Umstellung auf 'https'

Hintergrund: Die Webbrowser verlangen zunehmend 'https'

Seit dem 25.Juli 2018 bietet Google den Webbrowser Chrome in der Version 68 an, welche eine drastische Änderung bei der Bewertung der Sicherheit einer Webseite mit sich bringt. Aus Sicht von Google ist nur eine korrekt verschlüsselte Webseite eine sichere Webseite.

Der Sicherheitsstatus einer Webseite wird im Google Chrome u.a so angezeigt:

a) Eine sichere Webseite

Die Seite ist sicher, d.h. alle ihre Ressourcen werden verschlüsselt übertragen und es liegen gültige Zertifikate vor.

Sichere URL

b) Eine nicht uneingeschränkt sichere Webseite

Die Seite wird verschlüsselt übertragen, aber es werden nicht all ihre Ressourcen verschlüsselt übertragen (z.B. Attachments, Bilder, etc.).

Eine sichere Webseite

c) Eine unsichere Verbindung

Verschlüsselung ist aktiv, aber das Zertifikat ist ungültig, d.h. es gibt keine Garantie über den Inhaber der Website. Man entscheidet selbst, ob man der Website traut.

Diese Verbindung ist unsicher

d) Eine unsichere Webseite

Unsichere

Hier wird keine Verschlüsselung genutzt, d.h. aller Inhalt wird im Klartext übertragen.

 

Verschlüsselung an der UZH

Die Möglichkeit, die Übertragung der Webinhalte zu verschlüsseln, besteht auf dem zentralen Webserver der UZH seit einigen Jahren, z.B: https://www.uzh.ch/cmsssl/id/de.html.

Seit Anfang 2018 verfügen alle zentral gehosteten Websites über ein eigenes Sicherheits-Zertifikat, so dass sie auch ohne 'cmsssl' im URL verschlüsselt abgerufen werden können.

Die Verschlüsselung wurde bisher nicht forciert, nun aber müssen wir reagieren. Sie können die Verschlüsselung selbst aktivieren. Ab dem 10. Sept. 2018 werden wir sie erzwingen bei den zentral gehosteten Webauftritten.

 

CMS Magnolia: Was Sie tun müssen

Was zu tun ist

Wählen Sie in Ihrer Publikation die Startseiten aller Sprachen ("de", "en" etc.) an, und setzen Sie in den Seiteneigenschaften den SSL-Typ auf verschlüsselt und publizieren Sie diese Seite (ohne die Unterseiten).

Diese Umstellung werden wir am 10. Sept. 2018 automatisch vornehmen bei allen Magnolia-Websites, wo das noch nicht gemacht wurde.

Wir haben mittlerweile alle Unterseiten so konfiguriert, dass sie diese Einstellung erben. Damit wird nun bei allen Seiten die Verschlüsselung erzwungen.

Kontrolle: Nachdem Sie die obigen Schritte durchgeführt haben, können Sie eine beliebige Seite Ihrer Publikation mit http aufrufen – Sie werden sehen, dass die Seitenadresse auf https wechselt.

 

Wenn Sie heute – im Vorfeld dieser Umstellung – über deren Auswirkungen unsicher sind, können Sie ihren Effekt wie folgt simulieren:

  • Rufen Sie eine fragliche Webseite über https auf (ergänzen Sie dazu einfach in der Adresszeile des Webbrowsers das http://  um ein s zu https://).
  • Erscheint nach dem Aufruf der Seite ein grünes Sicherheitsschloss links neben der Adresszeile (wie oben im ersten Abschnitt abgebildet), dann ist alles ok.
  • Erscheint dort ein anderes Icon, dann müssen Sie der Sache nachgehen.

 

FTP-Webspace: Was Sie tun müssen

Dazu finden sie hier eine Anleitung.

Wir empfehlen den Einsatz einer .htaccess Datei, wie sie im Absatz "URL ohne ssl-dir im Pfad" beschrieben wird, um so alle Anfragen auf das https Protokoll umzuleiten.

 

Schwierigkeiten beim Umschalten auf Verschlüsselung

Das Umschalten auf Verschlüsselung (https) kann Schwierigkeiten verursachen u.a. im Skripting-Bereich bei welchen man absolute URL-Adressen verwendet. Bsp; http://www.id.uzh.ch

Das muss korrigiert werden. Entweder ergänzt man das http mit einem s (für secure), z.B. https://www.id.uzh.ch oder noch besser ohne Angabe des Protokolls auf  //www.id.uzh.ch ("Protocol-relative URL").

Folgende Bereiche können betroffen sein: iFrames, JS-Skripte, PHP, CSS, CGI-Skripte (Wichtig siehe Mailform), pageframe, etc.

Wieso muss man das korrigieren?

Wenn ein Mix von verschlüsselten und unverschlüsselten Inhalten vorliegt, dann kann es vorkommen, dass der Webbrowser diesen Inhalt blockiert und somit nicht anzeigt. Dazu erscheint obig beschriebener Sicherheitshinweis des Webbrowser, welchen den Webbesucher über eine unsichere Seite informiert Das soll vermieden werden.