https Mehrwert oder nicht

Sicherheit lohnt immer [emoji6]. Allerdings ist https nicht gleich https, Stichwort TLS-Chipher, PFS, HSTS usw. Das Ganze ist recht komplex, wenn man es wirklich richtig machen möchte und daher auch nicht in 3 Sätzen erklärbar.

Der Artikel von r23 ist nur recht oberflächlich erklärt, da geht es mehr um die allgemeine Installation, weniger um Details .

 

ich weiß Sicherheitsexperten stellst nun die Schuhe auf
doch ich bin pragmatischst: wofür brauchst du es?
wofür magst es haben?

wäre dir dies ein superüberdruper SSL Zertifikat wichtigst und wäre es dir dann den Preis Wert
=> der nicht bei 70.-€ pro Jahr anfängt... sondern höher, wenns ganz toll sein soll..

Und dazu kommt, dass ich dies in dem Zusammenhang der Überwachung //Vorratsdatenspeicherung meines Landes mitbetrachte und mir dann die Kosten anseh und mich dann "leicht übervorteilt" sehe,
daher tuts für mich lets encrypt auch ...

Ich habe aber keinen Shop online...

 

Danke, dass dir mein Artikel gefällt.

Wichtig war für mich, dass meine LeserInnen den Unterschied zwischen grünen Sperrschloss und keinem Sperrschloss oder graues Sperrschloss mit Warndreieck erkennen und nur bei einem grünen Sperrschloss Daten senden.


Hintergrund warum ich dies bei mir verwende.
1. Der Firefox-Sicherheitschef Richard Barnes hat vor wenigen Monaten anregt, in Zukunft auf das unverschlüsselte HTTP zu verzichten. Diesen Plan nach Abstimmung mit der Community wurde nun offiziell verkündet. Demnach soll der vollständige Wechsel hin zu HTTPS in zwei Schritten umgesetzt werden.

https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

2. Google markiert bald alle Websites ohne SSL-Verschlüsselung
Google will das Internet sicherer machen und HTTPS standardisieren.

http://t3n.de/news/https-google-markiert-bald-alle-675146/

3. Eine Motivation ist sicherlich auch eine Studie vom BSI
https://www.bsi.bund.de/DE/Publikationen/Studien/OpenSSL-Bibliothek/opensslbibliothek.html

.
.
.
.
es soll auch ein Ranking-Faktor sein
https://www.sistrix.de/frag-sistrix/google-algorithmus-aenderungen/https-ranking-faktor-update/

Ich kann es dir nur empfehlen. Wenn du die technischen Möglichkeiten hast - und du Kontaktformulare verwendest - sollte es eine Selbstverständlichkeit sein.

 

nein, das ist nicht der Fall. Die Lets Entrypt Zertifikate sollten den Domain validierten Zertifikate in nichts nachstehen. Aktuell muss allerdings ein Lets Entrypt Zertifikate alle 3 Monate erneuert werden.

Wer sein https Seite mal testen möchte, kann dies hier tun. Bei einem korrekt konfigurierten Server ist ein A+ problemlos möglich.

https://www.ssllabs.com/ssltest/

 

es dauerte 25 Minuten..

das Plugin Search & Replace geholt,installiert, aktiviert

Datenbankbackup gemacht => UpdraftPlus //oder was verwendet wird

etwaig:Cache Plugin ausleeren, deaktivieren


via FTP die htaccess und die wp-config.php der Domain auf den Rechner geholt
mit einem echten Texteditor bereits geöffnet

Search Console //Google Webmastertools in einem Browsertab geöffnet

Google Analytivs Account geöffnet // oder Piwik was du eben hast

dann erst:

all-inkl.com Let's encrypt aktiviert// oder wie auch immer du zu deinem SSL Zertifkat kommst => Achtung, je nach Hoster dauert das, meist schreiben die dazu ,
zb "Änderungen dauern xyz Minuten"



nun in der wp-config.php die neuen URls angegeben


nach dem letzten define in dieser Datei

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

jetzt die htaccess Einträge, vor dem Eintrag von WP

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

htaccess und wp-config.php hochladen


tief durchatmen, die Domain mit https aufrufen


+++
Sie ist da!
du kannst dich einloggen!
Super, nun weiter...


Google Webmastertools => neues Property angeben!
alte http Seite dort löschen!

Google Analytics => bevorzugte Domain ändern // oder bei Piwik neu einstellen


Zurück zum Dashboard deiner Domain

Datenbankbackup ist gemacht!

Mit Search und Replace nach

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

suchen und mit

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

ersetzen


achte auf Slash am Ende, kontrollier das sehr genau bitte



Alles testen,
jedes Bild,
Kontaktformular eine Email senden
Kommentieren
Veröffentlichen
Bild hochladen

etc


done!
alles funktioniert!
Durchatmen, Datenbankbackup machen mit den neuen URLs


Cache Plugin wieder aktivieren
fertig!



#################

ich teste das grad bei all-inkl.com mit meiner basteln.co.at, ob sich wie versprochen das Let's encrypt alle drei Monate automatisch aktualisiert


@hille

danke für den Link zum Testen!

 

bei all-inkl.com musste ich sonst nichts machen,

die meisten meiner Kunden sind entweder dort oder haben ihren eigenen Managed Server entweder Apache oder NGINX (und da muss diese Änderung serverseitig eingetragen werden, da gibts keine htaccess)




noch was meinte die Edit: hast du bereits Bilder hochgeladen, dann brauchts die "Ersetzerei", entweder mit dem Plugin Search und Replace oder mit Migrations/Duplicator Plugins, das ist dann egal.

 

Du hast doch kein Hosting Paket, sondern einen V-Server, richtig? Da geschieht nichts automatisch, nicht mal die Security Updates

 

Hoffe kein Ubuntu 10.04 mehr [emoji6].
Wie das in Plesk mit let's encrypt, zwecks Verlängerung, kann ich dir nicht sagen. Im z.B. Froxlor läuft in der aktuellen Version ein Cronjob, der automatisch verlängern soll.

 

Hat man ein Login, dann sollte man auf jeden Fall ein SSL Zertifikat haben. Aus dem einfachen Grund, weil man keine Passwörter im Klartext durch das Internet jagt!

Früher habe ich jedem Empfohlen, wenigstens die Login Seite mit einem Selbstsignierten SSL Zertifikat zu versehen. Mittlerweile, dank Lets Encrypt und StartSSL, kann man auch die komplette Webseite verschlüsseln.

Eine Firma wird - vermutlich - nicht auf Lets Encrypt setzen, sondern auf ein gekauftes.

Fazit: SSL -> Ja, auf jeden Fall!

 

Bestelle das Zertifikat für www, dann gilt es für www.domain.de und domain.de

Das Search & Replace benötigst du nur bei einer bestehenden Seite