Microsoft hatte schon angekündigt, dass der Microsoft Edge 92 automatisch versucht HTTPS, anstatt HTTP-Seiten aufzurufen. „Diese Unterstützung kann auch so konfiguriert werden, dass für alle Domänen eine Auslieferung über HTTPS versucht wird. Sicherere Verbindungen helfen, Kunden vor Man-in-the-Middle-Angriffen zu schützen.“
Wer mit der aktuellen Canary 92.0.877.0 oder später höher unterwegs ist, kann diese Funktion in den edge://flags „Automatic HTTPS“ aktivieren. Nach einem Neustart erscheint dann in den Einstellungen -> Datenschutz, Suche und Dienste der Eintrag „Automatisch zu weiteren sicheren Verbindungen mit automatischem HTTPS wechseln“. Hier hat man dann die Auswahl zwischen wahrscheinlicher Unterstützung und Immer von HTTP zu HTTPS wechseln. Wobei Microsoft hier vor möglichen Verbindungsfehlern warnt.
Wer diese Funktion schon im Browser hat, sollte sie auch aktivieren. Denn HTTPS verschlüsselt gegenüber HTTP die Verbindung. In der Dev wird diese Funktion sicherlich bald folgen. Der Microsoft Edge Stable ist dann im Juli dran.
Nachdem ich hier nicht lese, dass da ein Button ist, mit dem man das bei einer bestimmten Domain und/oder Sub-Domain, dauerhaft abschalten kann wird das sicher nicht angeschaltet!
Stattdessen wird weiterhin HTTPS Everywhere verwendet, dort kann man das nämlich.
Solange der unfähige Gesetzgeber den Krattlern unter den Providern nicht vorschreibt, dass sie gefälligst für jede Domain und Sub-Domain HTTPS KOSTENFREI zur Verfügung stellen müssen wird das nämlich nix.
Wenn man mit einem Vertrag nur ein kostenfreies Single-Domain Zertifikat bekommt und ansonsten für jede Domain oder Sub-Domain extra zahlen muss, wird das nicht funktionieren. Auch eine SSL-Flatrate für 5 Euro im Monat ist völlig überteuert und wird sich jemand für seine privaten Domains nicht zulegen, Kleingewerbe sicher auch nicht.
Schon weil die jährlich 60 Euro in einer Tankfüllung, einen zusätzlichen Sicherungslaufwerk oder ein paar USB-Sticks besser investiert sind.
Bevor jetzt wieder jemand dumm rumtrollt und in weinerlichem Ton darauf hinweist, dass die „armen“ Provider da ja Kosten haben, die sie umlegen „müssen“. – Erstens müssen sie nicht und zweitens halten sich die in Grenzen.
Einfach mal ein Programm, mit dem man Zertifikate selbst erstellen kann, aus dem Netz runterladen und den Aufwand je Zertifikat testen. – Nachdem das Programm installiert und eingerichtet wurde, wir wollen ja nur den laufenden Aufwand ermitteln. Euren händischen Aufwand, wie anschubsen der Zertifikaterstellung und kopieren des Zertifikats an die passende Stelle müsst ihr natürlich auch noch abziehen. Das erledigt ja der Kunde, bei der Einrichtung der Domains und Sub-Domains innerhalb seines Vertrages ohne, dass der Provider Personal dafür abstellen muss, die nötigen Routinen werden dann ja automatisch abgespult.
United Internet und Co. müssen Zertifikate schließlich nicht zukaufen, hindert sie ja keiner daran eine eigene Zertifizierungsstelle zu schaffen und die Zertifikate dann selbst voll automatisiert für jede Domain und Subdomain auszustellen.
Die dafür nötige Rechenleistung taucht bei United Internet, im Verhältnis zur gesamten installierten Rechenleistung, vermutlich noch nicht mal in der dritten Nachkommastelle auf.
Da der normale Nutzer seine Domains und Subdomains in der Regel nicht täglich ändert, sondert eher genau einmal, bei Vertragsabschluss, einrichtet, hält sich der Aufwand sicher in Grenzen. Neue Zertifikate für einen Vertrag müssen genau einmal im Jahr berechnet werden, was man auch noch skalieren kann und manche Zertifikate eben schon früher erneuert werden, damit man eine gleichmäßige Auslastung der Rechner, die dafür nötig sind, über das Jahr erreicht und nicht alle zur selben Zeit erneuern muss, spart Rechner ein.
Kosten dafür? sicher keine 60 Euro pro Vertrag und Jahr, das bewegt sich über alle Verträge hinweg wohl eher im Cent-Bereich oder gar Bruchteilen davon, das läuft nach dem einmaligen Einrichten schließlich vollautomatisch.
Dafür je Vertrag 60 Euro im Jahr zu berechnen, wie das als Beispiel United Internet bei STRATO und andere in ähnlicher Form, tun fällt wohl eher unter Wucher. Die in Rechnung gestellten Kosten stehen in keinem angemessenen Verhältnis zum tatsächlichen Aufwand, völlig überteuert.
Motto, weil die Suchmaschinen Seiten ohne HTTPS schlechter einstufen (was durchaus als Nötigung zu verstehen ist), man damit „Angst“ erzeugen kann und der Gesetzgeber wieder mal geschlafen hat, zocken wir die Verbraucher, zumindest so lange bis der Gesetzgeber mal aufwacht, rücksichtslos ab.
Das Problem dabei, der Gesetzgeber ist, wie bei Vorgaben die Dauerfestigkeit (zumindest eine Mindesthaltbarkeit von 25 Jahren mit Sicherheitsfaktor 2, bei Ersatzteil-, Sicherheitsupdates-, Karten- und Treiberversorgung von 35 Jahren) und Reparierbarkeit durch jedermann bei Geräten und Software vorschreiben, gar nicht daran interessiert verbraucherfreundliche Gesetzgebung umzusetzen. Schließlich verdient der Staat, mit der anfallenden MwSt/EUSt, sowie Steuern auf Unternehmensgewinnen, mit.
Übrigens, nicht alles an der DDR war schlecht, die damaligen Handmixer von OTTO (Hanseatic) und Quelle (Privileg) hielten länger als der Schrott von heute, weil es in der DDR dank Resourcenknappheit ein Gesetz gab, das dafür eine Mindesthaltbarkeit von 15 Jahren vorgab. Sowas bräuchten wir heute auch, einschließlich der Vorgabe das Akkus ohne Werkzeug tauschbar sind, nix verklebt oder verpresst sein darf, Verschraubungen mit handelsüblichen Werkzeugen (kein Sonderwerkzeug!!!, also maximal Phillips, TORX, Inbus oder Pozidriv, eventuell noch Vielzahn, von denen anzunehmen ist, dass sie in einem normalen Haushalt vorhandene sind) zu lösen sind und Sicherheitsupdates bei Smartphones mindestens 15 Jahre, besser länger geliefert werden müssen. Lass mich mal überlegen, telefonieren kann man auch mit einem 6310i von 2002 noch ganz prächtig, was fehlt ist die gesetzliche Verpflichtung, dass man da, als Hersteller oder Rechteaufkäufer, ein Programm zur Kontaktsynchronisation, samt Klingelton und Firmwareupdate vorhalten muss.
Beinahe vergessen, Schaltplan und Bauteilliste muss selbstverständlich mitgeliefert werden, damit man bei der Ersatzteilversorgung nicht auf die überteuerten Preise von Herstellern, die lieber ein neues Gerät verkaufen wollen angewiesen ist. Wir müssen wieder dahinkommen, dass der Laden um die Ecke auf Bauteilebene reparieren kann, so wie das früher bei Radio- und Fernsehgeräten üblich war. Wobei man Bürstenmotoren gleich ganz verbieten kann, ein Trumm weniger das kaputt gehen kann, es gibt bürstenlose Alternativen.
Was mich daran erinnert, es fehlt auch eine Verpflichtung, dass alle Hersteller ihre Soft- und Firmware bei einem internationalen, gemeinnützigen, von allen Herstellern finanzierten Datenspeicher abliefern müssen, von dem man sie die nächsten hundert Jahre auch noch abrufen kann, wenn der Hersteller insolvent ist oder keinen Bock mehr darauf hat sie auf den eigenen Servern zu hosten.
Du hast Recht, und Weihnachten kommt bald….
gepostet mit der Deskmodder.de-App
von letsencrypt hast du aber schon mal was gehört, oder?
https://letsencrypt.org/sponsors/
gepostet mit der Deskmodder.de-App
Sicher, so ungefähr seit 2015. Du scheinst aber nicht zu überreißen, worum es eigentlich geht.
Es geht nicht darum, ob Du oder ich Let’s Encrypt kennen und ob Du oder ich in der Lage sind einen V-Server oder echten Server, der bei einem Provider steht, administrieren und damit Let’s Encrypt nutzen zu können. – Von mir weiß ich, dass ich es kann, ist aber nicht relevant.
Ein großer Teil, um nicht zu sagen der größte Teil aller Websites, die von Privatleuten und Kleingewerbe betrieben wird läuft eben nicht auf dem eigenen Server, sondern als Hosting-Paket bei irgendeinem der großen Provider.
Und da kann man dann als Beispiel sowas wie den nachstehenden Blödsinn lesen.
Zitat:
„STRATO Hosting-Pakete: Let’s Encrypt ist nicht vorgesehen
Einige Kunden haben uns gegenüber mehrfach den Wunsch geäußert, dass wir die Zertifizierung mit Let’s Encrypt auch für unsere Standard Webhosting-Pakete anbieten. Bei STRATO haben wir uns bewusst für die Verschlüsselung mit DigiCert-Zertifikaten entschieden. Mit unserem Inklusiv-Zertifikat möchten wir dem Wunsch gerecht werden, dass jeder Kunde seinen Web-Auftritt verschlüsseln kann – ganz ohne Zusatzkosten.
Bei unseren Hosting-Paketen haben wir den Anspruch, Eure Bedürfnisse möglichst gut abzubilden und gleichzeitig für ein attraktives Preis-Leistungsverhältnis zu sorgen. Vor diesem Hintergrund ist die Einführung von Let’s Encrypt für unsere Hosting-Pakete auch langfristig nicht vorgesehen. Wenn Du auf einen unserer günstigen V-Server umsteigst, kannst Du dieses Vorhaben wie oben beschrieben umsetzen.“
Das wollen wir mal analysieren und übersetzen.
„Mit unserem Inklusiv-Zertifikat möchten wir dem Wunsch gerecht werden, dass jeder Kunde seinen Web-Auftritt verschlüsseln kann – ganz ohne Zusatzkosten.“
Pro Vertrag gibt es ein Zertifikat kostenlos, für alle anderen Inklusiv-Domains oder Sub-Domains muss man löhnen, war wohl nix mit ohne Zusatzkosten. – Ist also eine glatte Lüge!
Genauso gelogen wie „Bei unseren Hosting-Paketen haben wir den Anspruch, Eure Bedürfnisse möglichst gut abzubilden“ – nein den Anspruch haben sie nicht, sie haben den Anspruch möglichst viel Geld beim Kunden abzuräumen, dessen Bedürfnisse sind es eigentlich das Nötige möglichst günstig, im Zweifel kostenfrei zu bekommen.
Dann gibt es da noch ein paar Nebelkerzen in denen ausgeführt wird warum man bewusst auf DigiCert setzt und dabei den Hauptgrund unterschlägt.
Sind ein paar verteilte Bildschirmseiten, kann man aber relativ einfach zusammenfassen und übersetzen – für alle Provider, bei denen es ähnlich gelagert ist, nicht nur für einen, komischerweise gehören einige davon demselben Eigentümer.
„Weil wir wissen, wie sich der Teil der Kunden mit Hirn verhält, wenn wir ihm die Wahl zwischen kostenlosen Let’s Encrypt Zertifikaten oder kostenpflichtigen super-duper DigiCert Zertifikaten lassen und ihn dann nicht mehr abzocken können, sind wir ein arroganter, rücksichts- und verantwortungsloser Haufen, der das über die Köpfe der Verbraucher – die selbst in der Lage wären, zu entscheiden was am besten für sie ist – entscheidet. Die Wahl das für ihn sinnvollste Paket zu wählen lassen wir im gar nicht erst.
Pro tip: nur weil jemand https nutzt ist es nicht automatisch sicher.
Siehe Buhl Data Update Server ssllabs Analyse
gepostet mit der Deskmodder.de-App für Android