Umstellung auf 'https'

Seiteninhalt

Hintergrund: Die Webbrowser verlangen zunehmend 'https'

Seit dem 25.Juli 2018 bietet Google den Webbrowser Chrome in der Version 68 an, welche eine drastische Änderung bei der Bewertung der Sicherheit einer Webseite mit sich bringt. Aus Sicht von Google ist nur eine korrekt verschlüsselte Webseite eine sichere Webseite.

Der Sicherheitsstatus einer Webseite wird im Google Chrome u.a so angezeigt:


a) Eine sichere Webseite

Die Seite ist sicher, d.h. alle ihre Ressourcen werden verschlüsselt übertragen und es liegen gültige Zertifikate vor.

Sichere URL

 

b) Eine nicht uneingeschränkt sichere Webseite

Die Seite wird verschlüsselt übertragen, aber es werden nicht all ihre Ressourcen verschlüsselt übertragen (z.B. Attachments, Bilder, etc.).

Eine sichere Webseite

 

c) Ein ungültiges Zertifikat auf der Website

Verschlüsselung ist aktiv, aber das Zertifikat ist ungültig, d.h. es gibt keine Garantie über den Inhaber der Website. Man entscheidet selbst, ob man der Website traut.

Diese Verbindung ist unsicher

 

d) Eine unverschlüsste Website nur HTTP

Unsichere

Hier wird keine Verschlüsselung genutzt, d.h. aller Inhalt wird im Klartext übertragen.

 

top

Verschlüsselung an der UZH

Die Möglichkeit, die Übertragung der Webinhalte zu verschlüsseln, besteht auf dem zentralen Webserver der UZH seit einigen Jahren, z.B: https://www.uzh.ch/cmsssl/id/de.html.

Seit Anfang 2018 verfügen alle zentral gehosteten Websites über ein eigenes Sicherheits-Zertifikat, so dass sie auch ohne 'cmsssl' im URL verschlüsselt abgerufen werden können.

top

Schwierigkeiten beim Umschalten auf Verschlüsselung

Das Umschalten auf Verschlüsselung (https) kann Schwierigkeiten verursachen u.a. im Skripting-Bereich bei welchen man absolute URL-Adressen verwendet. Bsp; http://www.zi.uzh.ch

Das muss korrigiert werden. Entweder ergänzt man das http mit einem s (für secure), z.B. https://www.zi.uzh.ch oder noch besser ohne Angabe des Protokolls auf  //www.id.uzh.ch ("Protocol-relative URL").

Folgende Bereiche können betroffen sein: iFrames, JS-Skripte, PHP, CSS, CGI-Skripte (Wichtig siehe Mailform), pageframe, Bilder, etc.

Wieso muss man das korrigieren?

Wenn ein Mix von verschlüsselten und unverschlüsselten Inhalten vorliegt, dann greift der Webbrowser anhand der "Mixed Content Policy" ein. Es zeigt dann entweder einen "Eine nicht uneingeschränkt sichere Webseite"-Sicherheitshinweis an oder blockiert den Inhalt sogar.