Anmelden
Archiv
Kategorien

Sicher verbinden mit berlinerschachverband.de?

Seit dem 3. Januar 2015 ist der Berliner Schachverband im Internet auch über eine sichere Verbindung (TLS, früher SSL genannt) erreichbar. Dazu mußte der Besucher unsere Domain nur ohne www aufrufen und wurde dann auf das Protokoll https weitergeleitet. Nach einer serverseitigen Umstellung unsererseits vor einigen Wochen funktioniert das aber nicht mehr so wie gewünscht. Das zwölf Monate gültige Sicherheitszertifikat gilt nämlich nur für die Domain berlinerschachverband.de und nicht für www.berlinerschachverband.de. Nach der Umstellung gibt es jetzt aber nur noch www.berlinerschachverband.de und Besucher werden beim Aufruf über das https-Protokoll mit dem Hinweis auf ein ungültiges Zertifikat von ihrem Browser begrüßt.

In diesem Artikel möchte ich alle technischen Details näher erläutern und eine kleine Umfrage zu sicheren Verbindungen mit unserem Server durchführen.

Anfang Mai ging die Website für die Deutsche Senioren-Mannschaftsmeisterschaft der Landesverbände im September in Spandau unter der Domain www.dsenmm2015.de online. Da diese Website genau wie berlinerschachverband.de mit ein und demselben Content Management System (CMS) verwaltet wird, war in der CMS-Konfiguration die Angabe der jeweiligen Domain Pflicht. Und das sind www.dsenmm2015.de und www.berlinerschachverband.de.

Da unser Hoster domainfactory die Subdomain www aber einem subdomainlosen Aufruf gleichsetzt (also dsenmm2015.de und berlinerschachverband.de) gleichsetzt, es aber die beiden Webseiten in unserem CMS ohne www nicht gibt, war eine serverseitige Umleitung nötig. Wer z.B. berlinerschachverband.de aufruft, wird auf www.berlinerschachverband.de weitergeleitet. Dabei ergibt sich der ungewünschte Nebeneffekt, daß beim subdomainlosen Aufruf auf https weitergeleitet wird, statt auf http. Und für https://www.berlinerschachverband.de gibt es kein Sicherheitszertifikat, wodurch sich der Browser zu einer Fehlermeldung genötigt sieht.

Es gilt aber weiterhin:

Egal wie ein Besucher unsere Seite aufruft – unsere Seite ist sicher!

Das Zertifikat beurteilt nur die Verbindung vom Rechner des Besuchers zu unserem Server. Selbst das beste Zertifikat nutzt nichts, wenn unser Server zur Virenschleuder mutiert ist. Unser Server ist täglich mehrfach Angriffen von Hackern ausgesetzt, die versuchen Schwachstellen zu finden, darüber in den Server einzudringen und diesen zu manipulieren. Davor schützt auch die sichere Verbindung nichts! Im besten Fall wird der Trojaner von unserem Server auf Euren Rechner eben per sicherer Verbindung übertragen. Da nutzt das teuerste Zertifikat nichts.

Wer nicht möchte, daß sein Datenverkehr abgehört bzw. mitgelesen wird, sollte seinen Datenverkehr verschlüsseln. Das geht aber nur wenn beide Endpunkte sich auf diese Verbindungsart einigen. Im Internet geht das am einfachsten über das https-Protokoll. Wer https://www.berlinerschachverband.de aufruft, bekommt alle Daten von unserem Server verschlüsselt übermittelt. Die Daten werden erst auf Eurem Rechner wieder entschlüsselt. Mithörer und Mitleser, die an Eurer Leitung oder an einem der vielen, zwischengeschalteten Server lauschen, bekommen nur Kauderwelsch zu sehen.

Von Eurem Rechner zu unserem Server zurück, würde natürlich auch alles verschlüsselt werden. Zum Beispiel wenn Ihr Euch mit Eurem Benutzernamen und Passwort im CMS-Backend einloggt.

Was dann mit den übertragenen Daten passiert, darüber entscheiden die beiden Endpunkte der sicheren Verbindung. Wir können weiter Eure Daten im Klartext lesen und damit arbeiten, egal ob Ihr eine sichere oder normale Verbindung aufgebaut habt.

Zum Abschluß meines Artikels eine kleine Umfrage zum Thema. Das Ergebnis soll mit in die Beurteilung darüber einfließen, ob wir für die Subdomain www noch ein Sicherheitszertifikat nachkaufen. Bei domainfactory kosten die billigsten Zertifikate 1,99 EUR/Monat. Das geht hin bis zu Zertifikaten auf Bankenniveau mit Inhabervalidierung zu 24,99 EUR/Monat.

Frank Hoppe