10
Jun 18

HSTS und nur noch HTTPS / Privacy Checker

Durch einen Beitrag im Netbib Weblog bin ich jüngst auf den Webseiten-Privacy-Checker von dataskydd.net  aufmerksam geworden. Beflügelt durch die erfolgreiche Verlängerung der Letsencrypt-Zertifikate, welche ich seit drei Monaten nutze, war ich motiviert auch andere suboptimale Zustände zu beheben.

So war der Blog bisher auch ohne Verschlüsselung erreichbar. Und auch die HTTP Strict-Transport-Security-Angabe (HSTS) war bisher nicht gesetzt. Ich zweifelte zuerst, ob ich diese Einstellung in meinem Hosteurope-Webpack tätigen kann. Glücklichweise zu unrecht. Dank eines Blogeintrages von Janiczek habe ich die Verbesserung dieses Aspektes mit einem simplen Copy&Paste in die .htaccess-Datei erreicht.

RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

Jetzt wurmen mich nur noch ein wenig die Grafiken, die WordPress von seiner eigenen Domain aufruft (s.w.org). Diese sind z.Zt. zwar nur in drei Dateien verlinkt (wp-admin/about.php, wp-includes/formatting.php und wp-includes/general-tempate.php1) – dennoch ist eine manuelle Anpassung nicht meine favorisierte Lösungsmöglichkeit. Einfache Wartung und so… Da ich zur Zeit keine Emojis einsetze und der Admin-Bereich meine Privatsache ist, werde ich es wohl auch erst mal dabei belassen.

 


  1. Analyse mit Hilfe von Notepad++ und der „rekursiven Suche in einem Verzeichnis“-Funktion – sollte mir wohl mal den find-Befehl unter Windows näher anschauen []

24
Mrz 18

Ein ordentliches Zertifikat

Das war schon länger überfällig. Nun habe ich also endlich die passenden Zertifikate für meine aktiven Domains erstellt mit Hilfe von Let’s Encrypt.

Dafür musste für mich als oller Windows-Nutzer erst mal eine funktionierende Linux-Maschine in der Virtuellen Box her. Und dann der Certbot. Zusammenbasteln des benötigten Befehls, sudo certbot --manual certonly, und nach einigen kleinen Hürden – Berechtigungen1 und angestaubtes Terminal-Wissen2 – landeten die benötigten Dateien dann tatsächlich in der Zertifikats-Administration von Hosteurope. Juchuh.

Beim Verifizieren der Weblog-Domains scheiterte ich jedoch mit dem zu schnellen Griff nach Strg+C – sehr fatal im Terminal – und erinnerte mich an ein Script, dass ich wenige Minuten zuvor auf einer als „nicht meine Frage beantwortende“-Seite gesehen habe: hosteurope-letsencrypt von Sebastian Stein zu meiner Rettung.

Also schnell git installiert, das Repository geklont, die 3 Einstellungsdateien erzeugt, das Erzeugungspython-Script ausgeführt und die relevanten Dateien anschließend hochgeladen, Fertig.

Update: Okay, das war doch noch nicht alles. Mit Hilfe von Search & Replace mussten noch sämtliche URLs auf Bilder und andere Resourcen im Blog von http auf https geändert werden. Ich hoffe, ich habe jetzt alle erwischt.

 


  1. Wie kommt ein Nutzer noch mal in eine Gruppe? sudo usermod -a -G groupName userName []
  2. Wie kopiere ich nicht den symbolischen Link sondern die Datei dahinter? -L []