Zer­ti­fi­kats von Let’s encrypt. Erzeu­gung und Ein­bau eines sol­chen Zer­ti­fi­kats auf einem Ser­ver mit Voll­zu­gang sind extrem ein­fach und kom­for­ta­bel. Der lokal lau­fen­de Let’s‑Encrypt-Client baut dan­kens­wer­ter­wei­se sogar eine pas­sen­de Apa­che-Kon­fi­gu­ra­ti­ons­da­tei zusam­men und spielt sie ein, sodass – bei einer Stan­dard­in­stal­la­ti­on – kaum etwas zu tun ist.

…naja, fast. Es gibt näm­lich ein Pro­blem mit ver­link­ten Inhal­ten auf den Sei­ten, wenn die­se nicht über HTTPS aus­ge­lie­fert wer­den. Dann gibt es eine „Mixed Content”-Warnung im Brow­ser. Und das zieht bemer­kens­wert gro­ße Krei­se. Es fängt an mit den Links auf Bil­der und ande­re Medi­en­da­tei­en im Blog selbst. Die­se begin­nen durch­gän­gig mit „http://”. Glück­li­cher­wie­se lässt sich das mit drei Daten­bank­an­fra­gen repa­rie­ren.

Aber es geht wei­ter: Hier, dort und da wer­den dann doch mal Inhal­te von exter­nen Sei­ten ein­ge­bun­den – natür­lich auch über unver­schlüs­sel­te „http://”-Links. Da muss man dann schau­en, ob die Datei­en auch per HTTPS abruf­bar sind oder ansons­ten die Ein­bin­dung raus­wer­fen oder die Datei kopie­ren und lokal bereit­stel­len – dann halt über HTTPS.

Und schließ­lich gibt es auch hier wie­der Plug­ins, die hart­ko­diert mit HTTP arbei­ten und so Inhal­te in die Sei­ten ein­bau­en, die die Sicher­heits­war­nung aus­lö­sen. Auf die­se Wei­se hat sich das von mir seit vie­len Jah­ren ver­wen­de­te „Tweetable”-Plugin abge­schos­sen. Es hat sich qua­si auf jeder Sei­te mit min­des­tens einem unver­schlüs­selt über­tra­ge­nen Bild ver­ewigt und die Sei­te dadurch unsi­cher gemacht. Nun ver­wen­de ich „WP to Twit­ter” und hof­fe, dass das auto­ma­ti­sche Pos­ten neu­er Bei­trä­ge genau­so gut klappt wie bis­her. [Nach­trag, 2016-11-13, 21:55 Uhr: Klappt.] 

Noch prü­fen muss ich das OSM-Kar­ten-Plug­in. Das nutzt auch eine unver­schlüs­sel­te Kar­ten­dar­stel­lung – wobei ver­schlüs­sel­te Kar­ten­da­ten­über­tra­gung wohl schon seit 2014 ver­füg­bar ist. Sei­ten, die die­ses Plug­in nut­zen, erzeu­gen also momen­tan noch eine War­nung. Da das aber nur weni­ge Sei­ten betrifft, wer­de ich die­ses Pro­blem nacharbeiten.

Die SSL-Über­tra­gung ist also seit heu­te scharf­ge­schal­tet und wird auch erzwun­gen, d.h. beim Auf­ruf von „Letz­te Weis­hei­ten” über HTTP wird der Brow­ser schon vom Apa­che auto­ma­tisch auf die HTTPS-ver­schlüs­seln­de Sei­te umge­lei­tet – das macht der Lets-Encrypt-Cli­ent auf Anfor­de­rung näm­lich auch gleich mit. Damit kommt mein Blog in der Rea­li­tät von 2016 an, in der die durch­gän­gi­ge Nut­zung von SSL-Ver­schlüs­se­lung immer wich­ti­ger wird – und durch Initia­ti­ven wie Let’s Encrypt auch immer ein­fa­cher mach­bar ist. Ich bin gespannt, ob die Umstel­lung rei­bungs­los klappt und das Blog wei­ter­hin erreich­bar und nutz­bar bleibt.