behoben Sicherheitswarnung vor dem Einloggen

jolantha

Mitglied
Dabei seit
5. Juli 2010
Beiträge
4.421
Ort
29..... Deutschland
Rufname
Anne
Teichfläche ()
96
Teichtiefe (cm)
140
Teichvol. (l)
60000
Besatz
Kröten, Frösche, Molche , Schnecken, Libellenlarven, Medusen
Hallo, ich hatte gerade eine Sicherheitswarnung, das Euer Sicherheitszertifikat seit heute abgelaufen
sei, und ich mich nicht einloggen sollte.
Was hat es damit auf sich ????
 
Hatte ich auch. Konnte nicht einloggen. Gefahr von Passwortdiebstahl. Jetzt ist wieder alles ok.
 
Hatte ich auch upload_2021-4-28_21-20-56.png 
auch mit dem Handy. Hatte schon Angst es betrifft nur meinen PC.
 
Das Zertifikat für die Webseite war abgelaufen und dann meckert jeder Browser.
Der eine Browser mit der lapidaren Meldung 'abgelaufen', der andere bringt schon wieder böse Hacker ins Spiel.
Allen gemeinsam ist, dass keine Verbindung aufgebaut wird, liegt aber auch an den Sicherheitseinstellungen von HGT. :like:


Joachim oder Jürgen hatten entweder vergessen, sich rechtzeitig um ein neues zu kümmern oder etwas anderes ist in dem Zusammenhang falsch gelaufen. :)

Wenn, dann haben sie schnell reagiert und das neue Zertifikat ist da. - Wir schauen mal, was am 27.Juli passiert. :lala5:engel2
Aber eigentlich hat es doch immer super geklappt, Danke. :)
upload_2021-4-28_21-34-22.png 

VG Carsten
 
Zuletzt bearbeitet:
Moin...

Also gleich mal vorweg - Jürgen wars!


Nein - Quatsch! ;) :D


Ich hol mal aus:
Hobby-Gartenteich und die allermeisten anderen Foren in dieser Welt liefen bis vor wenigen Jahren alle OHNE SSL verschlüsselter Datenübertragung zwischen Benutzer und Seite. Ebenso übrigens die meisten Shops! ;) Das war halt stand der Technik und Gesetzgebung und SSL Zertifikate waren teuer, deshalb für viele uninteressant oder schlicht zu kostspielig, gerade bei komplett kostenlosen Seiten.
Dann kam die Datenschutzwelle, mit der auch Let's Encrypt aufkam - für extrem viele damals wie heute die einzige Lösung für die SSL Verschlüsselung und ein Zertifikat das dem Browser des Benutzers (also uns allen) bestätigt: Ja, diese Seite ist "sicher" (naja, eigentlich ist ja dennoch nur die Datenübertragung sicher, aber das ist n anderes Thema :D ;) )

Wir nutzen also seit einigen Jahren die Zertifizierung der Verschlüsselung unserer Datenübertragung durch Let's Encrypt. Teil des Prozederes ist, dass deren Zertifikate eine Gültigkeit von jeweils 3 Monaten haben und in eben diesem Rythmus über einen automatisch von unserem Server angestoßenen Befehl automatisch erneuert werden. Das funktioniert normal reibungslos und ohne das ihr davon bisher etwas mitbekommen hättet. Der Jürgen und auch ich - unschuldig. ;)
Warum es bei der Erneuerung zum Verzug kam und damit das Thema überhaupt für euch relevant, kann ich noch nicht sagen, vorstellbar ist z.B. das es bei den Servern von Let's Encrypt teils zu einer kurzfristigen Überlastung bei der Neuausstellung der Zertifikate kam. Möglich, das auch unser Server in genau der Phase etwas zu beschäftigt mit was anderem war. Fakt ist, wir haben da eigentlich keinen Einfluß drauf und normal läuft das auch Reibungslos.

Fakt ist aber eben auch: nur weil mal kurzfristig das Zertifikat abgelaufen ist und das neue noch nicht ausgestellt und an die Browser der Benutzer ausgliefert wurde, hat sich an den Sicherheitsfunktionen, wie der verschlüsselten Datenübertragung eures Forums noch lang nichts geändert. Die Meldung im Browser sagt euch im Grunde lediglich: das euer Browser uns wegen des fehlenden Zertifikates nicht vertrauen möchte. Wie soll er auch, er ist ja einfach nur ein Stück Software und sicher noch nicht so lange dabei wie viele von euch oder gar wir. Die Browser gehen aber wir bleiben... :D
Kurzum, wer noch so ein klein wenig Restvertrauen in das Admin-Team hat, muss sich wegen der Browsernachricht nicht gleich fürchten. Der Server und euer Hobby-Gartenteich waren genau so sicher wie zu der Zeit wo die Meldung nicht erscheint.

Man könnte es vielleicht damit vergleichen, wenn man mal ohne die Papiere dabei zu haben Auto fährt und dann angehalten wird und kontrolliert. Beim Polizisten gehen die Alarmglocken an, bis er oder ihr nachweisen könnt in Besitz eines Führerscheines zu sein. Aber hat sich in der Zeit etwas an euren Fähigkeiten ein Fahrzeug zu fahren oder an dem Fakt das ihr in Besitz der Fahrerlaubnis seid was geändert? Nein.

Das Zertifikat, was nicht rechtzeitig automatisch erneuert wurde ist lediglich der Beleg für den Browser (und damit natürlich für euch) das wir die entsprechenden Sicherheitstechniken einsetzen. Das tun wir bzw. der Server aber auch noch in dem Moment, wo der Beleg mal auf sich warten lässt. :)


Ein Test bei den SSL-Labs zeigt es dann auch:
upload_2021-4-29_7-59-54.png 
upload_2021-4-29_8-0-53.png 

Noch mehr Details? Nu klar doch...
upload_2021-4-29_7-37-26.png 
upload_2021-4-29_8-2-24.png 
Der eine Punkt, wo "Nicht geschützt" steht, ist für uns/euch irrelevant, da wir hier nur hobby-gartenteich.de und www.hobby-gartenteich.de benutzen und nicht sowas wie z.B. info.hobby-gartenteich.de.
upload_2021-4-29_8-4-39.png 
"Ausgewogen" bezieht sich hier auf die Kompatibilität zu Browsern:
upload_2021-4-29_8-5-44.png 


Was ist SSL?
Secure Sockets Layer (SSL) ist ein Sicherheitsprotokoll zum Herstellen einer verschlüsselten Verbindung zwischen einem Server und einem Client - normalerweise einem Webserver (Website) und einem Browser. Daher schützt SSL Benutzerdaten während der Übertragung. Dies ist besonders wichtig für vertrauliche Informationen wie Kreditkartennummern, Sozialversicherungsnummern, Anmeldeinformationen usw.
Denke soweit alles nachvollziehbar, ihr müsst euch also keine ernsten Sorgen machen, dass hier gleich die große Datenpanne droht, nur weil kurzzeitig die Erneuerung des Zertifikates (des Beweises für unserer Sicherheitseinstellungen für den Browser) mal hakt, auch wenn die Meldung schon recht martialisch daher kommt.
Bei euch unbekannten Seiten, wie welche die ihr erstmals besucht, wäre das Misstrauen hingegen angebracht!
Quelle: https://www.plesk.com/extensions/sectigo/


Ich hoffe dass das euch ein wenig hilft, euch das Thema näher zu bringen und die eingangs erwähnte Fehlermeldung künftig einordnen zu können. :)
 
Thema Sicherheit und Passwörter.

Ich hab schon oft im eigenen Umfeld von der Angst vorm Hackerangriff gehört und am Ende dann mal doch gefragt was denn der betreffende selbst dagegen tue. Die meisten waren mit so einer Frage im weitesten Sinne überfordert.

Tipps zu sichereren Passwörtern:
  • Ein sicheres Passwort sollte minimal acht Zeichen lang sein (mehr ist besser) und sowohl Buchstaben, Zahlen und Sonderzeichen enthalten
  • Vermeidet Wort-Kombinationen oder logische Zahlen- oder Buchstabenreihen.
    Schlechte Beispiele: admin, Gott, Schatzi, 123456, Karl0815, ...
    Nehmt stattdessen besser Passwörter, welche auf einem persönlichen Merksatz beruhen oder ein vom Browser vorgeschlagenes (Chrome macht das z.B.) aus komplett unreflektierte Zeichenreihen
  • Nutzt für jede Registrierung auf einer neuen Webseite/Shop/Forum ein neues, anderes, sicheres Passwort.
    Sollte ein Passwort doch einmal geknackt werden (kein Passwort ist 100-prozentig sicher!), bleiben alle andere Zugänge dennoch geschützt und sind nicht sofort mit betroffen.
  • Ein sicheres Passwort ist aber nur ein Baustein, ebenso wichtig: Virenschutz, Firewall und ein sorgsamer Umgang mit euren Anmeldedaten sind ebenfalls sehr wichtig, um den Schutz vor Datendiebstahl zu optimieren.
  • Haupteinfalltor sind oftmals unsichere Email-Passwörter, bitte achtet hier auf wirklich gute Passwörter nach zuvor genannten Regeln.

Mit dem ausstehenden Upgrade der Forensoftware wird dann auch die 2-Faktor Authentifizierung zuverlässiger funktionieren und sollte auch genutzt werden um die Sicherheit zu erhöhen, dazu dann später mehr. :)
 
Danke Joachim, dass du uns selbst freigesprochen hast. Unsere HGT-Justiz funzt.:like:lala5:rofl

Zum Thema Passwort würde ich jedem ans Herz legen einen Passwort-Manager (1Password, Keypass, Enpass, ...) zu nutzen. Dort können alle Passwörter lokal sicher hinterlegt werden und man muß sich nur das Masterpasswort merken. Zudem unterstützen die auch 2-Faktor-Authentifizierung und weisen auf die Stärke/Schwäche von Passwörtern hin. Ich setze sowas schon seit Jahren ein und bin sehr zufrieden. Vom Speichern der Passwörter im Browser würde ich abraten.

Nur so als Tipp.
 

Benutzer, die dieses Thema gerade betrachten

Zurück
Oben Unten