Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Die kleine HSTS (HTTP Strict Transport Security) Falle

Mitglied: Frank
Heute Morgen fiel mir auf, das Administrator.de unter dem Firefox und dem Chrome nur noch auf die https Variante schaltet. Egal, ob http:// eingegeben wurde oder nicht, ich landetet immer wieder auf der https-Seite. Generell nichts schlimmes, aber dummerweise funktioniert die Werbung unter https nur eingeschränkt.

Was war also passiert: HSTS hat zugeschlagen. "HSTS" bedeutet HTTP Strict Transport Security und macht genau das, was ich gerade beschrieben habe: Es leitet jeden http Aufruf auf https um. Irgendwann hatte ich als Sicherheitsempfehlung die HSTS Konfiguration für den Webserver eingetragen, ohne genau zu prüfen was das für Folgen hat (passiert mir auch - doofer Fehler, ich weiß).

Hier die Config für Lighttpd, um HSTS einzuschalten (in der lighttpd.conf):
Hier die Config für NGINX, um HSTS einzuschalten (im Server-Block für HTTPS) :
Danach muss der jeweilige Server neu gestartet werden. Wenn alles richtig läuft, sollte nach einmaliger Eingabe der https Adresse jeder zukünftige Aufruf über https erfolgen.


Eigentlich eine schöne Sache, aber ohne Werbung können wir uns nicht finanzieren. Dazu passt der folgende Artikel: Washington Post stellt Website auf HTTPS um oder Probleme bei der Umstellung von Websites auf HTTPS.

Nachdem ich den selbst verschuldeten Fehler entdeckt habe, wurde dieser Teil der Config deaktiviert (evtl schalten wir das später ja wieder aktiv) und die Server neu gestartet.

Dummerweise merken sich, bis auf den IE 11, alle anderen Browser die HSTS Einstellung (getestet mit den neuesten Versionen von IE, Firefox und Chrome). Beim Chrome reicht das Löschen des Browser-Caches aus, um diese Einstellung wieder loszuwerden (alternativ in die URL "chrome://net-internals/#hsts" eingeben). Beim Firefox leider nicht. Hier muss man erst die gesamte History löschen und dann per "about:permissions" in der URL-Zeile die entsprechende Domain auswählen und ganz rechts auf "Gesamte Webseite vergessen" klicken.

Hier die Bilder dazu:

1) Cache löschen
5bc18c1290468d15de5e109aa1b2667b

2) Einstellung zur Webseite vergessen
a0f3776f51b134f7b7ec3d36d0c08a4d

Danach kann man die ausgewählte Domäne (hier www.administrator.de) wieder ohne das HSTS-Feature aufrufen (ohne die automatische Umleitung auf https). Damit kann ich selbst und nicht der Browser steuern, welche Bereiche der Webseite per https aufgerufen werden (Mitgliederbereich, Einstellungen) und welche nicht (Startseite, Detailseiten mit Werbung).

Ich hoffe ich konnte etwas zum Thema HSTS etwas beitragen. Auf Feeback freue ich mich natürlich.

Gruß
Frank

Content-Key: 276292

Url: https://administrator.de/contentid/276292

Ausgedruckt am: 01.12.2021 um 08:12 Uhr

Mitglied: Herbrich19
Herbrich19 03.07.2015 um 20:37:02 Uhr
Goto Top
Hallo,

Ich gehe davon aus das ihr AddWords von Google nutzt? Haben die kein HTTPS suport?? Andererseits ist HTTPS umnötig für seiten die eh jeder sehen darf da HTTPS auch eine gewisse Auslastung auf den Webserver erzeugt.

LG, Herbrich
Mitglied: wiesi200
wiesi200 03.07.2015 aktualisiert um 21:39:30 Uhr
Goto Top
Naja, bei HTTPS geht es ja nicht nur um Verschlüsselung sondern auch das die Daten unverändert sind, solange die Zertifikatskette nicht aufgebrochen wird was man dann aber nachvollziehen kann.
Zudem gehört es meines Wissens nach zu den Google Ranking Faktoren.

Zur zusätzlichen Auslastung. Google z.b. hat bei deren Umstellung eher die Aussage gebracht das dieser Faktor zu vernachlässigen ist. Alleine schon das die meisten Grundsätzliche Apache benutzen, der PHP Code unsauber ist oder schlechte Templates verwenden macht sich mehr bemerkbar als HTTPS.

Unsere Firmenseiten laufen seit gut nem halben Jahr auf HTTPS und sind "meiner" Meinung nach schnell genug.

Bei mir ist aber auch nicht das Problem ich auf Werbung angewiesen bin.
Mitglied: Herbrich19
Herbrich19 03.07.2015 um 21:43:57 Uhr
Goto Top
Ich habe auf meiner Homepage und auf Exchange auch HTTPS und läuft sehr flott. Und ja stimmt, die Autentizität der Daten ist schon wichtig. Wengleich ich mich aber auch fragen muss warum man eine Community angreifen sollte und da Daten verändert.

Aber die Tatsache das SSL zu den PageRank faktoren gehört ist mir neu, kannst du quellen posten den ich würde es liebend gern auch selbst mal nachvolzihen. Man lernt nie aus :) face-smile

LG, Herbrich
Mitglied: wiesi200
wiesi200 03.07.2015 um 21:53:59 Uhr
Goto Top
Ich sehe da eher dann das Problem des Einschleusens von Schadcode.

Anbei ne Quelle
http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-sign ...
Mitglied: Herbrich19
Herbrich19 03.07.2015 um 22:03:25 Uhr
Goto Top
Ja, dass ist immer in der Tat ein Problem, man bedenke wie viele Admins von ihren Servern auf diese Seite gehen. Eigentlich sollte Internet Surfen auf Servern strengstens verboten werden mit Ausnahme von Terminal Servern.

LG, Herbrich
Mitglied: mathu
mathu 06.07.2015 aktualisiert um 11:27:19 Uhr
Goto Top
Wobei allerdings es bei Microsoft Serversystemen zumindest mit Hürden versehen ist, auf dem Server zu surfen. :) face-smile
Wer das allerdings trotzdem macht, hmm sollte schon wissen was er da tut...
Mitglied: Herbrich19
Herbrich19 08.07.2015 um 00:57:50 Uhr
Goto Top
Hallo,

Ich Surfe Privat immer auf einen Windows Server 2008 r2 System, konfiguriert als Terminal Server :) face-smile Ich würde aber jeden der sowas macht wie beim klasischen Client System ein AV Proggramm ans hetz legen, ich nutze TrendMicro :) face-smile

LG, J. Herbrich
Mitglied: win-dozer
win-dozer 11.07.2015, aktualisiert am 17.07.2015 um 21:23:28 Uhr
Goto Top
hmm schade... https sollte mittlerweile echt default sein.
...ich meine letztens gelesen zu haben das google adwords mittlerweile auch per https ausgeliefert werden kann...?
Heiß diskutierte Beiträge
question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 1 TagFrageWindows Server18 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...