Neue Fehlermeldung: Diese Seite ist nicht sicher...

heppo

heppo

Beiträge
436
Hi Reinhard,

seit gestern bekomme ich beim Anmelden im Forum immer den Hinweis (vom Firefox):
'Diese Seite ist nicht sicher...'

Ich benutze denselben PC, dieselbe Software, denselben Firefox, den gleichen Link zum Forum wie eh und jeh.

Habt ihr was verändert?

Danke + Gruß,
heppo
 
Das liegt daran, dass Du offenbar versuchst, über HTTPS mit SSL-Zertifizierung auf die Website zuzugreifen.

Reinhard hat das SSL-Zertifikat von seinem Hoster nicht durch ein eigenes (für die Forums-URL ausgestelltes) ersetzt, so dass das ausgestellte "universelle" your-server.de Zertifikat nicht die Velomobilforum.de - URL aufweist. Auf gut Deutsch: Der HTTPS-Zugriff über SSL-Zertifikat ist nicht richtig konfiguriert.

Daher einfach das HTTPS://www.velomobilforum.de durch HTTP://www.velomobilforum.de ersetzen oder (was funktioniert, jedoch nicht sinngemäß ist, da ein "broken" Zertifikat davon nicht "konfigurierter" wird) eine Exception/Ausnahme hinzufügen (Zertifikat unter "Erweitert" herunterladen und dem Browser als Sicherheits-Ausnahmeregelung hinzufügen)..

Viele Grüße
Wolf
 
Anderer Browser?

Es gibt noch andere Gründe, wieso Firefox ähnliche Warnungen ausspuckt, doch in der oben genannten Formulierung ist der Rückschluss in Bezug auf HTTPS-Zugriffsversuche üblich.

Viele Grüße
Wolf
 
Ich habe hier noch nix mit HTTPS konfiguriert, insofern gibt es auch keine falsche Konfiguration ... Das die Meldung beim Firefox und ggfs. auch Chrome kommt sollte doch bekannt sein, weil die Brower-Hersteller seit Anfang des Jahres HTTPS-Seiten bevorzugen und das ggfs. auch kundtun ...

Also keine Aufregung, die Seite ist nicht sicherer oder unsicherer wie vorher, der Browser meint das nur bewerten zu müssen ...

Letztendlich werden in den kommenden Wochen alle meine Foren auf HTTPS umgestellt, nur ist das mit einem simplen Zertifikat nicht getan, ich muss bspw. auch alle internen Links in den Beiträgen etc. entsprechend umstellen und das geht nicht "mal eben so".
 
Hallo Reinhard,

Reinhard schrieb:
Ich habe hier noch nix mit HTTPS konfiguriert, insofern gibt es auch keine falsche Konfiguration ..
Zum Vergrößern anklicken....

wie Martin D. schreibt, schon richtig - dennoch bietet Dein Hoster ein Standard-SSL-Zertifikat an, welches nicht zur URL passt und aufgrund der fehlenden weiteren Konfiguration auch nicht funktional ist. Wenn ein Browser/Plugin demnach versucht, auf "https" zu connecten, um den Nutzer auf die "sicherere" Alternative in Form einer SSL-Verbindung zu "zwingen", dann kommt das bei raus.

Reinhard schrieb:
Also keine Aufregung, die Seite ist nicht sicherer oder unsicherer wie vorher, der Browser meint das nur bewerten zu müssen ...
Zum Vergrößern anklicken....

das liegt häufig daran, dass ganz neue Browserversionen teilweise versuchen, eine HTTPS-Verbindung aufzubauen (auch, wenn einer "http" davorsetzt). Einige Plugins begehen diese "Eigenständigkeit" ebenfalls.. (es gibt sogar Plugins, welche extra hierfür gecodet werden). Das wird den Nutzern dann als "Sicherheit" verkauft.. dabei sind in fast allen der relevanten Fälle schon seit mehreren Jahren auf Loginseiten u.Ä. SSL-Verbindungen im Einsatz.

Reinhard schrieb:
Letztendlich werden in den kommenden Wochen alle meine Foren auf HTTPS umgestellt, nur ist das mit einem simplen Zertifikat nicht getan, ich muss bspw. auch alle internen Links in den Beiträgen etc. entsprechend umstellen und das geht nicht "mal eben so".
Zum Vergrößern anklicken....

Ohje.. Ich würde die "alten" Links in Beiträgen belassen, bevor das evtl. versehentlich Fremdlinks anpasst, welche dann nicht mehr funktionieren. Solange Du die Links der Forumbasis selbst, ergo just in time generierte oder hardcoded Links anpasst, würde jeder Wechsel/nicht in Beiträgen geschriebene Link den Nutzer automatisch wieder zu HTTPS führen (nachdem sie den betroffenen "http"-Thread über einen der Links verlassen). Dass einige aufgerufene Links weiterhin auf HTTP-URLs des Forums verlinken.. wurscht. Wenn in all den Non-SSL HTTP-Jahren keine Probleme hieraus entstanden (z.B. Man-in-the-middle-attacks auf die Logindaten, welche nicht via SSL transmitted werden, Spoofing, Redirects, ..), ist die Umstellung "aller" internen Links auch kein kritisches Kriterium meiner Meinung nach. Schön zu haben, aber.. ;)

Viele Grüße
Wolf
 
Das sind viele hier.. :whistle: Hauptberuflich bin ich mittlerweile autonomer Hobbyist.

Viele Grüße
Wolf
 
Uiuiui,

was ihr so alles wisst!

Also: Ich mache mir für das Forum KEINE Gedanken wegen Missbrauchs, ich wollte einfach nur schildern, was sich bei mir geändert hat (eigentlich in der Erwartung, dass ich mal wieder zu blöd war, irgendwo ein Häkchen oder so zu setzen, was 90% aller Leute anscheinend vorab aus angeborenem Wissen beziehen ;-)

@Wolf: Mit "http" anstelle von "https" klappts bei mir auch nicht. Aber ich kann durchaus mir dieser Fehlermeldung leben, bringt mir keine schlaflosen Nächte:D

"heppo" muss eigentlich niemand in "" setzten, mindestens die Hälfte meiner Bekannten nennt mich so, kommt von meinem Nachnamen "Hepp"...

Bleibt entspannt, alles gut,
heppo

P.S.:
Meine "Computerzeiten" waren DEC mit VMS - ist zwar lange vorbei, aber ich liebe es immer noch und werde mich daher mit "MickyMaus"Systemen wohl nie richtig anfreunden können...

P.P.S:
Um Gottes willen, kriegt das blos nicht in den falschen Hals:oops:
 
Auch ich bin mit meinen nun 72 Jahren, bei meinem lesen der 11 Beiträgen zu keinen schlüssigen Ergebnis gekommen, ob ich alle SSL-http-https-Verbindungen habe? bin etwas verwirrt (n), ich würde aber mit sponsern(y):D.
Ich will ja nur lesen.
VG Norbert
 
Hallo Nobbi,

Nobbi schrieb:
.. dann meckern die Browser beim Klicken auf diese Links, dass man den sicheren Bereich verläßt ;).
Zum Vergrößern anklicken....

das hängt u.A. davon ab, wie der Wechsel vorgenommen wird. Beispiel: eBay.de wechselt bei LogIn-Seiten auf HTTPS-Seiten, überträgt die eingegebenen Datenfelder ebenfalls via HTTPS und wechselt dann zurück auf HTTP-"Shopping". Ja, ich kontrolliere das HTTPS-Zertifikat samt Herausgeber bei jedem Wechsel und jedem Aufruf. :whistle:

Bei PayPal ähnlich: Einige der Werbeeinblendungs-Zwischenseiten (welche z.B. nach dem LogIn geladen werden, teilweise auch nach dem LogOut) sind durchaus HTTP-Verbindungen, während alle Oberflächen-/Login-/Datenrelevante Seiten über HTTPS laufen (und zwar komplett..).

Eine Ausnahme stellen Zahlungsfenster dar, welche von Shops zum Abschluss des Bezahlvorgangs aufgerufen werden: Dort erfolgt ein Wechsel zur HTTPS-Verbindung auf PayPal.com direkt, jedoch wird das oben sichtbare Bild/Logo des Shops teilweise über eine zweite (Shop-HTTPS-), teilweise über keine HTTPS-Verbindung aufgerufen. Gerade IFrames stellen häufiger auch Sprünge zu unverschlüsselten HTTP-Verbindungen dar. Das wird dann als "teilweise unverschlüsselt" im Browser angezeigt (bei einigen Browsern nur, wenn das jeweilige Infosymbol auch angeklickt wird).

Nobbi schrieb:
Vieleicht sollten wir mal zusammenlegen und @Reinhard ein gültiges SSL-Zertifikat sponsoren :)
Zum Vergrößern anklicken....

Lustige Idee. (y) Allerdings ist es mit dem Zertifikat nicht getan und der Aufwand der sauberen und möglichst warnmeldungsfreien (für die Nutzer) Umstellung will auch erst einmal gestemmt werden..

Hallo Norbert,

merlin7 schrieb:
.. ob ich alle SSL-http-https-Verbindungen habe?
Zum Vergrößern anklicken....

hier ist es irrelevant, das Forum läuft momentan (noch) über HTTP. :) Du kannst einfach eine Ausnahme hinzufügen (müsste unten rechts einen Knopf hierzu geben). Diese Überprüfungen laufen partiell über den Browser selbst, partiell über White-/Blacklistanbieter verschiedenster Art. Wenn demnach velomobilforum.de unsinnigerweise als "nicht sichere" Webseite eingestuft wird (von Dritten), erhält jeder Browsernutzer, dessen Browser diese Überprüfung durchführt (was sich deaktivieren lässt, für Standardnutzer würde ich jedoch empfehlen, es aktiviert zu belassen, da es vor Phishing- und gehackten Seiten sowie vor Tippfehlern, welche zu solchen führen würden, durchaus etwas schützen kann), diese Warnung angezeigt.

Hallo Gerhard,

Gerhard Naujok schrieb:
Ich erhalte neuerdings bei der Anmeldung zum Velomobilforum von Firefox die Warnung, daß die Seite https://www.velomobilforum.de/forum/index.php eine unsichere Webseite ist.
Zum Vergrößern anklicken....

bitte eine Ausnahme hinzufügen.. ist das gleiche Spiel. Da sich an Velomobilforum.de selbst nichts datenrelevantes geändert hat, welches die Daten plötzlich über SSL-Zertifikate an Drittanbieterseiten weiterleiten würde o.Ä., gehe ich von falscher Einstufung seitens des Blacklist/Whitelistanbieters aus..

Viele Grüße
Wolf
 
Hallo Reinhard,

ach, die Art von Warnung, welche rein bei Passworteingaben auftritt? Die kann einfach ignoriert werden.. Ich ging von einer zu bestätigenden Warnmeldung aus ("Als Betrugsversuch gemeldete Website!" resp. "Als attackierend gemeldete Website!"), welche in Abhängigkeit von den halbstündlichen serverbezogenen Listenupdates aktualisiert werden.

Wen diese Art von Warnung stört (bei unverschlüsselt übertragenen Passwortfeld-/Datenfeldeingaben), der kann sie auch deaktivieren:
  1. Neues Fenster, in die Adressleiste "about:config" eingeben (ohne "") und bestätigen. Evtl. die Sicherheitsabfrage / "Dies kann zu Schaden führen, eigene Verantwortung, blah blah" bestätigen und weiter..
  2. In der Eingabezeile oben eingeben: insecure_field_warning.contextual.enabled
  3. Er findet automatisch eine Einstellungsmöglichkeit, welche auf "true" steht. Doppelt draufklicken, nun steht sie auf "false"..
  4. Seite schließen, keine Warnungen bei unverschlüsselt zu übertragenden Eingabefeldern poppen mehr auf..

Muss allerdings jeder für sich entscheiden, ob er selbst darauf achten kann, wo er Logindaten eingibt und ob diese verschlüsselt über HTTPS/SSL oder unverschlüsselt übertragen werden.. Ansonsten bei Velomobilforum.de ignorieren und gut ist..

Viele Grüße
Wolf
 
Oben Neue Beiträge
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten