Petition: Ariva-Nutzer für SSL-Verschlüsselung
Seite 1 von 2 Neuester Beitrag: 06.08.15 14:21 | ||||
Eröffnet am: | 30.07.15 18:11 | von: potzzzblitz | Anzahl Beiträge: | 49 |
Neuester Beitrag: | 06.08.15 14:21 | von: Grinch | Leser gesamt: | 5.881 |
Forum: | Talk | Leser heute: | 4 | |
Bewertet mit: | ||||
Seite: < 1 | 2 > |
Wenn eine Website eine verschlüsselte Verbindung anbietet, stellt sie das öffentliche Zertifikat zur Verfügung. Der sich verbindende Client/Browser empfängt das Zertifikat und validiert es gewöhnlich nach einigen Gesichtspunkten:
Stimmt die Domain mit dem Zertifikat überein? Ist es noch gültig? Ist das Zertifikat von Überorganisationen valide unterzeichnet, etc...
Wenn die Prüfung gelingt, wird der Verbindungsaufbau mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssel verschlüsselt. Lesen kann den Inhalt nur derjenige, der den privaten Schlüssel besitzt (also der Server). Dadurch ist gewährleistet, dass der Inhalt für Dritte auf der Strecke zwischen Client und Server unleserlich bleibt (Angriffe mal außen vor gelassen).
Es ist von außen nur erkennbar, dass ein Computer mit der IP des Nutzers sich mit dem Server verbindet.
Im Moment ist es leider so, dass wortwörtlich jede Interaktion mit Ariva im Klartext durchs Internet posaunt wird.
Zum einen fehlt die Unterstützung für modernere Zertifikatstypen und zum anderen versteht er nicht mehr die aktuellen kryptographischen Algorithmen.
Der Server würde allenfalls auf alte, bereits als unsicher gebrandmarkte Verschlüsselung zurückfallen. Oder aber die Verbindung komplett zurückweisen.
Unser System umfasst eine Vielzahl von Komponenten, die angepasst werden müssen. Das sind u.a. dutzende Webserver und einen Loadbalancer, der die Anfragen verteilt.
Die Behandlung von SSL-Anfragen kostet mehr Rechenzeit (es muss ja alles verschlüsselt und wieder entschlüsselt werden). Das Abrufen von Webseiten auf www.ariva.de wird dadurch messbar langsamer, was wiederum eventuell einen Ausbau der Hardware erfordern würde.
Ein anderer Punkt ist dieser: Wenn eine Webseite mit HTTPS ausgeliefert wird, müssen ALLE darin enthaltenen Komponenten (Bilder, Skripte, Werbung etc) ebenfalls mit HTTPS ausgeliefert werden können, auch diejenigen, die von externen Servern kommen. Das ist momentan nicht der Fall und dann würde die Seite vom Browser nicht mit einem grünen Häkchen markiert.
Abgesehen von Eurem eigenen Content, den Ihr ja unter Kontrolle habt, liegt es also doch nur an der zugelieferten Werbung.
Wer ist da zu nennen? Ich habe mal die Startseite angeschaut.
a.twiago.com - liefert bereits über https://a.twiago.com/ aus, oder nicht?
r.ligatus.com - klappt nicht
t.qservz.com - liefert bereits über https://t.qservz.com/ aus, oder nicht?
ad.360yield.com - liefert bereits über https://ad.360yield.com/click.... aus, oder nicht?
Alle drei Betreiber haben lustigerweise selbst SSL-Websites für ihre eigene Präsenz.
Weiterhin habt Ihr Google's Doubleclick, wo ich eine baldige Umstellung auch vermute, denn Doubleclick fordert laut diesem Bericht seit dem 30. Juni SSL-Anzeigenzulieferung:
"For example, Google’s own Ad Exchange Doubleclick AdX will not accept non SSL ads after June 30th, with many more set to follow suit. The move towards SSL is occurring right now, so it’s time to get on board…"
http://blog.adform.com/adform/stay-safe-use-ssl/
Das sind nur mal ein paar Beispiele. Ich meine, Ihr habt eine riesige Auswahl im Werbemarkt und auch zahlreiche Drittanbieter eingebunden. Irgenwann kann man ja mal eine Positivselektierung machen und sich nur noch auf Anbieter konzentrieren, die den Datenschutz der Menschen zumindest ein wenig respektieren.
Dass SSL ein paar Prozent mehr Rechnerkapazität benötigt, wissen wir ja alle, aber ist es das nicht wert? Das Thema der Datensicherheit ist doch seit vielen Jahren bekannt. Soll man nur billig an die Werbeindustrie verkauft werden, oder ist der Anspruch nicht eher, alle Seiten zu optimieren?
Ich finde, Ihr müsst dringend mit der Zeit gehen. Es hat sich sehr lange nichts am Grundaufbau Arivas geändert. Ich kann ja "never touch a running system" nachvollziehen, aber Ihr liefert im Jahr 2015 unverschlüsselte HTML4-Seiten aus, die mit Werbung und Trackern zugekleistert sind. Tut mir leid, dass ich das so frech formuliere, aber das ist eine strategische "Bequemlichkeit", die man sich nur erlauben kann, weil man relativ wenig Konkurrenz in dem Bereich hat, die es auch nicht besser macht.
wer sollte den Salome sein ??
Ich darf doch bitten !
http://www.welt.de/vermischtes/specials/...-Johannes-dem-Taeufer.html
Wir bleiben an dem Thema dran, aber kurzfristig ist mit einer Umsetzung aus den beiden weiter oben genannten Gründen nicht zu erwarten.