SSL/HTTPS

[iari]

Ich bekomme keine verschlüsselte Verbindung zum Forum aufgebaut.

Firefox:

Code:

An error occurred during a connection to www.thedragonworld.com.

SSL received a record that exceeded the maximum permissible length.

(Error code: ssl_error_rx_record_too_long)

OpenSSL Client

Code:

openssl s_client -connect thedragonworld.com:443
CONNECTED(00000003)
140311733143208:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:774:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 298 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Ich finde Verschlüsselung sollte heutzutage selbstverständlich sein, besonders da man hier auch mit Kennwörtern rumhantiert.
Und wenn es nur ein selbstsigniertes Cert ist, für Leute wie mich, die Datensicherheit halt ernst nehmen

[Cupropituvanso Draco]

Also selbstsigniertes Zertifikat nehm ich sicher nicht, aber ich hatte schonmal die Idee ein Zertifikat zu kaufen, weil zumindest im kleinen Rahmen auch Mailverkehr darüber läuft. Aber es hat keine sehr hohe Priorität für mich. Und ich brauche es wenn gleich für mehrere Domains = teurer

Aber jetzt gibt es ja quasi nen offenen Punkt dafür und es wird sicher mal erledigt

[iari]

Japp, ich weis wie teuer ein Zertifikat ist, musste mir in der Vergangenheit ja auch eins kaufen. Erstrecht Wildcard-Zertifikate sind unverschämt teuer. Natürlich versteh ich auch, wenn man kein selbstsigniertes benutzen möchte, es wäre halt nur erstmal besser als garkeines.
Auch wenn es andauernd alle sagen, nur Wenige nutzen verschiedene Kennwörter für verschiedene Dienste (leider), was Kennwörter klartext übertragen nur noch schlimmer macht. D:

[Cupropituvanso Draco]

TheDragonworld.com läuft ab sofort via SSL

Ist noch nicht perfekt umgesetzt (mixed content), aber der erste Schritt ist gemacht.

[iari]

Sehr schön.
Mixed Content ist allerdings weniger das Problem.
Du solltest dringend SSLv3 deaktivieren. Mehr Infos wie und warum hier: http://disablessl3.com/
Ebenfalls sollte dein Webserver auch kein RC4 oder MD5 mehr unterstützen, auch wenn das auf Grund des Client verhaltens weniger schlimm ist als SSLv3.
Sie SSL-Labs Seite ist übrigens ein schönes Werkzeug um viele solcher kleinen Config Fehler leicht aufzuspüren. Kann ich nur empfehlen, wenn du Wert darauf legst, es richtig zu machen:
https://www.ssllabs.com/ssltest/analyze.html

Wenn du möchtest kann ich dir die entsprechenden Zeilen aus meinen Apache/Nginx Configs pasten, dann brauchst du dir nicht die Mühe machen alles selber rauszusuchen.

Ich sag das übrigens nicht um dich zu nerven oder weil es mir irgendwie Spaß macht, ich möchte lediglich helfen.

[Cupropituvanso Draco]

Würde nichts bringen, da ich den Server nicht selbst verwalte ... ich bezahle eine Firma dafür dass sie sich darum kümmern.
Die hab ich aber jetzt eh mit dem SSL Zertifkat gequält (da ich es via Lets Encrypt machen hab lassen, obwohl sie normalerweise nur kostenpflichtige anbieten).

Ich behalts mal im Hinterkopf, aber für die nächsten Monate lass ich es mal so und muss mich darum kümmern die volle Funktionstüchtigkeit der Websiten wiederherzustellen. Eine meiner (nicht selbst programmierten) Features die ich auf einigen Websites nutze sind offenbar nicht SSL tauglich *g*

Außerdem steht ein größerer Umbau bevor um auf mysqli und neueste php Versionen upzugraden. Also im Moment lass ich es mal so.