Ssl

**goth** · 20.11.2002, 17:49

Der Server ist in diesem Falle natürlich kostenlos ... allerdings benötigt man für eine professionelle Anwendung ein bestätigtes oder Zertifikat ... und das kostet halt Geld.

**LazyLow** · 21.11.2002, 08:27

Und was muss ich dann "programmieren"? Oder stimmt das, dass das SSL auf dem Webserver installiert ist und man später nur noch die Seite per https://... aufrufen muss?
Wird dann das SSL selbst aktiv?
Oder muss der Programmierer noch irgendwas spezielles in die Seiten implementieren?

**MoRtAlAn** · 21.11.2002, 08:31

nein, du mußt nichts mehr programmieren, höchstens noch links etc. darauf abstimmen... ansonsten verbindest du einfach auf https://...

gruss

**Wotan** · 21.11.2002, 08:33

Dein Provider muss für dich das SSL-Zertifikat beantragen und dann diese Zertifikat im deinem Apache anmelden. Sonst geht es nicht. Das SSL-Zertifkat ist auch nur ein Jahr gültig, das heisst es muss jedes Jahr erneurt werden.

Du selber kannst das nicht selber machen. Da in die Config von deiner Webserver eingeriffen werden muss.

Open-SSL ist zwar auch ein Schutz, aber es ist halt nur für den Internen gebrauch zur Configuration des Apache mit Webmin gedacht. Also nicht dafür, das du Kreditkarten-Informationen des User sicher verschlüßeln kannst.

Kosten Punkt für SSL ca. 199.00€ im Jahr, von Provider zu Provider unterschiedlich.

**LazyLow** · 22.11.2002, 08:32

Da geht es auch nur darum, dass relativ unwichtige Passwörter geschützt werden sollen.
Habe gelesen, dass die Passwortübertragung bei htaccess im Basuc-Mode unverschlüsselt ist. Kann man da in einen andern Mode stellen, und es ist dann eine verschlüsselte Übertragung.
Oder reicht es SSL zu installieren? Verschlüsselt SSL auch schon die Passwortabfrage von htaccess?

SSL muss ja nur auf dem Server installiert werden. Der Client braucht ja keine extra Einstellungen vorzunehmen. Wie entschlüsselt er das dann wieder?

**Wotan** · 22.11.2002, 10:07

Wenn du das password-Feld benutzt und es mit der htaccess vergleichst geht es sowieso nicht.

In der htpasswd steht das Passwort verschlüsselt drin.
Um es zuvergleichen musst du es erstmal selber verschlüsseln mit:

PHP-Code:


$password = crypt($password);

sonst kannst du es nicht vergleichen.

**LazyLow** · 22.11.2002, 10:24

War vielleicht etwas konfus vorher. Ich probiere es nochmal.

Wenn ein Verzeichnis durch htaccess geschützt ist, dann erscheint bei einer http-Anfrage die Username/Passwort-Abfrage. Die Übertragung des dort vom User einegegebenen Passwortes ist nicht verschlüsselt, sondern nur ganz einfach codiert.

Wenn ich jetzt eine verschlüsselte Verbindung habe (mit SSL), ist dann nur die Übermittlung der Seite und seiner Daten verschlüsselt, oder auch schon die Passworteingabe bzw. -abfrage von htaccess?

Die zweite Frage war, ob für die Einrichtung einer verschlüsselten Übertragung nur der Webserver konfiguriert werden muss, oder ob auch der Client irgendwelche Einstallungen vornehmen muss.

**Wotan** · 22.11.2002, 10:32

Original geschrieben von LazyLow
War vielleicht etwas konfus vorher. Ich probiere es nochmal.

Wenn ein Verzeichnis durch htaccess geschützt ist, dann erscheint bei einer http-Anfrage die Username/Passwort-Abfrage. Die Übertragung des dort vom User einegegebenen Passwortes ist nicht verschlüsselt, sondern nur ganz einfach codiert.

Wenn ich jetzt eine verschlüsselte Verbindung habe (mit SSL), ist dann nur die Übermittlung der Seite und seiner Daten verschlüsselt, oder auch schon die Passworteingabe bzw. -abfrage von htaccess?

Auch schon die Passwortabfrage. Aber wozu? Du sagst es sind unwichtige Passwörter.

Die zweite Frage war, ob für die Einrichtung einer verschlüsselten Übertragung nur der Webserver konfiguriert werden muss, oder ob auch der Client irgendwelche Einstallungen vornehmen muss.

Der Client bekommt davon nichts mit. Deswegen ja acuh das SSL-Zertifikat. Ansonsten bekommt er den Hinweis das ein nicht prüfbares Zeritfikat benutzt wird.

**MoRtAlAn** · 22.11.2002, 10:32

wenn du per SSL überträgst, ist alles verschlüsselt!

der Webserver muß dafür konfiguriert sein, bzw. du benötigst ein gültiges Zertifikat! Wenn du das alles hast, geht es auch schon.
Vom Browser ist es auch abhängig, er muß die Daten ja wieder entschlüsseln. Das machen eigentlich alle Browser (IE, NS, Opera), wie stark die Verschlüsselung sein darf, kannst du im Browser erfahren:

? > info > Verschlüsselungsstärke (im IE)

gruss

**LazyLow** · 22.11.2002, 10:50

Danke, das hat mir jetzt weitergeholfen! Ich glaub jetzt habe ich das gut verstanden mit htaccess und SSL.

@Wotan: Das sind relativ unwichtige Daten, die nachher übertragen werden. Ein Passwort ist meiner Meinung nach nie "unwichtig". Hatte ich wieder mal einen Scheiß geschrieben vorher. Außerdem gings mir darum das Prinzip zu verstehen. Und das denke ich habe ich jetzt verstanden.

**Wotan** · 22.11.2002, 10:52

Ist schon wieder geholfen zuhaben.

**Metallica** · 22.11.2002, 10:58

Wotan hilft andauern.

ein Lob an Wotan

ps: jetzt bin ich übrigens auch g'scheiter geworden!
pps: wertvoller beitrag!

**Wotan** · 22.11.2002, 11:02

Dann gib ihm doch 5 Sterne

**Metallica** · 22.11.2002, 11:13

wenn du mir sagst wie?

Ssl

Ssl

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Wird geladen... Bitte warte.

Ssl

Ssl

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar