Seit kurzem machen die meisten Browser aktiv darauf aufmerksam, wenn eine Webseite nicht verschlüsselt ist. Wenn man sich irgendwo anmelden möchte (im geschützten Bereich, im Adminbereich eines CMS o.ä.), wird einem mitgeteilt, dass die Seite nicht sicher ist und die Daten unverschlüsselt übertragen werden.
Die Browserhersteller möchten zum Standard erheben, dass Webseiten nur noch verschlüsselt übertragen werden, Google rankt verschlüsselte Seiten höher. Es ist also absolut sinnvoll, sich darüber Gedanken zu machen, wie man seine Seite verschlüsseln kann. Die Webseite wirkt außerdem seriöser und weckt Vertrauen. Für Webseiten, die einen Shop betreiben oder auf andere Weise Kundendaten einfordern, sollte das inzwischen selbstverständlich sein.
Was kann man machen? Um eine Webseite zu verschlüsseln, benötigt man für jede Domain ein Zertifikat. Diese waren in der Vergangenheit teuer und es war nicht ganz einfach, sie zu installieren und die Webseiten entsprechend anzupassen.
Aus diesem Grund haben sich 2015 Firmen und Vereinigungen zusammengeschlossen, um ein sicheres, kostenfreies und einfach zu installierendes System zu entwickeln, mit dem praktisch jeder seine Webseite verschlüsseln kann: Let's Encrypt. Verschlüsselungen sollen damit zum Normalfall werden. Vermutlich werden verschlüsselte Seiten mit dem https-Protokoll in absehbarer Zeit zum Standart erhoben.
Wer sich über die Historie bzw. technischen Hintergründe infornieren möchte, findet auf der Webseite von Let's Encrypt sowie natürlich bei Wikipdedia eine Menge Informationen.
Erkennen kann man verschlüsselte Seiten übrigens an dem kleinen Schloss neben dem Domainnamen der Webseite in der Adresszeile des Browsers sowie dem Protokoll https:
Ob Betreiber von Shops oder anderen Webseiten, die persönliche Daten speichern, lieber auf ein kostenpflichtiges Zertifikat vertrauen sollten, kann ich nicht beurteilen. Diese bieten technisch gesehen nicht zwangsläufig eine bessere Verschlüsselung, aber zum einen andere Features (Schadensersatz z.B.) und zum anderen ist es eine Sache des Vertrauens der Kunden, ob diese sich evtl. durch ein teures Zertifikat besser aufgehoben fühlen.
Inzwischen habe ich zahlreiche Webseiten bei den verschiedensten Providern umgestellt, dazu mehr im nächsten Blogbeitrag.
In letzter Zeit gibt es viele Spam-Kommentare, deswegen habe ich die Kommentarfunktion erst einmal abgeschaltet.
Einen Kommentar schreiben
Kommentar von Thomas |
Hallo, guter Tipp, genau das habe ich gerade gesucht. Beste Grüße, Thomas
Kommentar von Kristina |
Sehr genialer Tipp. Das brauchte ich! Vielen lieben Dank!
Kommentar von Alex |
DANKE! Ich hab auch eben danach gesucht und es klappt bestens.
Kommentar von Emanuel P. |
Bin gespannt, Backend ist leicht aber Frontend sind viele am Grübeln wegen des 401 Fehlers und es existiert leider keine gute Anleitung wi man 2FA fürs Frontend richtig konfiguriert (speziell Template Anpassung und security.yml)
Antwort von Anika Strobach
Danke für den Kommentar. Ich hoffe, ich habe bald die Zeit dazu!
Kommentar von Gerhard Hirt |
Guten Tag
Was kann ich tun, wenn z.B. bei der 7. Pos. die Meldung Zeitüberschreitung kommt?
Was ist der vermutliche Grund für diese Zeitüberschreitung.
Danke für eine kurze Antwort
Gerhard
Antwort von Anika Strobach
Vielen Dank für den Kommentar.
Die Zeitüberschreitung liegt normalerweise daran, dass die Internetverbindung zu langsam oder gestört ist, entweder bei Ihnen selber oder bei dem Server, auf dem Ihre Webseite liegt. Oft klappt es zu einem anderen Zeitpunkt.
Mehr kann ich leider aus der Ferne und mit den wenigen Infos nicht sagen.
Kommentar von Karsten |
Hallo,
ich habe das plugin installiert und aktiviert.
In einem Beitrag per code -> php-> pass = XXXX eingetragen
Es erfolgt keine Abfrage!
Codeschnipsel als weißes Feld!
Was mache ich falsch?
Der Beitrag ist einfach nur ein Link, den man nach Eingabe des richtigen Passwortes sehen soll.
Kommentar von Marion |
Hallo Anika,
danke für die hilfreiche Anleitung!
Weißt Du, ob man die 2FA problemlos wieder rückgängig machen kann?
Viele Grüße
Marion
Kommentar von Matthias Hechler |
Muss die DENIC denn nicht auch den Provider herausgeben?
Kommentar von Gottfried |
Hallo, 2FA ist ne super Sache, aber nun ist das Handy weg und ich habe noch eine Sicherung der Backup Codes. Muss ich den Codeblock nun ganz in des Feld eingeben?
Kommentar von Comichaot |
Hatte die letzten Tage vermehret Brutforce angriffe aber dank Limit Login Attempts Reloaded ist alles gut!
Kommentar von Michael Conrad |
Danke für den super Tipp! Das war genau das Steinchen, was mir auf den Weg zur Suche nach dem Webserver gefehlt hat.
Sie müssen sich anmelden, um Kommentare hinzuzufügen.