In eigener Sache: Pilotprojekt HTTPS
Was lange währt -- naja, noch nicht ganz. Aber immerhin kann man ab sofort, heise Security via HTTPS abrufen. Das Projekt befindet sich noch im Testbetrieb.
Ab sofort kann man heise Security verschlüsselt via HTTPS lesen. Dazu ruft man einmal die TLS-gesicherte https-Seite von heise Security auf. Alle Links, die auf Ziele unterhalb von www.heise.de/security zeigen, bleiben danach in diesem sicheren Modus; man kann das durch entsprechende Regeln für die Browser-Erweiterung HTTPS Everywhere sogar Client-seitig forcieren. Beim Aufruf von Heise-Seiten außerhalb dieses Pfades – also etwa des Forums – greift allerdings derzeit noch der gewohnte Redirect auf ungesichertes HTTP.
Ziel des Projekts ist es, heise online komplett via HTTPS bereit zu stellen; heise Security via HTTPS ist dafür ein Pilot-Projekt in der Testphase. Es geht derzeit vor allem darum, mögliche Probleme aufzuspüren; in den internen Tests funktioniert der HTTPS-Betrieb bereits recht gut.
Noch vereinzelte Fehler
Derzeit tauchen vereinzelt noch "Mixed Content"-Fehler auf. Das bedeutet, dass eine Ressource, also etwa ein Bild, ungesichert via HTTP nachgeladen wurde. Es führt dazu, dass das grüne Schloss-Icon grau wird, weil ein einzelnes unsicheres Element die Sicherheit der Gesamtseite gefährdet. Über die Details beziehungsweise die Console des Browser kann man die verantwortliche URL aufspüren. Wer eine solche http-URL findet, möge sie bitte in den Kommentaren zu dieser Meldung posten. Unsere Web-Admins werden dem dann nachgehen.
Zu den Schwierigkeiten, die bei der vollständigen Umstellung einer komplexen Website auf https gelöst werden müssen, siehe den c't-Online-Artikel:
- Probleme bei der Umstellung von Websites auf HTTPS
(ju)
