Steinbuch Centre for Computing (SCC)

Geplante Umstellung auf reinen HTTPS-Betrieb

Zum 31.03.2020 ist geplant, die Webserver auf einen reinen HTTPS-Betrieb umzustellen, so dass die Kommunikation zwischen Browser und Server ausschließlich verschlüsselt stattfinden kann. Alle HTTP-Anfragen und veröffentlichten URLs behalten ihre Gültigkeit und werden automatisch auf HTTPS weitergeleitet.

Neue VHosts werden bereits seit dem 07.07.2020 standardmäßig als HTTPS-only angelegt. Möchten Sie Ihren Webauftritt sofort auf HTTPS-only umstellen, dann schreiben Sie an webmaster∂kit.edu.

Mögliche Probleme kann es geben, wenn Ressourcen noch mit HTTP anstatt mit HTTPS eingebunden werden. Lesen Sie dazu den Abschnitt "Vorbereitende Maßnahmen und Empfehlungen". Bilder, die nur via HTTP eingebunden werden, zeigen die Browser i.a. an, sonstige (unsichere) Ressourcen (iframe, script etc.) werden meistens geblockt. Das kann dazu führen, dass Teile Ihrer Webseiten weiß bleiben oder Funktionen den Besuchern nicht mehr zur Verfügung stehen.

Mit der Umstellung auf reinen HTTPS-Betrieb ist zu beachten, dass das alte Root-Zertifikat am 01.09.2021 abläuft (Root-Zertifikate sind in den Clients/Browsern installiert, um eine Vertrauenskette mit dem Webserverzertifikat herstellen zu können). Beim Austausch eines Root-Zertifikats können u.U. Probleme bei Betriebssystemen auftreten, die nicht mehr gewartet werden. Das neue Root-Zertifikat wird daher nicht mehr automatisch auf älteren Betriebssystemen installiert. Diese können, falls kein manuelles Update erfolgt,  dann nicht mehr auf die Webseiten zugreifen. Dies betrifft unter anderen Android-Geräte mit Versionen älter als 7.1.1.

Vorbereitende Maßnahmen und Empfehlungen

Sie sind Redakteur*in für Webseiten im OpenText WSM

  • Achten Sie darauf, ausschließlich HTTPS-Links zu verwenden.
  • Im OpenText WSM finden Sie ein rotes Warndreieck als Hinweis darauf, dass diese Seite unsichere Verbindungen für Einbindungen verwendet. Mit einem Mouse Over sehen Sie die Elemente, auf die sich diese Warnung bezieht.
  • Rotes Warndreieck: bitte passen Sie die Referenzierungen an und verwenden Sie nur noch HTTPS.

     
  • Weißes Warndreieck: dient zur Information. Verwenden Sie wenn möglich sichere Ziele (HTTPS).

     

Sie betreiben einen eigenen virtuellen Webserver oder arbeiten mit eigenen Erweiterungen

Eigene Erweiterungen sind z. B. ein Blog, Typo3 oder eine eigene Datenbankanwendung.

  • Unverschlüsselte Ressourcen (z. B. Bilder, JavaScript-Dateien,...) mit absoluter Adresse müssen mit HTTPS eingebunden werden.
  • Einen ersten Überblick über vermutlich problematische Seiten auf Ihrem Webauftritt (Login mit Webservice-Account):
    https://FQDN/global-cgi-bin/csp-stats Hier werden nur die kürzlich abgerufen Seiten protokolliert. Die Ausgabe ist jedoch mit Vorsicht zu betrachten, da sie nicht unbedingt Webseiten-Probleme zeigt, sondern auch gerne Probleme von Browser-Plugins der Besucher.
  • Einen Überblick über Seiten mit möglichen Problemen erhalten Sie über folgenden Skript-Aufruf (auf der Kommandozeile aus Ihrem Webserver-Verzeichnis):
    find . -xdev -type f \( -name \*.html -o -name \*.php -o -name \*.css \) -exec egrep -i '(<(script|link|iframe|object|audio|video)[^>]*|url\()http:' {} + (Zugang zum virtuellen Webserver)
  • Um eine Aussage über Ihre gesamte Site zu bekommen, empfehlen wir die Verwendung von Online-Tools wie beispielsweise HTTPSChecker oder Missing Padlock. Ein Vorteil von HTTPSChecker ist die Möglichkeit der lokalen Installation, um so auch Campus-only-Directories zu prüfen. Die genannten Tools haben in der kostenfreien Version eine Beschränkung der Anzahl der gescannten Seiten (Missing Padlock: 5000). Wenn Ihre Site mehr Seiten hat, empfehlen wir Ihnen die Verwendung einer unbeschränkten und damit kostenpflichtigen Version. Nur so erhalten Sie eine Aussage über Ihre gesamte Site.