Benutzer christian-w schrieb:
> Ich finde ihr solltet mit gutem Beispiel vorangehen und
Teltarif nur noch SSL-Verschlüsselt anbieten.
Das steht bereits seit einigen Monaten auf der Agenda. Ich sehe auch gute Chancen, dies bis zum Frühjahr umzusetzen. Ob wir dann gleich auf https redirecten, oder https erstmal zusätzlich anbieten, ist aber noch nicht entschieden. Hier müssen wir schauen, wie sich andere Nachrichtenmedien verhalten. All zu viele haben ja noch nicht auf https umgestellt - selbst Vorreiter wie heise.de, engadget.com oder taz.de laufen noch auf http. blog.fefe.de gibt es auch via https, aber mit einem selbstsignierten Zertifikat. Das ist auch nicht das gelbe vom Ei.
Benutzer sire schrieb:
Also soweit ich das sehe, bieten alle 8 Vermarkter die hier gerade geladen worden sind, TLS an.
Danke, dass Sie schon mal getestet haben! Die Werbeauslieferung ist natürlich eine der Hauptsorgen bei https, wir können uns hier nicht von unseren eigenen Erlösen abschneiden.
die Konfiguration des [https-]Servers ist nicht sicher: https://www.ssllabs.com/ssltest/analyze.html?d=www.teltarif.de&s=95.173.102.240&hideResults=on
Die dort gelistete schwache Einstufung erhalten Sie derzeit für sehr viele Server, selbst Banking-Sites. Wenn ich die Security-Szene richtig überblicke, ist derzeit der allgemeine Ansatz, den Poodle-Angriff clientseitig zu bekämpfen, nicht serverseitig, indem man clientseitig den Fallback auf SSL 3 blockiert. Serverseitig SSL 3 zu blockieren würde bedeuten, dass man möglicherweise bestimmte alte Clients gar nicht mehr reinlässt. Gerade auf einer Content-Website wie teltarif.de, für die man bis vor kurzem sowieso http als ausreichend und https als unnötig erachtete, möchte ich auf Server-Seite nicht zu hohe Anforderungen an den Client stellen. SSL 3 ist auf jeden Fall besser als gar kein SSL.
Die DES-Chiffren rausnehmen werden wir aber schon bald tun. Dann geht schonmal der gelbe Balken aus dem Testergebnis weg.
Grüße
Kai