HTTPS

Umstellung einer Webseite bzw. eines Forum von http auf https

Stand: 09.02.2017/gas103

Warum ist das überhaupt wichtig?
http ist ein Internetprotokoll, welches die Daten des Browsers im Internet unverschlüsselt überträgt.

Jeder benutzt heute Internetforen, Shops oder Onlinebanking wo sensible Daten wie Name, Mailadresse, Kreditkarteninformationen sowie Nutzerkennungen und Passwörter übertragen werden. Man kann also nicht sagen, dass das unwichtig ist.

Erfolgt eine "Pishinghttps://de.wikipedia.org/wiki/Phishing   
 oder "Man in the Middle Attackehttps://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
können die Daten ausgelesen und missbraucht werden.

Wie kann der User erkennen, ob er eine sichere Verbindung nutzt?
Das ist ganz leicht zu erkennen, sobald man eine Webseite aufgerufen hat, erkennt man in der Browserzeile am Kürzel http das die Verbindung unverschlüsselt ist.
Erscheint hingegen ein Schloss mit https, so kann man davon ausgehen, dass eine Verschlüsselung stattfindet.

Woran erkennt der User, dass er auf dem richtigen Server ist?
Das regelt die sogenannte Zertifizierung der Webseite.

https://www.thawte.de/resources/ssl-information-center/get-started-with-ssl/ssl-faq/

Kurz gesagt, erhält der Browser eine Zertifikat der Webseite die der User besucht hat. Über dieses eindeutige Zertifikat, dass dem Browser bekannt ist, können Webseiten auf Korrektheit geprüft werden. 

Warum ist ein Zertifikat zuverlässig - Wer prüft sowas?
https://de.wikipedia.org/wiki/Let%E2%80%99s_Encrypt

Was muss ein (Seiten-)Betreiber tun, damit seine Seite geschützt ist?
Man muss Kontakt mit dem Anbieter (Provider) seiner Seite aufnehmen. Bei guten Anbietern, kann man auf der Konsole die Webseite auf https umstellen.

Ist dort die Umstellung erfolgt, muss geklärt werden welche Software auf der Domain läuft und auch hier muss eine Anpassung erfolgen.

Wordpress
Auf der Datenbank MySQL befindet sich eine Datei "WP-OPTION". Dort ist an zwei Stellen die Adresse der Webseite eingetragen. Hier muss das http durch https ersetzt werden.

MyBB (Forensoftware)
Unter Konfiguration/Seitendetails muss die Adresse der Webseite auf https geändert werden.

Fest eingetragene Links auf Eurer Webseite sollten zumindestens mal getestet werden ob diese funktionieren. ;-)

Das wichtigste ist jetzt passiert.  ;)
Wenn Ihr nun die Adresse Eurer Webseite aufruft, landet Ihr automatisch auf der sicheren Verbindung.

Nacharbeiten:

Allerdings muss noch eine Kleinigkeit passieren, denn wenn Ihr die alte Adresse aufruft, so werdet Ihr feststellen, dass man nach wie vor an die Seite rankommt.
Dazu muss man auf dem Webserver, im sogenannten Root Verzeichnis, eine Umleitung einbauen, damit diese Anfragen auf die https Adresse weitergeleitet werden.

http://www.sysadminslife.com/linux/quicktipp-weiterleitung-redirect-von-http-auf-https-via-apache-oder-htaccess/

Dazu gibt es zwei Möglichkeiten.
Entweder arbeitet Ihr mit einer FTP Software die Euch den direkten Zugriff gibt oder Ihr habt über die Webseitenkonsole einen bequemen Zugriff auf diese.
Im Wurzelverzeichnis der Webadresse befindet sich eine Datei namens htaccess dort müsst Ihr folgendes eintragen:

<ifmodule mod_rewrite.c="">
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</ifmodule>

Damit werden Webanfragen die auf dem unverschlüsselten Port 80 landen automatisch auf den verschlüsselten Port 443 umgeleitet.