Petition: Ariva-Nutzer für SSL-Verschlüsselung
| eröffnet am: | 30.07.15 18:11 von: | potzzzblitz |
| neuester Beitrag: | 06.08.15 14:21 von: | Grinch |
| Anzahl Beiträge: | 49 | |
| Leser gesamt: | 7788 | |
| davon Heute: | 8 | |
bewertet mit 5 Sternen |
||
|
Seite:
1
|
2
|
von 2
|
||
05.08.15 21:08
#26
potzzzblitz
Ein solches Serverzertifikat besteht aus
zwei Teilen, einem öffentlichen Zertifikat, das jeder von außen einsehen kann und einem privaten Schlüssel, der auf dem Server verbleibt und von außen keinesfalls bekannt sein darf.
Wenn eine Website eine verschlüsselte Verbindung anbietet, stellt sie das öffentliche Zertifikat zur Verfügung. Der sich verbindende Client/Browser empfängt das Zertifikat und validiert es gewöhnlich nach einigen Gesichtspunkten:
Stimmt die Domain mit dem Zertifikat überein? Ist es noch gültig? Ist das Zertifikat von Überorganisationen valide unterzeichnet, etc...
Wenn die Prüfung gelingt, wird der Verbindungsaufbau mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssel verschlüsselt. Lesen kann den Inhalt nur derjenige, der den privaten Schlüssel besitzt (also der Server). Dadurch ist gewährleistet, dass der Inhalt für Dritte auf der Strecke zwischen Client und Server unleserlich bleibt (Angriffe mal außen vor gelassen).
Wenn eine Website eine verschlüsselte Verbindung anbietet, stellt sie das öffentliche Zertifikat zur Verfügung. Der sich verbindende Client/Browser empfängt das Zertifikat und validiert es gewöhnlich nach einigen Gesichtspunkten:
Stimmt die Domain mit dem Zertifikat überein? Ist es noch gültig? Ist das Zertifikat von Überorganisationen valide unterzeichnet, etc...
Wenn die Prüfung gelingt, wird der Verbindungsaufbau mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssel verschlüsselt. Lesen kann den Inhalt nur derjenige, der den privaten Schlüssel besitzt (also der Server). Dadurch ist gewährleistet, dass der Inhalt für Dritte auf der Strecke zwischen Client und Server unleserlich bleibt (Angriffe mal außen vor gelassen).
05.08.15 21:09
#27
potzzzblitz
Häufig werden solche Zertifikate auch nur zur
Initialisierung der Kommunikation verwendet. Steht die verschlüsselte Verbindung können sich Client und Server auch auf andere, schnellere Verschlüsselungstechnologien einigen, denn diese Einigung ist für Dritte nicht erkennbar.
05.08.15 21:13
#28
potzzzblitz
Als Ariva-Nutzer würde sich dadurch der
Vorteil ergeben, dass niemand auf der Strecke zwischen dem Nutzer und Ariva erkennen kann, welche Seite der Website aufgerufen wurde, welcher Inhalt hochgeladen wurde, etc.
Es ist von außen nur erkennbar, dass ein Computer mit der IP des Nutzers sich mit dem Server verbindet.
Im Moment ist es leider so, dass wortwörtlich jede Interaktion mit Ariva im Klartext durchs Internet posaunt wird.
Es ist von außen nur erkennbar, dass ein Computer mit der IP des Nutzers sich mit dem Server verbindet.
Im Moment ist es leider so, dass wortwörtlich jede Interaktion mit Ariva im Klartext durchs Internet posaunt wird.
05.08.15 21:22
#30
potzzzblitz
Ja, falls Du von den üblichen Browsern sprichst
Die aktuellen Versionen beherrschen alle die gängigen Cyphersuiten.
05.08.15 21:27
#32
potzzzblitz
Wer z.B. heute noch mit einem Internet Explorer
der Version 6 unterwegs wäre, käme z. B. nicht mehr in den Genuss einer stabilen Verschlüsselung.
Zum einen fehlt die Unterstützung für modernere Zertifikatstypen und zum anderen versteht er nicht mehr die aktuellen kryptographischen Algorithmen.
Der Server würde allenfalls auf alte, bereits als unsicher gebrandmarkte Verschlüsselung zurückfallen. Oder aber die Verbindung komplett zurückweisen.
Zum einen fehlt die Unterstützung für modernere Zertifikatstypen und zum anderen versteht er nicht mehr die aktuellen kryptographischen Algorithmen.
Der Server würde allenfalls auf alte, bereits als unsicher gebrandmarkte Verschlüsselung zurückfallen. Oder aber die Verbindung komplett zurückweisen.
06.08.15 11:57
#33
cs
Danke für die Anleitungen ;-)
Es geht ja nicht darum, auf einem Webserver das Handling von SSL zu ermöglichen. Das würden wir gerade noch so schaffen ;-)
Unser System umfasst eine Vielzahl von Komponenten, die angepasst werden müssen. Das sind u.a. dutzende Webserver und einen Loadbalancer, der die Anfragen verteilt.
Die Behandlung von SSL-Anfragen kostet mehr Rechenzeit (es muss ja alles verschlüsselt und wieder entschlüsselt werden). Das Abrufen von Webseiten auf www.ariva.de wird dadurch messbar langsamer, was wiederum eventuell einen Ausbau der Hardware erfordern würde.
Ein anderer Punkt ist dieser: Wenn eine Webseite mit HTTPS ausgeliefert wird, müssen ALLE darin enthaltenen Komponenten (Bilder, Skripte, Werbung etc) ebenfalls mit HTTPS ausgeliefert werden können, auch diejenigen, die von externen Servern kommen. Das ist momentan nicht der Fall und dann würde die Seite vom Browser nicht mit einem grünen Häkchen markiert.
Unser System umfasst eine Vielzahl von Komponenten, die angepasst werden müssen. Das sind u.a. dutzende Webserver und einen Loadbalancer, der die Anfragen verteilt.
Die Behandlung von SSL-Anfragen kostet mehr Rechenzeit (es muss ja alles verschlüsselt und wieder entschlüsselt werden). Das Abrufen von Webseiten auf www.ariva.de wird dadurch messbar langsamer, was wiederum eventuell einen Ausbau der Hardware erfordern würde.
Ein anderer Punkt ist dieser: Wenn eine Webseite mit HTTPS ausgeliefert wird, müssen ALLE darin enthaltenen Komponenten (Bilder, Skripte, Werbung etc) ebenfalls mit HTTPS ausgeliefert werden können, auch diejenigen, die von externen Servern kommen. Das ist momentan nicht der Fall und dann würde die Seite vom Browser nicht mit einem grünen Häkchen markiert.
06.08.15 13:50
#34
potzzzblitz
#33 @cs
Mixed Content ist natürlich nicht erlaubt, aber genau darum geht es ja bei einer verschlüsselten Seite: alle Informationen fortan nur verschlüsselt zu senden und nicht dazu Daten zu senden, die offenlegen könnten, was man sich gerade ansieht.
Abgesehen von Eurem eigenen Content, den Ihr ja unter Kontrolle habt, liegt es also doch nur an der zugelieferten Werbung.
Wer ist da zu nennen? Ich habe mal die Startseite angeschaut.
a.twiago.com - liefert bereits über https://a.twiago.com/ aus, oder nicht?
r.ligatus.com - klappt nicht
t.qservz.com - liefert bereits über https://t.qservz.com/ aus, oder nicht?
ad.360yield.com - liefert bereits über https://ad.360yield.com/click.... aus, oder nicht?
Alle drei Betreiber haben lustigerweise selbst SSL-Websites für ihre eigene Präsenz.
Weiterhin habt Ihr Google's Doubleclick, wo ich eine baldige Umstellung auch vermute, denn Doubleclick fordert laut diesem Bericht seit dem 30. Juni SSL-Anzeigenzulieferung:
"For example, Google’s own Ad Exchange Doubleclick AdX will not accept non SSL ads after June 30th, with many more set to follow suit. The move towards SSL is occurring right now, so it’s time to get on board…"
http://blog.adform.com/adform/stay-safe-use-ssl/
Das sind nur mal ein paar Beispiele. Ich meine, Ihr habt eine riesige Auswahl im Werbemarkt und auch zahlreiche Drittanbieter eingebunden. Irgenwann kann man ja mal eine Positivselektierung machen und sich nur noch auf Anbieter konzentrieren, die den Datenschutz der Menschen zumindest ein wenig respektieren.
Dass SSL ein paar Prozent mehr Rechnerkapazität benötigt, wissen wir ja alle, aber ist es das nicht wert? Das Thema der Datensicherheit ist doch seit vielen Jahren bekannt. Soll man nur billig an die Werbeindustrie verkauft werden, oder ist der Anspruch nicht eher, alle Seiten zu optimieren?
Ich finde, Ihr müsst dringend mit der Zeit gehen. Es hat sich sehr lange nichts am Grundaufbau Arivas geändert. Ich kann ja "never touch a running system" nachvollziehen, aber Ihr liefert im Jahr 2015 unverschlüsselte HTML4-Seiten aus, die mit Werbung und Trackern zugekleistert sind. Tut mir leid, dass ich das so frech formuliere, aber das ist eine strategische "Bequemlichkeit", die man sich nur erlauben kann, weil man relativ wenig Konkurrenz in dem Bereich hat, die es auch nicht besser macht.
Abgesehen von Eurem eigenen Content, den Ihr ja unter Kontrolle habt, liegt es also doch nur an der zugelieferten Werbung.
Wer ist da zu nennen? Ich habe mal die Startseite angeschaut.
a.twiago.com - liefert bereits über https://a.twiago.com/ aus, oder nicht?
r.ligatus.com - klappt nicht
t.qservz.com - liefert bereits über https://t.qservz.com/ aus, oder nicht?
ad.360yield.com - liefert bereits über https://ad.360yield.com/click.... aus, oder nicht?
Alle drei Betreiber haben lustigerweise selbst SSL-Websites für ihre eigene Präsenz.
Weiterhin habt Ihr Google's Doubleclick, wo ich eine baldige Umstellung auch vermute, denn Doubleclick fordert laut diesem Bericht seit dem 30. Juni SSL-Anzeigenzulieferung:
"For example, Google’s own Ad Exchange Doubleclick AdX will not accept non SSL ads after June 30th, with many more set to follow suit. The move towards SSL is occurring right now, so it’s time to get on board…"
http://blog.adform.com/adform/stay-safe-use-ssl/
Das sind nur mal ein paar Beispiele. Ich meine, Ihr habt eine riesige Auswahl im Werbemarkt und auch zahlreiche Drittanbieter eingebunden. Irgenwann kann man ja mal eine Positivselektierung machen und sich nur noch auf Anbieter konzentrieren, die den Datenschutz der Menschen zumindest ein wenig respektieren.
Dass SSL ein paar Prozent mehr Rechnerkapazität benötigt, wissen wir ja alle, aber ist es das nicht wert? Das Thema der Datensicherheit ist doch seit vielen Jahren bekannt. Soll man nur billig an die Werbeindustrie verkauft werden, oder ist der Anspruch nicht eher, alle Seiten zu optimieren?
Ich finde, Ihr müsst dringend mit der Zeit gehen. Es hat sich sehr lange nichts am Grundaufbau Arivas geändert. Ich kann ja "never touch a running system" nachvollziehen, aber Ihr liefert im Jahr 2015 unverschlüsselte HTML4-Seiten aus, die mit Werbung und Trackern zugekleistert sind. Tut mir leid, dass ich das so frech formuliere, aber das ist eine strategische "Bequemlichkeit", die man sich nur erlauben kann, weil man relativ wenig Konkurrenz in dem Bereich hat, die es auch nicht besser macht.
06.08.15 13:57
#38
potzzzblitz
Ich glaube, meinen Kopf wollen hier bereits einige
User... auf einem silbernen Tablett :-)
06.08.15 14:03
#39
K.Ramel
aber potzzz !
wer sollte den Salome sein ??
Ich darf doch bitten !
http://www.welt.de/vermischtes/specials/...-Johannes-dem-Taeufer.html
wer sollte den Salome sein ??
Ich darf doch bitten !
http://www.welt.de/vermischtes/specials/...-Johannes-dem-Taeufer.html
06.08.15 14:04
#40
cs
@potzzzblitz
Danke, dass du dir die Mühe machst, die Werbung zu analysieren. Wir haben aber einen Exklusiv-Vermarkter, der all dies für uns macht. Wir müssen die SSL Thematik daher dort klären und das wird leider noch einige Zeit in Anspruch nehmen.
Wir bleiben an dem Thema dran, aber kurzfristig ist mit einer Umsetzung aus den beiden weiter oben genannten Gründen nicht zu erwarten.
Wir bleiben an dem Thema dran, aber kurzfristig ist mit einer Umsetzung aus den beiden weiter oben genannten Gründen nicht zu erwarten.
06.08.15 14:07
#42
Glam Metal
Oben rechts
Webasto Standheizung
Mehr braucht man zum Exklusiv-Vermarkter wohl nicht zu sagen.
Mehr braucht man zum Exklusiv-Vermarkter wohl nicht zu sagen.
06.08.15 14:08
#43
potzzzblitz
#40 Tja, dann bin ich mit meinem Latein am
Ende. Wenn das eine Fremdfirma macht, kann man überhaupt nichts ändern, solange die Verträge laufen.
06.08.15 14:19
#46
potzzzblitz
@cs... Bietet der Exklusiv-Werbepartner denn
überhaupt so ein SSL-Paket? Ist das innerhalb seiner technischen Möglichkeiten?
Seite:
1
|
1
|
2
|
von 2