If you enable Cloudflare for your domain name and set the SSL settings to Flexible, Full or Full (Strict) then the connection between the visitor and the Cloudflare servers will be encrypted. The encryption is done via a Comodo multidomain SSL which the Cloudflare service will automatically issue for your domain name.
Since your visitors are actually connecting to Cloudflare servers and not to your hosting account server, it is normal for the Comodo SSL to show in their browser and not the one you may have on your webhost server.
Siehst Du doch selbst, dass das nicht ganz ohne ist. Warum also Lets Encrypt nutzen wenn es nicht "out of the box" funktioniert? Hier geht es offensichtlich nicht darum, mal eben einen Webserver auf einem Raspberry Pi abzusichern. Sonst wäre Cloudflare nicht im Spiel.
Endlich kann die CIA nicht mehr vorab lesen, was ich posten möchte.
Ich wäre mir nicht so sicher, ihr nutzt leider Cloudflare und das ist schon an sich quasi ein MIM (revers Proxy) Das zertifikat ist ja auch von XXXX.cloudflaressl.com ausgestellt
Aber immerhin ist jetzt die Verbindung bis zum Cloudflare node gut gesichert und man kann offenes Wlan nutzen! Vielen Dank auch von mir @Zam
Siehst Du doch selbst, dass das nicht ganz ohne ist. Warum also Lets Encrypt nutzen wenn es nicht "out of the box" funktioniert? Hier geht es offensichtlich nicht darum, mal eben einen Webserver auf einem Raspberry Pi abzusichern. Sonst wäre Cloudflare nicht im Spiel.
Bitte nehmt doch die TLS 1.0 Unterstützung raus, selbst in Unternehmensanwendungen wird das nicht mehr unterstützt. Auch die Cipher Suits sind alles andere als optimal.
Hier mal ne kleine Hilfe: Generate Mozilla Security Recommended Web Server Configuration Files
Die SSL-Konfiguration für die Edge-Server obliegt CloudFlare, da haben wir keine Einflussmöglichkeit, die richtet sich allerdings grundsätzlich nach best practice. Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0.
Auch die Konfiguration unserer Origin-Server (Traffic von uns zu CloudFlare) richtet sich danach - es gibt leider noch ein paar Bots und Crawler, die wir aus Gründen dulden müssen; als News-Webseite mit eher wenig sensiblem Traffic (wir sind weder eine Bank, noch WikiLeaks, wickeln auch keinerlei Zahlungsverkehr über unsere eigenen Hosts ab) wollen wir außerdem ältere Clients nicht unnötigerweise aussperren. Die TLS 1.3 Suites sind alle sicher, bei TLS 1.2 haben wir eine Präferenz nach Sicherheit und Performance gesetzt - die erste schwächere Suite kommt erst an dritter Stelle, so ziemlich alle für normale User relevanten Clients werden sicher schon vorher bedient, unsichere Suites sind allesamt deaktiviert.
Viele Grüße
Markus
Zur Ergänzung: SSL Server Test: www.pcgameshardware.de (Powered by Qualys SSL Labs) - gibt uns ein A-Rating (wie auch unseren Kollegen bei golem.de), insofern denke ich, dass wir (bzw. CloudFlare für uns) die Hausaufgaben hinsichtlich der Ciphers soweit zufriedenstellend gemacht haben. Wir werden nach erfolgreichem Abschluss der Testphase dann auch HSTS anschalten, was die allgemeine Sicherheit der Verbindung noch weiter erhöht.
Noch eine Ergänzung zur Verteilung der TLS-Versionen bei pcgameshardware.de über die letzten 24 Stunden:
TLS 1.0: 27.291 Requests
TLS 1.1: 3.580 Requests
TLS 1.2: 4.950.228 Requests
TLS 1.3: 10.554.392 Requests
0,18% sind vielleicht nicht viel, aber dennoch ein Grund, das nicht abzuschalten.
Aber gut ihr seid auf anderer Seite auf Crawler und Bots angewiesen.. denn nur davon können die 27.291 Requests kommen ^^
und hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
Das klebt als Signatur am HMAC mit dran.hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
Wir haben ein A+ Rating, ok wir haben auch höhere Ansprüche an Sicherheit.