Mit SSL sensible Daten verschlüsselt zum Server übertragen

Kunden mit einem goneo Homepage oder MServer Tarif können im goneo Kundencenter eine Subdomain anlegen, die mittels eines SSL – Zertifikats eine gesicherte Verbindung zwischen Browser und Server aufbaut.

Bisher hat goneo dafür die Subdomain „ssl.goneo.de“ verwendet. In Zukunft wird diese Adresse einheitlich „ssl-secured-server.de“ heißen.

Wir würden gerne alle Kunden, die „ssl.goneo.de“ verwenden bitten, umgehend, bei nächster Gelegenheit die neue Adresse zu verwenden und im Webauftritt gegebenenfalls die Links zu ändern. Kunden, die nach dem 15.4.2013 eine SSL-Domain verwenden, haben automatisch nur die neue Adresse zur Auswahl.

Zu Konfiguration nutzen Sie bitte den Menüpunkt „Expertenfunktionen“. Dort finden Sie einen Unterpunkt „goneo SSL-Zertifikat“. Das Wichtige ist, Sie legen eine Subdomain unter „ssl-secured-server.de“ an, wobei Sie alle Zeichen verwenden können, die man üblicherweise in einem Domainnamen verwenden kann (a-z und 0-9 sowie das Minuszeichen). Außerdem können Sie in diesem Dialog auch das Verzeichnis festlegen, das mit dieser angelegten SSL-Domain aufgerufen werden soll.

Wenn Sie dazu Fragen haben, können Sie sich gerne an den Kundendienst von goneo wenden oder Sie posten die entsprechende Frage hier als Kommentar, was sich ja anbietet, wenn diese von allgemeinem Interesse ist.

Der Hauptgrund für die Änderung der Adresse „ssl.goneo.de“ ist, dass Ihr Webauftritt von eventuellen Malwarewarnungen betroffen wäre, die sich auf die Domain „goneo.de“ beziehen (dies war in jüngster Vergangenheit bereits einmal der Fall und hatte seine Ursache in massiven Hackernagriffen auf Kundenwebsites, die unter einer Subdomains von goneo.de aufgerufen werden konnten).

 

Dieser Beitrag wurde unter Sicherheit, Technische Neuerungen veröffentlicht. Setze ein Lesezeichen auf den Permalink.

26 Kommentare zu Mit SSL sensible Daten verschlüsselt zum Server übertragen

  1. 72er sagt:

    Hallo Goneo-Team,

    Sie bieten SSL erst ab Homepage Premium an. Es wäre sicherer, wenn auch in den kleineren Paketen die ClickStart-Anwendungen mit SSL abgesichert werden können. Dass insbesondere Admin-Passwörter und persönliche Daten im Klartext übertragen wwerden, macht die Click-Start-Anwendungen wie WordPress und OwnCloud unsicher bis angreifbar.

    Über SSL für die kleinen Pakete würde ich mich sehr freuen.

    Grüße, Alexander Norz

  2. chris sagt:

    Ich benutze das Paket „Homepage Profi“ und kann in dem Unterverzeichnis „Experten Einstellungen“ keinen Unterpunkt “goneo SSL-Zertifikat” finden.
    Muss ich diese Einstellung erst aktivieren und wenn ja, wo?

    • goneo sagt:

      @chris: Die SSL-Brücke ist in goneo Homepage Premium, Ultra und den MServer Paketen verfügbar. In Homepage Easy und Profi leider nicht.

  3. Thomas sagt:

    Ich hatte mich auch beim Durchlesen des Newsletter über „SSL für alle“ gefreut, denn so wird es ja auch angepriesen: „Kunden in einem goneo Homepage Tarif können eine verschlüsselte Verbindung zwischen Client (Browser des Users) und Server aufbauen, indem Sie die mit SSL Zertifikat geschützte Hilfsdomain „ssl-secured-server.de“ verwenden.“
    Dass es erst ab Ultra dazugehört habe ich dann erst viel später (allerdings nicht über die Goneo-Homepage, schade) herausgefunden.

    Wenn ich bedenke, dass ich ein einfaches SSL-Zertifikat bereits ab 20€ im Jahr (!) bekomme ist ein Wechsel auf Goneo Ultra für mich utopisch und auch nicht wirtschaftlich.

    Ich werde mir dann doch ein eigenes Zertifikat holen – schade

    Ach ja – werden Sie künftig in den Newslettern deutlicher und klarer, denn die Klientel an die Sie sich wenden (Web-Admins) hat keine Zeit für lange Internetrecherche nach Informationen die dann doch nicht weiterhelfen…

  4. Michael sagt:

    Gibt es denn zur vorstehenden Antwort betreffend einer SSL-gesicherten Verbindung auch für kleinere Pakete inzwischen eine abgeschlossene Diskussion mit einer Entscheidung? Ist denn absehbar, ob hier etwea für das Paket Homepage Profi, die Einrichtung einer SSL-Brücke ermöglicht werden kann. In der Tat erscheint mir die Nutzung verschiedener clickStart-Anwendungen, insbesondere von owncloud und roundcube, sonst mit diesen kleineren Pakten ausgeschlossen und das entsprechende Angebot sinnlos. Für Ihre Kunden ergibt sich hier zudem die Gefahr, dass diese Problematik übersehen wird und dadurch eine nicht zu unterschätzende Gefahr für die Datensicherheit entsteht.

    • Markus sagt:

      @Michael
      Hallo. Ja, gibt es. Zunächst ist damit eine kleine Vorabankündigung verbunden, nämlich, dass wir ab Sommer/Herbst 2013 neue Produkte einführen, die das SSL-Thema stärker berücksichtigen (in Form eigener SSL Zertifikate).

      Was SSL-Domains für kleine Shared Hosting Pakete angeht, müssen wir leider sagen, dass wir das SSL-Feature über eine goneo-Domain nicht ausdehnen können. SSL-Zertifikate sind beinhalten von der ausgebenden Stellen ja auch immer eine Art Versicherung, dass der angefragte Server der ist, den man tatsächlich erreichen wollte. Für diese Garantie steht der Zertifikatsausgeber mit seinem Namen und verpflichtet sich auch finanziell (im Sinne einer Versicherung).

  5. Michael sagt:

    @Markus,
    danke für die ausführliche Information. Um das Zertifikat geht es mir nicht wirklich. Also gut zu wissen, dass ich ein solches auch nicht unbedingt benötige. Ich möchte letztlich eine sichere Datenübertragung, was insbesondere auch den Benutzernamen und auch das Passwort betrifft. Selbstverständlich sollten auch die übertragenen Daten nicht vergessen werden.
    Die Information in der Antwort bezieht sich im Detail eigentlich auf eine ältere Version von owncloud.
    Hier gibt es Informationen zur aktuellen Version:

    http://forum.owncloud.org/viewtopic.php?f=21&t=11444

    Danach muss man die config.php z. B. wie folgt anpassen:

    ‚overwritehost‘ => ’ssl.kundenserver.de‘,
    ‚overwriteprotocol‘ => ‚https‘,
    ‚overwritewebroot‘ => ‚/host.abcd.de/owncloud‘,
    # ‚overwritecondaddr‘ => ‚^212.227.217.84$‘,

    Für goneo müssen hier wohl bestimmte parameter eingetragen werden. Wo bekommt man denn die entsprechenden Infos?

    • @Michael:
      Wir haben das Szenario mit einem Aufruf via https://… nochmal getestet und müssen leider sagen, es funktioniert leider nicht.

      Um also eine verschlüsselte Verbindung aufzubauen, muss man bei goneo die Hilfsdomain ssl-secured-server.de verwenden, die erst ab dem Paket „goneo Homepage Premium“ zur Verfügung steht. Andere Pfade findet der Server mit dem HTTPS-Protokoll nicht und lässt den User auf der PHPMyAdmin Seite landen.

  6. Christoph sagt:

    Hallo,

    wir nutzen das SSL-Zertifikat.

    Gibt es ein Logo, das man auf seiner Webseite verwenden darf, um auf den Einsatz der SSL-Verschlüsselung hinzuweisen? Also um das Vertrauen der Besucher und möglichen Kunden zu stärken?

    Vielen Dank und viele Grüße
    Christoph

    • Markus sagt:

      @Christoph : Hallo, nein, eine solche Grafik haben wir nicht vorliegen. Das ist aber durchaus eine gute Idee. Wir reden mal mit den Designern. Vielleicht können wir eine „SSL-Grafik“ im Downloadbereich des Kundencenters zur Verfügung stellen.

  7. Michael sagt:

    Hallo Goneo-Team,

    bisher ist es mir nicht gelungen den Zugang zu der auf meinem webspace installierten owncloud verschlüsselt (SSL) zu erzwingen. Nach meiner Erkenntnis muß die config.php angepasst werden. Kann mir jemand sagen, welche Anpassungen hierfür konkret erforderlich sind, um eine verschlüsselte Verbindung zu goneo herzustellen?

  8. M. Dietze sagt:

    Hallo Herr Käkenmeister,

    danke für ihren Hinweis im letzten Newsletter.

    Ich möchte mich den Vorrednern anschließen, bitte Sie jedoch noch einmal das folgende fachliche/technische Szenario zu überdenken.

    Man nehme:

    1 IP Adresse
    2 Loadbalancer mit TLS 1.2, SSL-Offloading und SNI
    n mal UCC/MDC Zertifikate (z.B: Domain Validated von Comodo) mit je bis zu 100 Einträgen pro MDC Zertifikat

    Zu guten Einkaufskonditionen über einen SSL-Master Reseller und einer sinnvollen Automatisierung lässt sich auch im low Budget Bereich eine günstige und funktionierende SSL-Absicherung für Domains realisieren. Das es gut funktioniert weiß ich aus eigener Erfahrung.

    Ich würde es begrüßen, wenn sie auch diesen Aspekt intern einmal mit ihren Plattform-verantwortlichen besprechen und ihren Kunden diese Produkte optional anbieten. Ich bin sonst mit ihren Produkten für Privatkunden in diesem Segment vollends zufrieden, denn sie gehen mit der Zeit.

    Zum Thema Versicherung; sind wir doch einmal ehrlich: Welche CA aus den USA hat in Europa denn heute bereits durch einen Incident zahlen müssen?
    Das ist nach meiner Wahrnehmung nur ein Marketing Thema.

    Viele Grüße
    M. Dietze

  9. habe bei goneo meine ssl.goneo.de gelöscht aber meine links noch nicht mit der neuen sicheren adresse geändert was kann ich jetzt tun um wieder auf meine verschlüsselten seiten zu kommen? gruß mike

    • statt xyz.ssl.goneo.de/irgendwas.html müssen die Links lauten: xyz.ssl-secured-server.de/irgendwas.html

      Die Dateien sind auf dem Server unabhängig davon über FTP zugänglich. Sie liegen in dem Verzeichnis, in das die SSL-Hilfsdomain zeigt.

  10. U. R. Treder sagt:

    Ist schon ein alter Artikel… aber wer weiß, vielleicht hat sich ja mittlerweile etwas neues ergeben?

    Ich habe eine „Homepage Plus“ seit 2007. Das Paket wird heute nicht mehr angeboten, es entspricht wohl in etwa dem Paket „Webhosting Basic L“.
    Jetzt wollte ich mir für private Zwecke eine OwnCloud (für Kalender/Terminplaner) einrichten. Funktioniert ja auch sehr leicht über goneo clickStart, wobei ich es vielleicht dann doch noch „händisch“ installieren werde, weil goneo nicht die neueste Version anbietet. OwnCloud ist schon bei 6.0.3.

    Aber irgendwie ist OwnCloud sinnlos wenn es nicht über https angesprochen werden kann. Dabei geht es mir nicht um den Domainnamen. Da OwnCloud ja nicht öffentlich sein soll, im Gegensatz zu einem Onlineshop, kann es sonstwie heißen, irgendwasschießmichtot.goneo.de oder sonstwie. Mein persönlicher Domainname muß auch nicht vorkommen und es darf auch ein langer kryptischer Schwanz von Adresse sein. Mir geht es nur darum, das es auch funktioniert.
    Ich brauche ja kein

    eigenes

    SSL-Zertifikat, sondern will nur das das SSL ausgehandelt wird.

    Ist vielleicht einfach eine Weiterleitung zu eine https-Domain möglich?

    Danke für eine Antwort
    Gruß von Uli

    • Es sollte möglich sein, auch mit ownCloud die SSL-Domain verwenden zu können („ssl-secured-server.de“). Im Kundencenter kann man diese mit einer Subdomain anlegen, also irgendwasschießmichtot.ssl-secured-server.de. Allerdings funktioniert dies erst ab goneo Webhosting Basic XL. Wenn diese Option im Kundencenter unter „Expertenfunktionen“ nicht zu sehen ist (Menüpunkt „goneo SSL Zertifikat“), dann unterstützt dieses Paket die Funktion nicht.

  11. Armin Käfer sagt:

    Ich habe soeben in meinem Homepage Start Paket per clickStart owncloud installiert, nur um dann nach einiger Internet-Recherche (Goneo Hilfe funktioniert nicht: Page not found) auf diese Seite zu stossen und zu lesen, dass die verschlüsselte Übertragung per SSL erst ab goneo Webhosting Basic XL verfügbar ist.

    Das geht ja mal gar nicht!

    Aus Sicherheitsgründen sollte owncloud für ALLE Pakete ausschliesslich per https zu Verfügung gestellt werden!
    Oder eben für die „zu billigen“ Pakete gar nicht…

    Wobei ich die erste Option ganz klar bevorzugen würde!
    😉

    Bitte prüfen Sie noch einmal eingehend, ob Goneo nicht SSL für alle Pakete anbieten kann!
    Wäre das wirklich so viel Mehraufwand?

    Viele Grüße,
    Armin Käfer

    • Das ältere Homepage Start Paket bieten wir gar nicht mehr an. Man kann darauf zwar ownCloud installieren, empfehlenswert ist dies aber nicht.

      Ein geeignetes Paket dafür wäre Webhosting Basic XL. Diese Paket kann auch eine SSL-geschützte Domain bereit stellen.

      Wir haben unterschiedliche Varianten von Webhosting Basic im Angebot, die sich durch die Features unterscheiden. Natürlich benötigen diverse Features auch mehr serverseitige Ressourcen. Damit erklärt sich auch der höhere Preis.

  12. U. R. Treder sagt:

    Das Webhosting Basic XL bietet eine „personalisierbare SSL-Domain“. Die Personalisierbarkeit ist für Webshops wichtig und der deutlich höhere Preis dort auch gerechtfertigt. Aber eine private ownCloud braucht keine „eigene“ SSL-Domain.
    Eine Domain für alle in etwa wie https://ssl.goneo.de zum Durchleiten gibt es bei Goneo dann wohl leider nicht?

    • Doch, in den Paketen ab Webhosting Basic XL kann man eine Domain mit gesharetem SSL-Zertifikat nutzen. Diese Domain heißt xyz.ssl-secured-server.de, wobei „xyz“ als Platzhalter für einen eigenen Namen steht. Das meinen wir mit personalisierbar.

      Man braucht nichts zusätzlich zu bestellen.

      In den Paketen ab Webserver Business M kann man ein eigenes SSL Zertifikat bestellen. Dieses wird dann an die eigene Domain gekoppelt und verifiziert. Es gilt dann nur für die eigene Domain.

  13. HarryHa sagt:

    Finde es ja Klasse, dass Ihr owncloud jetzt in Eure Apps mit aufgenommen habt. Kann mich nur anschließen. Owncloud ohne eigenes SSL macht keinen Sinn. Warum soll ich mein Paket, was völlig ausreichend ist, nur wegen einem Zertifikat auf den zehnfachen Preis upgraden, wenn der Wettbewerb es für jedes Paket schafft:
    http://faq.1blu.de/content/470/540/de/wie-kann-ich-ueber-den-ssl_proxy-auf-meine-homepage-zugreifen.html??
    Das schafft Ihr doch auch!

    • Wieso 10facher Preis? In goneo Webhosting Basic XL (5,95 Euro im Monat) gibt es die Möglichkeit der SSL-verschlüsselten Datenübertragung über ein gesharedes SSL Zertifikat (auf dem Domainnamen xyz.ssl-secured-server.de, wobei xyz konfiguriert werden kann). In den managed Server Tarifen ab Webserver Business M können wir eine eigens für die Kundendomain ausgestelltes domainvalidiertes SSL-Zertifikat einsetzen (optional erhältlich lt. Preisliste).

  14. Thorsten P. sagt:

    Hallo,
    ich möchte nur eine Weiterleitung basteln, damit ein Aufruf von https://meinegoneodomain.de nach http://meinegoneodomain.de umgeleitet wird. Das soll keine sichere Verbindung oder sowas sein. Ich habe nur das kleinste Paket (ohne SSL). Ist das irgendwie möglich? Vielleicht mit Hilfe von .htaccess?

    Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.