• Hallo Gast,

    du hast Fragen zum PCGH-Abo oder zur Bestellung eines (Sonder)hefts von PC Games Hardware? Dann wirf einen Blick auf unser PCGH Abo-FAQ mit Antworten zu den wichtigsten Fragen. Hilfreich bei der Suche nach dem nächstgelegenen Händler, bei dem die aktuelle PC Games Hardware ausliegt, ist die Website Mykiosk. Gib dort deine Postleitzahl und PC Games Hardware (Magazin/DVD/Spezial/Sonderheft) in die Suchfelder ein und dir werden die Verkaufsstellen in deiner Nähe aufgezeigt. Wenn du PCGH digital (über App, Tablet, Smartphone oder im Webbrowser) lesen willst, haben wir eine entsprechende Anleitung für dich zusammengestellt.

PCGH.de mit HTTPS: SSL-Umstellung noch heute

Na, weil Cloudflare und so.... :schief:

If you enable Cloudflare for your domain name and set the SSL settings to Flexible, Full or Full (Strict) then the connection between the visitor and the Cloudflare servers will be encrypted. The encryption is done via a Comodo multidomain SSL which the Cloudflare service will automatically issue for your domain name.

Since your visitors are actually connecting to Cloudflare servers and not to your hosting account server, it is normal for the Comodo SSL to show in their browser and not the one you may have on your webhost server.
Zum Vergrößern anklicken....

@Topic:
Super Sache, schön das ihr eine Lösung gefunden habt. Scheint ja bisher alles zu fluppen...props an das Team. Danke für eure Mühe! :daumen:
 
Zuletzt bearbeitet:
@xNeo92x: Einfach unnötig diesen zusätzlichen Aufwand zu betreiben wenn der CDN Provider den Service inkl. zusätzlicher Features gleich kostenlos mit anbietet! Von welcher legitimen und vertrauenswürdigen CA das Zertifikat nun beglaubigt wird ist doch völlig bums. ¯\_(ツ)_/¯
 
Zuletzt bearbeitet:
PCGH_Torsten schrieb:
Endlich kann die CIA nicht mehr vorab lesen, was ich posten möchte.
Zum Vergrößern anklicken....

Ich wäre mir nicht so sicher, ihr nutzt leider Cloudflare und das ist schon an sich quasi ein MIM (revers Proxy) Das zertifikat ist ja auch von XXXX.cloudflaressl.com ausgestellt ;)
Aber immerhin ist jetzt die Verbindung bis zum Cloudflare node gut gesichert und man kann offenes Wlan nutzen! Vielen Dank auch von mir @Zam

EDIT: ch47 hat mich schon korrigiert, da PCGH das Cloudflarenetwerk nutzt, hat ihr node ein Zertifikat von Comodo - sorry hab das übersehen.
 
Zuletzt bearbeitet:
razzor1984 schrieb:
Ich wäre mir nicht so sicher, ihr nutzt leider Cloudflare und das ist schon an sich quasi ein MIM (revers Proxy) Das zertifikat ist ja auch von XXXX.cloudflaressl.com ausgestellt ;)
Aber immerhin ist jetzt die Verbindung bis zum Cloudflare node gut gesichert und man kann offenes Wlan nutzen! Vielen Dank auch von mir @Zam
Zum Vergrößern anklicken....

Das Zertifikat ist VON Comodo ausgestellt, FÜR ssl415893.cloudflaressl.com + *.pcgameshardware.com und pcgameshardware.com.

Die Kosten für Wildcard hätte ich mir gespart, ein SAN reicht ja aber vielleicht gehts bei Cloudflare auch nicht anders.



Bitte nehmt doch die TLS 1.0 Unterstützung raus, selbst in Unternehmensanwendungen wird das nicht mehr unterstützt. Auch die Cipher Suits sind alles andere als optimal.

Hier mal ne kleine Hilfe: Generate Mozilla Security Recommended Web Server Configuration Files
 
Ihr dürft nicht vergessen, und das wurde auch erwähnt, bei jeder Anpassung dieser Art geht es bei uns nicht nur um PCGH. :)
 
keinnick schrieb:
Siehst Du doch selbst, dass das nicht ganz ohne ist. Warum also Lets Encrypt nutzen wenn es nicht "out of the box" funktioniert? Hier geht es offensichtlich nicht darum, mal eben einen Webserver auf einem Raspberry Pi abzusichern. Sonst wäre Cloudflare nicht im Spiel.
Zum Vergrößern anklicken....

Tatsächlich nutzen wir auf unseren Origin-Servern LetsEncrypt - auch die Verbindung vom Origin zum CloudFlare-CDN ist somit also vollständig verschlüsselt. Um die CloudFlare-Zertifikate aber durch LetsEncrypt zu ersetzen, so dass die Clients direkt das LE-Cert zu sehen bekommen, müssten wir regelmäßig das erneuerte LE-Zertifikat auf CloudFlare ersetzen - das ist eine zusätzliche Fehlerquelle, erhöht die Komplexität unnötigerweise und bringt keinerlei Sicherheitsgewinn.

Hinzu kommt, dass die Nutzung der CloudFlare-Certs auch einen kleinen Geschwindigkeitsvorteil für den ziemlich teuren TLS-Handshake mit sich bringt - da ein wirklich gewaltiger Anteil des Internets mittlerweile durch CloudFlare läuft, besteht eine gute Chance, dass ein Client den hinteren Teil der Cert-Chain bereits kürzlich geprüft hat, zudem ist die Infrastruktur der CloudFlare-Zertifizierungschain besser ausgebaut, und somit kann die Verbindung schneller aufgebaut werden. In einem Geschwindigkeitstest haben wir festgestellt, dass initiale Aufrufe über TLS auf einen unserer Hosts mit LetsEncrypt-Zertifikat direkt ohne CloudFlare je nach Geolocation bis zu 180ms langsamer sind als mit CloudFlare-Cert und trotz des Umwegs über den CloudFlare-Reverse-Proxy. Nicht unbedingt intuitiv, da auch LetsEncrypt-Zertifikate weit verbreitet sind, aber zumindest bei unserem Test spricht einiges für CloudFlare.
 
cht47 schrieb:
Bitte nehmt doch die TLS 1.0 Unterstützung raus, selbst in Unternehmensanwendungen wird das nicht mehr unterstützt. Auch die Cipher Suits sind alles andere als optimal.

Hier mal ne kleine Hilfe: Generate Mozilla Security Recommended Web Server Configuration Files
Zum Vergrößern anklicken....

Die SSL-Konfiguration für die Edge-Server obliegt CloudFlare, da haben wir keine Einflussmöglichkeit, die richtet sich allerdings grundsätzlich nach best practice. Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0.

Auch die Konfiguration unserer Origin-Server (Traffic von uns zu CloudFlare) richtet sich danach - es gibt leider noch ein paar Bots und Crawler, die wir aus Gründen dulden müssen; als News-Webseite mit eher wenig sensiblem Traffic (wir sind weder eine Bank, noch WikiLeaks, wickeln auch keinerlei Zahlungsverkehr über unsere eigenen Hosts ab) wollen wir außerdem ältere Clients nicht unnötigerweise aussperren. Die TLS 1.3 Suites sind alle sicher, bei TLS 1.2 haben wir eine Präferenz nach Sicherheit und Performance gesetzt - die erste schwächere Suite kommt erst an dritter Stelle, so ziemlich alle für normale User relevanten Clients werden sicher schon vorher bedient, unsichere Suites sind allesamt deaktiviert.

Viele Grüße

Markus

Zur Ergänzung: SSL Server Test: www.pcgameshardware.de (Powered by Qualys SSL Labs) - gibt uns ein A-Rating (wie auch unseren Kollegen bei golem.de), insofern denke ich, dass wir (bzw. CloudFlare für uns) die Hausaufgaben hinsichtlich der Ciphers soweit zufriedenstellend gemacht haben. Wir werden nach erfolgreichem Abschluss der Testphase dann auch HSTS anschalten, was die allgemeine Sicherheit der Verbindung noch weiter erhöht.

Noch eine Ergänzung zur Verteilung der TLS-Versionen bei pcgameshardware.de über die letzten 24 Stunden:
TLS 1.0: 27.291 Requests
TLS 1.1: 3.580 Requests
TLS 1.2: 4.950.228 Requests
TLS 1.3: 10.554.392 Requests

0,18% sind vielleicht nicht viel, aber dennoch ein Grund, das nicht abzuschalten.
 
Zuletzt bearbeitet:
Markus Wollny schrieb:
Die SSL-Konfiguration für die Edge-Server obliegt CloudFlare, da haben wir keine Einflussmöglichkeit, die richtet sich allerdings grundsätzlich nach best practice. Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0.

Auch die Konfiguration unserer Origin-Server (Traffic von uns zu CloudFlare) richtet sich danach - es gibt leider noch ein paar Bots und Crawler, die wir aus Gründen dulden müssen; als News-Webseite mit eher wenig sensiblem Traffic (wir sind weder eine Bank, noch WikiLeaks, wickeln auch keinerlei Zahlungsverkehr über unsere eigenen Hosts ab) wollen wir außerdem ältere Clients nicht unnötigerweise aussperren. Die TLS 1.3 Suites sind alle sicher, bei TLS 1.2 haben wir eine Präferenz nach Sicherheit und Performance gesetzt - die erste schwächere Suite kommt erst an dritter Stelle, so ziemlich alle für normale User relevanten Clients werden sicher schon vorher bedient, unsichere Suites sind allesamt deaktiviert.

Viele Grüße

Markus

Zur Ergänzung: SSL Server Test: www.pcgameshardware.de (Powered by Qualys SSL Labs) - gibt uns ein A-Rating (wie auch unseren Kollegen bei golem.de), insofern denke ich, dass wir (bzw. CloudFlare für uns) die Hausaufgaben hinsichtlich der Ciphers soweit zufriedenstellend gemacht haben. Wir werden nach erfolgreichem Abschluss der Testphase dann auch HSTS anschalten, was die allgemeine Sicherheit der Verbindung noch weiter erhöht.

Noch eine Ergänzung zur Verteilung der TLS-Versionen bei pcgameshardware.de über die letzten 24 Stunden:
TLS 1.0: 27.291 Requests
TLS 1.1: 3.580 Requests
TLS 1.2: 4.950.228 Requests
TLS 1.3: 10.554.392 Requests

0,18% sind vielleicht nicht viel, aber dennoch ein Grund, das nicht abzuschalten.
Zum Vergrößern anklicken....

"Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0. " Schlechteste Beispiele, Deutsche Bank ist ja... Wikipedia nun ja.. Mediawiki steckt ja auch noch in 2005 fest.

Wir haben ein A+ Rating, ok wir haben auch höhere Ansprüche an Sicherheit. Allerdings haben wir nicht mal mehr TLS 1.1 aktiv und das obwohl viele Kunden noch den IE nutzen. Best Practice würde ich TLS 1.0 aber wirklich nicht nennen.

Can I use... Support tables for HTML5, CSS3, etc

Aber gut ihr seid auf anderer Seite auf Crawler und Bots angewiesen.. denn nur davon können die 27.291 Requests kommen ^^

Ein A Rating ist aber auch schon Klasse!

Freut mich auf jeden Fall das die Verschlüsselung funktioniert und hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News 3 Monate PCGH geschenkt: Jetzt abonnieren und 25 % sparen
Antworten
7
Aufrufe
1K
Quake2008
Quake2008
PCGH-Redaktion
News GTA 6: Unschöne Gerüchte zum Zeitplan von Rockstar
Antworten
12
Aufrufe
726
rouki999
R
PCGH-Redaktion
Werbung NZXT H7 Flow: Beliebtes Gehäuse nur noch heute günstig wie nie?
Antworten
0
Aufrufe
153
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Halber "Edge-Zwang" bei Windows? Treiber blockiert Browserumstellung durch Software
Antworten
6
Aufrufe
628
RoyaL375
RoyaL375
PCGH-Redaktion
News PCGH.de mit neuem Seitenheader und Ausklapp-Menüs
2
Antworten
33
Aufrufe
2K
BikeRider
BikeRider
Oben Unten
Zurück