Heimlich, still und leise haben wir am 1. März 2017 unsere gesamte Webseite auf TLS-verschlüsselte Verbindungen umgestellt (umgangssprachlich auch “SSL-gesichert” genannt). Damit wollen wir die sinnvollen Bestrebungen unterstützen, den Datenverkehr im Netz sicherer zu machen.
Tatsächlich war die Umstellung recht einfach, daher geben wir im Folgenden einen Überblick, was wir getan haben.
Zunächst braucht es für TLS ein Server-Zertifikat. Im Hintergrund hatten wir Teile unserer Webseite schon seit mehreren Jahren verschlüsselt bereitgestellt, nämlich die, auf denen tatsächlich sensible Daten durch die Besucher einzugeben waren. Anfangs nutzten wir dafür ein Zertifikat von Digicert, seit einiger Zeit aber sind wir auf die kostenlosen und sehr empfehlenswerten Zertifikate der Initiative Let’s Encrypt umgestiegen. Diese einzubinden, ist bei unserem Provider ausgesprochen simpel zu bewerkstelligen.
An der Gesamtverschlüsselung der Seite hinderte uns zunächst noch der Umstand, dass viele unserer Beiträge Daten aus anderen Quellen einbinden – vor allem Bilder, aber hier und da auch Videos. Wenn die URLs dieser externen Daten nicht mit “https” beginnen, warnen Webbrowser vor nicht sicheren Verbindungen. Völlig zu Recht, auch wenn das Risiko bei Bildern und Videos nahe Null ist. Dies wollten wir also zunächst beheben.
Auch dieser Schritt stellte sich tatsächlich als weit weniger aufwändig heraus als befürchtet. Mithilfe eines Datenbank-Backups konnten wir alle Artikel überprüfen und so identifizieren, welche Änderungen nötig waren. In unserem Fall beschränkte sich das auf leicht identifizierbare Einträge: Sowohl Bilder als auch Videos werden mit HTML-Tags eingebunden, die den Ziel-URL mit dem Attribut “src” angeben, beispielsweise:
<img src=“http://server.tld/pfad/zum/bild.jpg“ />
So reichte ein Regulärer Ausdruck, um die relevanten Stellen im Text-Dump der Datenbank zu identifizieren (der Ausdruck lautete übrigens src=“.*\“). Die Fundstellen fügten wir in eine Excel-Tabelle ein und isolierten mit einer kleinen Formel den jeweiligen Hostnamen: =TEIL(A2;1;FINDEN(„/“;A2;9))
Mit der so erzeugten Serverliste konnten wir prüfen, welche davon per https erreichbar sind. Das waren die meisten, wenn auch nicht alle. So werden also einzelne Beiträge verbleiben, die als “Mixed Content” nicht über alles verschlüsselt sind.
Die eigentlichen Korrekturen erledigten wir dann mit einem WordPress-Plugin, das das Suchen und Ersetzen innerhalb der Datenbank erlaubt. Auch dies war ein geringerer Aufwand als erwartet, einschließlich der Vorbereitungen und Vorsichtsmaßnahmen vielleicht zwei Stunden.
Abschließend blieb uns nur noch eine Umleitung des http-Datenverkehrs auf https, was mit einem Zweizeiler in der Webserver-Konfiguration (.htaccess) erledigt ist.
http://faq-o-matic.net/?p=7742