Userbase

Wie had dat gedacht, een lekensite zoals cadsite.be heeft eerder https dan userbase!

Kon het niet laten.

Ub heeft toch al lang een ssl certificaat en https ? Ook dit is gepost via https

dan zou beter de .htaccess aangepast worden, want niet iedereen wordt naar https gepushed:

Zelfs al ga ik zelf naar https:

aha!

welke browser gebruik je cadsite?

opera, maar dat heeft er niets mee te maken.
(ik wist het ook niet, antagonist heeft het me uitgelegd)
https://www.antagonist.nl/blog/2017/03/mixed-content/

Bij het posten verschijnt het (groene) Veilig label via HTTPS, bij het gewoon browsen is er geen label ondanks HTTPS en staat er Verbinding niet volledig veilig. (Chrome)

Als ik een beetje ga neuzen heeft dat volgens mij te maken met het toelaten van externe avatars die over http gaan.
Daardoor krijg je mixed content en zolang niet alles over https gaat krijg je geen groen slotje.
Ikzelf heb ook lang moeten zoeken om alles eruit te krijgen.

edit:
zelfs intern zijn ze niet ok:

cadsite schreef:Wie had dat gedacht, een lekensite zoals cadsite.be heeft eerder https dan userbase!
Kon het niet laten.

Nu nog HSTS (inclusief preloading) en HPKP configureren en je bent er.

En wat is de meerwaarde hiervan?
Ik ben een totale leek op dit vlak. 't Is omdat antagonist dat nu gratis aanbiedt en ze ook een duidelijke handleiding hebben dat ik nu de 's' heb, maar van mezelf zou het er niet gekomen zijn.

Hela, afblijven
Geen automatische redirects aub

Ik gebruik userbase vaak vanop een oudere tablet, die geen updates meer krijgt, en wiens browser niet overweg kan met de https van bepaalde sites, oa userbase.

cadsite schreef:En wat is de meerwaarde hiervan?
Ik ben een totale leek op dit vlak. 't Is omdat antagonist dat nu gratis aanbiedt en ze ook een duidelijke handleiding hebben dat ik nu de 's' heb, maar van mezelf zou het er niet gekomen zijn.

HSTS = voorkeur voor HTTPS uitspreken. Je kan dit via een header doen, zodat de browser van iemand die een keer op je site via HTTP geweest is dat voortaan gaat "onthouden". Je kan ook werken met preloading = je site wordt opgenomen in een lijst die de grote browsers gebruiken, iemand die nog nooit op je site geweest is verbindt dan meteen via HTTPS zelfs als http:// ingegeven wordt. Clients die geen HTTPS ondersteunen blijven via HTTP connecteren.

HPKP = vermijden dat men MITM op verkeer van je site kan doen met vervalste/gefabriceerde certificaten. Je server stuurt een header mee met de pin van het certificaat dat echt is, als pin van cert niet matcht met die pin wordt de verbinding geweigerd. Browser onthoudt die pin daarna. Houdt ook "spioneren" van bedrijven/overheden op het TLS verkeer van werknemers/burgers tegen ahv een eigen root certificaat die ze pushen naar clients, en als clients dan een TLS verbinding maken doen ze MITM en versleutelen ze opnieuw met hun eigen root cert om de klassieke "insecure" browserwaarschuwingen te vermijden en de indruk te geven dat er niet gefoefeld werd. HPKP houdt dat tegen omdat dat gefabriceerd cert een andere pin zal hebben dan het echte cert dat jij aanbiedt.

DNS CAA records zullen HPKP nog komen aanvullen.

Als we volledig groen willen gaan (no mixed content) kunnen we ook geen externe afbeeldingen die in posts, signatures staan meer toestaan.
Voor een nieuwe site is dat misschien te doen, maar die duizenden gelinkte afbeeldingen hier 'recht trekken' is onbegonnen werk.

Op deze pagina alleen al is enkel de afbeeldingen van speedtest.net de schuldige.

Van antagonist kreeg ik volgende link:
https://www.antagonist.nl/blog/2016/03/ ... uitgelegd/
als ik hen vroeg naar hsts.
Ik laat het voorlopig zo.

Probleem met hpkp is that het trust on first use is dus sluitend is het niet.