Umstellung des Forums auf HTTPS

U

User 3116

Als eine der Maßnahme, die wir aufgrund der stattgefundenen Cyberangriffen ergreifen, haben wir heute für das Forum HTTPS Zwang aktiviert. Alle http Anfragen an das Forum werden ab sofort auf https umgeleitet. Wir hoffen, dass diese Umstellung keinen merklich negativen Einfluss auf die Antwortzeiten des Forums hat, und alles wie gewohnt funktioniert.

Falls nicht, sagt uns bitte Bescheid.

Wenn ihr Probleme habt die Seite aufzurufen, bemüht euch bitte als erstes darum, dass ihr euren Browser auf den aktuellen Stand bringt. Sollte es dann immer noch nicht klappten bitte die Meldung mit der Angabe der exakten Browser und Betriebssystem Version machen, sonst können wir nicht helfen. Danke.

Im folgenden möchte ich noch auf bereits bekannte Probleme Hinweisen:

Von externen Seiten eingebundene Bilder (Mixed Content!):
Bei Bildern, die von externen Seiten eingebunden werden, wird es Warnungen zu kommen, dass über eine sichere Verbindung unsicherer Inhalt geladen werden soll (mixed content) und dieser ggf. geblockt wurde (kommt auf den Browser und die Einstellungen an). Bzw., dass diese Seite nicht sicher ist oder das jemand diese Seite verändern kann, etc. Dies liegt eben daran, dass Bilder von anderen Webseiten über HTTP geladen werden, wenn Nutzer diese in ihren Beiträgen eingebettet haben. Das können wir aber leider nicht ohne Weiteres verhindern. Wir können nur die Inhalte steuern, die von unserem Server ausgeliefert werden. Wir versuchen dafür eine Lösung zu finden, wollten aber nicht nur deswegen auf die Umstellung auf https verzichten.

Tapatalk:
Bei Tapatalk muss das Forum wahrscheinlich neu hinzugefügt werden, damit es über https angesprochen wird. Ich habe bei mir die tapatalk Daten und den Cache gelöscht und dann das Forum neu hinzugefügt, so hat es geklappt.

Client Support:
Einige Clients können dieses Forum nun nicht mehr aufrufen, da diese TLSv1.2 nicht unterstützen:
  • Android bis Version 4.3
  • Internet Explorer bis Version 10 (Achtung auch Windows Phone 8.0 IE10 betroffen!
  • Safari 5.1.9 und 6.0.4

Aktuelle Firefox Version verweigert die Verbindung:

Dann verstehe ich das nicht. Du kannst mal noch folgendes checken:
Gib im Browser als URL ein: about:config
Dann den Hinweis bestätigen und nach folgenden beiden Parametern suchen:

"security.tls.version.max"
"security.tls.version.min"

max muss auf 3 stehen und min auf 1.


Kurzes Update:
Die im vorherigen Beitrag gemeldeten Fehler wurde behoben.

Die Mixed Content Warnung dürfte jetzt nicht mehr auftauchen, alle Inhalte, auch extern eingebettete Bilder sollten über https ausgeliefert werden. Falls das irgendwo nicht der Fall sein sollte, bitte nochmal Bescheid geben.

Die IE Nutzer sollten nun auch wieder die Avatare sehen können.
 
Zuletzt bearbeitet:
U

User 9836

Hey Marc,
die Umstellung auf https sollte sogar eher einen Performancevorteil bringen.
Jeder aktuelle Browser unterstützt http2 und auch die aktuellen apache und nginx Versionen tun das.
http2 kommt aber nur bei verschlüsselten Verbindungen zum Einsatz.

Allerdings scheint serverseitig das nicht zu funktionieren:
https://tools.keycdn.com/http2-test
 
U

User 6229

Firefox gibt mir immer den Fehler: gesicherte Verbindung fehlgeschlagen.
Hat jemand eine Idee?
Cookies habe ich schon gelöscht.
 
U

User 2458

Gleiches Problem beim Firefox bei mir. Gesicherte Verbindung fehlgeschlagen. SSL_ERROR_PROTOCOL_VERSION_ALERT
 
U

User 10581

Mit Firefox 46.0.1 komme ich rein, aber mit Tapatalk kann ich mich nicht anmelden. Daten und Cache sind gelöscht.

2016-05-30 16.47.44.jpg
 
U

User 948

FF in Version 40.6.1

W7 Alle Update mit Avast Free Edition

Keine Probleme
 
U

User 6229

Bei mir ist es FF in Version 40.6.1 mit Win 10.
IE geht ohne Probleme.
 
U

User 1

U

User 6229

René: Ich habe die neuste Version, ich habe die Zahlen vertauscht. 46.0.1 ist die Aktuellste.
 
U

User 1

Dann verstehe ich das nicht. Du kannst mal noch folgendes checken:

Gib im Browser als URL ein: about:config
Dann den Hinweis bestätigen und nach folgenden beiden Parametern suchen:

"security.tls.version.max"
"security.tls.version.min"

max muss auf 3 stehen und min auf 1.
 
U

User 3116

Hey Marc,
die Umstellung auf https sollte sogar eher einen Performancevorteil bringen.
Jeder aktuelle Browser unterstützt http2 und auch die aktuellen apache und nginx Versionen tun das.
http2 kommt aber nur bei verschlüsselten Verbindungen zum Einsatz.

Allerdings scheint serverseitig das nicht zu funktionieren:
https://tools.keycdn.com/http2-test
Danke für den Hinweis, Daniel. Allerdings befindet sich das Modul bei Apache noch im Status Experimental und ist auch erst ab 2.4.17 verfügbar. Und mod_spdy möchte ich jetzt auch nicht extra kompilieren. Leider sind die Jungs bei Apache noch nicht soweit wie nginx oder manch anderer. Wir sollten ggf. wieder zurück auf nginx gehen, der ist sowieso schneller. Aber ich denke die Seite ist schnell genug, da brauchen wir nicht herum experimentieren. Ggf. werden wir mod_pagespeed wieder laufen lassen, das bringt bei Bedarf auch nochmal gut was.

Leute ein Bitte: Wenn ihr Probleme habt die Seite aufzurufen, bemüht euch bitte als erstes darum, dass ihr euren Browser auf den aktuellen Stand bringt. Sollte es dann immer noch nicht klappten bitte die Meldung mit der Angabe der exakten Browser und Betriebssystem Version machen, sonst können wir nicht helfen. Danke.
 
U

User 2458

Dann verstehe ich das nicht. Du kannst mal noch folgendes checken:

Gib im Browser als URL ein: about:config
Dann den Hinweis bestätigen und nach folgenden beiden Parametern suchen:

"security.tls.version.max"
"security.tls.version.min"

max muss auf 3 stehen und min auf 1.

Das habe ich jetzt mal gecheckt und interessanterweise stand bei mir bei max 1. Habe es geändert und nun funktioniert es.
Firefox Version ist 46.0.1 Ich habe da allerdings nie etwas geändert vorher. Na ja egal, jetzt gehts wieder.
Danke für den Hinweis
 
U

User 13761

Find ich gut. Wir haben unser kleines (ebenfalls vBulletin 4) Forum schon vor einem halben Jahr auf HTTPS umgestellt. Hat neben der Sicherheit den netten Nebeneffekt das man in Google ein höheres Pageranking bekommt^^ (Laut deren eigenen Aussagen und tatsächlich sind wir höher gerutscht^^)

Meine E-Mail Adresse und Passwort habe ich auch gewechselt, nach der Email die ich vom Forum hier bekam. Kann jedem nur empfehlen mit einem Passwortmanager wie Keepass oder ähnlichem zu arbeiten. Verwende immer 25+ Zeichen lange Passwörter (leider geht mehr als 30 selten), kryptisch mit allen möglichen Zeichen. Und für jede Seite ein anderes kryptisches Passwort und viele Email Adressen. Kanns nur empfehlen...es wird immer häufiger, immer mehr gehackt.

P.s.: HTTPS Everywhere, sowie NoScript und uBlock sind absolutes muss für den Firefox..:)


Edit: Wegen des Mixed Content, bei Bildern, da gibts Abhilfe in Form eines kleinen Hack (für vBulletin).

Edit2: Schaut mal hier: https://www.vbulletin.org/forum/showthread.php?t=288060
Funktioniert einwandfrei bei uns. Keine Warnungen mehr wegen mixed content (unsichere Verbindung). :daumen:
 
Zuletzt bearbeitet:
U

User 1

Danke für den Hinweis Alex. Wir hatten das auch schon auf der Liste. Werden wir im Laufe der Woche installieren. Auch die Fanatec-Werbung wird noch umgestellt.

Gesendet von meinem SM-G920F mit Tapatalk
 
Zurück
Oben