Admidio wahlweise mit oder ohne SSL

[superminis]

Wieder einmal eine blöde Frage von mir.

Ich möchte, dass die Mitglieder auf meinem Admidio selbst wählen können ob die Seiten per http oder per https aufgerufen werden sollen. (Version 2.1.2)

Der Grund ist ganz einfach: Es handelt sich um eine selbst signiertes Zertifikat (von Confixx), und das bewegt alle Browser dazu eine Warnung auszugeben, bis das Zertifikat installiert ist (Firefox zwingt den Benutzer sogar zur Installation des Zertifikates, bei allen andren Browsern geht es auch so.

Die Mitglieder sollen also zuerst einmal informiert werden, was sie erwartet bezüglich des Zertifikates, und dann entscheiden, ob sie SSL möchten, oder nicht.

[Offtopic]Meiner Meinung nach ist es schwachsinnig, dass selbst signierte Zertifikate zu so einem störenden Warnhinweis führen - wenn sich der Administrator dazu entschließt ein selbst zertifiziertes, vielleicht auch kostenloses Zertifikat zu installieren, möchte er ja nicht, die Besucher mit einem Hinweis quälen, sondern, dass seine Besucher eine sichere Verbindung haben. Ob jetzt Tom Hanks seine Hand dafür ins Feuer legt, dass diese Seite 'vertrauenswürdig' ist, interessiert bei halb-privaten Seiten niemanden - dass die vom Mitglied eingegebenen Daten zwischen Benutzer mit WLAN-Notebook und Router vom bösen Bekannten mit seinem Notebook im Lieferwagen vor dem Haus nicht ausgelesen werden können ist hingegen für den Besucher schon wichtig.[/Offtopic]

[dreael]

[Offtopic]Meiner Meinung nach ist es schwachsinnig, dass selbst signierte Zertifikate zu so einem störenden Warnhinweis führen - wenn sich der Administrator dazu entschließt ein selbst zertifiziertes, vielleicht auch kostenloses Zertifikat zu installieren, möchte er ja nicht, die Besucher mit einem Hinweis quälen, sondern, dass seine Besucher eine sichere Verbindung haben. Ob jetzt Tom Hanks seine Hand dafür ins Feuer legt, dass diese Seite 'vertrauenswürdig' ist, interessiert bei halb-privaten Seiten niemanden - dass die vom Mitglied eingegebenen Daten zwischen Benutzer mit WLAN-Notebook und Router vom bösen Bekannten mit seinem Notebook im Lieferwagen vor dem Haus nicht ausgelesen werden können ist hingegen für den Besucher schon wichtig.[/Offtopic]

Da ich bekanntlich im IT Security-Bereich tätig bin, folgende Ergänzung dazu: Bei SSH wird auf eine PKI verzichtet. Um Dich aber vor einem Man in the Middle-Angriff zu schützen, musst Du grundsätzlich selber schauen. Der SSH-Client berechnet zu dem Zweck einen Fingerprint, so dass Du die Annahme des öffentlichen Hostkeys das erste Mal bestätigen musst. => Bei einem selber aufgesetzten Server müsstest Du daher diesen Fingerprintwert im Prinzip auf einem Zettel aufschreiben, direkt von der Serverkonsole abgeschrieben und beispielsweise im Portemonnaie immer dabei haben, wenn Du von einer Station irgendwo im Internet eine SSH-Sitzung auf Deinen Server machen möchtest.

Problem nun in der Praxis: SSL-verschlüsselte Websites werden üblicherweise nicht von den Benutzern aufgesetzt, sondern von Webhostern bzw. IT-Administratoren. Dadurch muss eine Möglichkeit geschaffen werden, die Integrität des öffentlichen SSL-Schlüssels trotzdem prüfen zu können, ohne dass Du bei Deiner Hausbank beim Onlinebanking-Webserver aufsetzen dabeisein musst, um ab Konsolenbildschirm den Fingerprint aufschreiben zu müssen, wie ihn z.B. der "openssl"-Kommandozeilenbefehl beim Schlüsselpaar generieren liefert. Dazu hat sich in der Praxis ergeben, diese öffentlichen Schlüssel bei Verisign, Thawte & Co. digital zu signieren und die öffentlichen Schlüssel dieser Zertifikatsstellen als Stammzertifikate zu hinterlegen.

An dieser Stelle wichtig: Es hindert Dich niemand dran, eine eigene PKI aufzubauen und jedem Vereinsmitglied eine Diskette mit Stammzertifikat bei der ersten Versammlung jedem abzugeben, damit jeder die Integrität der Verbindung sicherstellen kann: Dazu im Internet Explorer auf "Extras"-"Internetoptionen" gehen, Registerkarte "Inhalte" und dann "Zertifikate" -> dort kann jeder eigene Stammzertifikate ergänzen! Kritiker bemängeln eigentlich am heutigen System nur, dass die Benutzer blindlings vorgefertigte Stammzertifikatslisten beim Browser-Installationsprozess akzeptieren statt bewusst ihre eigene Stammzertifikatsliste aufzubauen. Deswegen geniessen heute Verisign & Co. ein Art Monopol und können praktisch beliebig hohe Gebühren verlangen, ohne aber die wahre Identität des Antragstellers vollständig zu prüfen.

Ich selber habe im Rahmen meiner eigenen Firma auch eine SSL-Site laufen und finde es ein Stück weit ebenfalls einen Hohn, dass ich mich an eine privatrechtliche afrikanische Firma (Thawte) wenden muss, anstelle einer offiziellen Amtsstelle, wie dies bei einem gewöhnlichen Personenausweis der Fall ist, um anschliessend ins Ausland reisen zu können. Hier haben beinahe sämtliche Regierungen und Staaten die Entwicklung ein Stück weit verschlafen!

[superminis]

Die Lösung des von mir beschriebenen Problemems:

Da Admidio in der Config-Datei den Pfad fix angegeben hat, kann der Benutzer das http:// in der Adresszeile nicht einfach durch https:// ersetzen. Das würde nur so lange klappen, bis der Benutzer den nächsten Link anklickt. Daher muss in der config-Datei in Zeile 24

das:
$g_root_path = 'http://127.0.0.1/admidio';

durch das:
$g_root_path = (empty ($_SERVER['HTTPS']) ? 'http' : 'https') . '://127.0.0.1/admidio';

ersetzt werden.

Vielleicht besteht vom Team Interesse, das ab dem nächsten Update überall fix einzubinden?