Hallo,

hab heut mal mich hingesetzt und der Webseite hier ein SSL-Zertifikat verpasst:

https://www.siedler25.org
und
https://forum.siedler25.org

Damit keine Zertifikatwarnung kommt, muss man das CA-Zertifikat von
http://ca.ra-doersch.de
installieren (im normalfall einfach draufklicken und zu "Zertifizierungsstellen" hinzufügen)

Da beim Login in das Forum das Passwort im plaintext übertragen wird (wie bei fast allen forensystemen) bietet das die Möglichkeit die Verbindung vom Browser zum Server zu verschlüsseln und somit das Passwort vor ausspähen zu schützen.

Ich habe https nicht zur Vorgabe für das Forum gemacht, ganz einfach aus dem Grund, das man das Zertifikat ja installieren muss. Könnt ja mal schreiben was ihr davon haltet das Forum generell auf https umzuleiten.

---
mfg
Flo

---

Zitat von FloSoft:

Hallo Flo, ich bin dankbar fuer diese Massnahme. Je besser meine Passwoerter geschuetzt sind umso besser. Am besten gleich komplett umstellen.

Und danke fuer Eure Arbeit an diesem Projekt!  :clap:

---

wundervoll !

---

Ich denke man kann da auch komplett umstellen, dann muss man die Warnung halt jedes mal
wegklicken. Und zumindest Opera bietet auch die Möglichkeit, einem einzelnen Zertifikat
immer zu vertrauen, ohne dass man gleich die ganze Zertifizierungsstelle hinzufügen muss.
Also entweder generell umstellen, oder einen dicken Link namens "sicheres Einloggen"
hinzufügen. ;)

---

naja wenn man die zertifizierungsstelle hinzugefügt hat, kommt keine warnung, und es ist auch gültig.

ansonsten hab ich nun ne "fake-ie-bar" da hinzugefügt, die warnt das die Seite unverschlüsselt ist. Außerdem hab ich zu http://ca.ra-doersch.de anleitungen zum installieren der Zertifikate hinzugefügt

---
mfg
Flo

---

Bei http://www.cacert.org/ gibt es kostenlose ssl Zertifikate, ich glaube die sind sogar im forefox installiert, währ das evt was für euch?

Rene

---

Hi,
nein ist auch nirgends vorinstalliert, außerdem kriegt man (imho) nur "normale" Zertifikate, keine wildcard-zertifkate (wie hier).

---
mfg
Flo

---

Weis ich nicht, habe das selber noch nie benutzt obwohl ich da nen geausurten account habe...

---

Zitat von FloSoft:

Nervt wie doof. Gerade, wenn man als Gast nur mal ab und zu lesen will und sich das einloggen spart.
Würde es nicht reichen, die Warnung nur auf der Anmelde-Seite zu zeigen??

---

man könnte es kompromissweise so lösen dass die leiste beim runterscrollen verschwindet.
oder einfach ssl per default aktivieren...

Aber ich denke das ist Flosofts Entscheidung.

---

Zitat von FloSoft:

Bei mir reichte ein Haken bei "remember my choice for this certificate", jetzt bekomm ich keine Warnungen mehr.

Ganze Zertifizierungsstellen hinzuzufügen sehe ich als zu großes Sicherheitsrisiko.

---

joa naja, ne revoke-url ist ja auch da, also ungültige zerts werden da schon korrekt eingetragen ;)

---
mfg
Flo

---