Es gibt immer noch Herausforderungen: - **Kostenfrage**, **Kostenfrage**: ja, auch wenn es vereinzelte kostenfreie Möglichkeiten gibt: der kostenfreie Anbieter muss irgendwie auch Geld verdienen; und bei kostenlosem Service riskiert die Website dass es mal eingestellt wird. Kostenlose Sachen werden auch am ehesten in Masse für nichtseriöse Sachen verwendet, womit das Vertrauen in den Zertifizierungsstelle sinkt. Soll nur heißen: Qualität und Akzeptanz kostet noch etwas zur Zeit. - **Performance**: kein Caching mehr, erhöhte CPU-Last durch Verschlüsselung statt simpler Auslieferung (damit teurerer Server nötig) - **IP-Problem**: virtuelle Server sind ein Problem für HTTPS. Von [apache.org][1]: *"it is impossible to host more than one SSL virtual host on the same IP address and port"*. Ich bezahle dem Provider zusätzlich zu Servern pro IP monatlich einen Eurobetrag (plus mtl. 15,- Euro für das "Feature" mehrere IPs haben zu dürfen). - **Nutzer-Irritation**: wenn die Zertifizierungsstelle nicht by default im Betriebssystem X Version Y enthalten ist, erhält der Nutzer eine Sicherheitswarnung, Voreinstellung ist Verlassen der Seite. Ähnlich, wenn Teile der Seite (Bilder (etwa extern liegende) oder js oder css) noch per http kämen, das muss man konsistent machen. Mit 2 Miet-Servern für TeX-Foren, Blogs und TeX-Seiten und deren Domains, DNS-Einträgen und IPs sind es bisher schon ca. 200,- Euro monatlich, daher wird es mit Mehrkosten für Zertifikate und IPs schwierig. DANTE hat die Serverkosten freundlicherweise seit Mai 2015 für 1 Jahr [komplett gefördert][2], eine Verlängerung war bislang noch nicht konkret im Gespräch. Dennoch, an Kosten soll es nicht scheitern: wenn jemand Zertifikat und Webserver passend einrichten kann, kriegt er gern SSH-Zugang zum Server von mir und es kann sofort umgesetzt werden. Es ist auf in meinem Plan, es selber einzurichten, momentan noch nicht möglich, so wie sich die HTTPS-Unterstützung entwickelt sollte es aber auch rasch noch einfacher werden, es umzusetzen. Aktuell gilt halt noch: *für ein Webforum ein Passwort verwenden, dass man nicht anderswo einsetzt* (keinen PIN-Code etc.). Passwörter sind verschlüsselt gespeichert, doch es könnte ja jemand im Internet mitsniffen: wer Deinen Rechner hackt (dann ist's eh verloren...), wer den Server hackt, wer in Deinem lokalen Netzwerk ist oder zum Provider-Pfad Zugang hat. Die Schwelle ist hoch, und der Lohn? Keine Kreditkartendaten hier oder Fotos o.ä. Das vllt. einzig persönliche hier ist noch die Email-Adresse, die haben Spammer vllt. schon leichter gekriegt als sich mit einem gesnifften Passwort einzuloggen. Noch keine Krise, denke ich. Personenbezogene Hacks durch Abhören, worum es hier geht, sehe ich eher bei Promis oder tatsächlich sensiblen Daten und nicht in einem kleinen TeX-Diskussions-Forum. ;-) Gegen allgemeine Hacks musste ich mich tatsächlich trotz Sicherheitsmaßnahmen mehrfach konkret wehren, doch es ist nicht HTTPS, was gegen Angriffen auf Server und Softwaremodule hilft. Und wie gesagt, meine vollste Unterstützung für HTTPS sobald als möglich. [1]: https://wiki.apache.org/httpd/NameBasedSSLVHosts [2]: http://texwelt.de/blog/dante/

Es gibt immer noch Herausforderungen: - **Kostenfrage**, ja, auch wenn es vereinzelte kostenfreie Möglichkeiten gibt: der kostenfreie Anbieter muss irgendwie auch Geld verdienen; und bei kostenlosem Service riskiert die Website dass es mal eingestellt wird. Kostenlose Sachen werden auch am ehesten in Masse für nichtseriöse Sachen verwendet, womit das Vertrauen in den Zertifizierungsstelle sinkt. Soll nur heißen: Qualität und Akzeptanz kostet noch etwas zur Zeit. - **Performance**: kein Caching mehr, erhöhte CPU-Last durch Verschlüsselung statt simpler Auslieferung (damit teurerer Server nötig) - **IP-Problem**: virtuelle Server sind ein Problem für HTTPS. Von [apache.org][1]: *"it is impossible to host more than one SSL virtual host on the same IP address and port"*. Ich bezahle dem Provider zusätzlich zu Servern pro IP monatlich einen Eurobetrag (plus mtl. 15,- Euro für das "Feature" mehrere IPs haben zu dürfen). Mit 2 Miet-Servern für TeX-Foren, Blogs und TeX-Seiten und deren Domains, DNS-Einträgen und IPs sind es bisher schon ca. 200,- Euro monatlich, daher wird es mit Mehrkosten für Zertifikate und IPs schwierig. DANTE hat die Serverkosten freundlicherweise seit Mai 2015 für 1 Jahr [komplett gefördert][2], eine Verlängerung war bislang noch nicht konkret im Gespräch. Dennoch, an Kosten soll es nicht scheitern: wenn jemand Zertifikat und Webserver passend einrichten kann, kriegt er gern SSH-Zugang zum Server von mir und es kann sofort umgesetzt werden. Es ist auf in meinem Plan, es selber einzurichten, momentan noch nicht möglich, so wie sich die HTTPS-Unterstützung entwickelt sollte es aber auch rasch noch einfacher werden, es umzusetzen. Aktuell gilt halt noch: *für ein Webforum ein Passwort verwenden, dass man nicht anderswo einsetzt* (keinen PIN-Code etc.). Passwörter sind verschlüsselt gespeichert, doch es könnte ja jemand im Internet mitsniffen: wer Deinen Rechner hackt (dann ist's eh verloren...), wer den Server hackt, wer in Deinem lokalen Netzwerk ist oder zum Provider-Pfad Zugang hat. Die Schwelle ist hoch, und der Lohn? Keine Kreditkartendaten hier oder Fotos o.ä. Das vllt. einzig persönliche hier ist noch die Email-Adresse, die haben Spammer vllt. schon leichter gekriegt als sich mit einem gesnifften Passwort einzuloggen. Noch keine Krise, denke ich. Personenbezogene Hacks durch Abhören, worum es hier geht, sehe ich eher bei Promis oder tatsächlich sensiblen Daten und nicht in einem kleinen TeX-Diskussions-Forum. ;-) Gegen allgemeine Hacks musste ich mich tatsächlich trotz Sicherheitsmaßnahmen mehrfach konkret wehren, doch es ist nicht HTTPS, was gegen Angriffen auf Server und Softwaremodule hilft. Und wie gesagt, meine vollste Unterstützung für HTTPS sobald als möglich. [1]: https://wiki.apache.org/httpd/NameBasedSSLVHosts [2]: http://texwelt.de/blog/dante/