Nachdem nun alle meine anderen Seiten umgestellt sind, habe ich gestern mit dem Gedanken gespielt auch meinen Blog auf SSL/TLS umzustellen.
Der größte Hinderungsgrund war bisher die Werbung wie auch 3. Anwendungen wie Piwik & Co.
Doch jetzt habe ich mich entschlossen rigoros alles auf https: umstellen oder notfalls zu entfernen.
Entfernt habe ich bisher nichts, aber auskommentiert.
Adanbieter, Tracker und auch diverse Partner haben bereits SSL/TLS (mehr oder weniger). Auch wenn die meisten keine direktes Angebot machen oder es nur “geheim” zur Verfügung stellen, nutze ich es nun.
Wichtig natürlich, das SSL/TLS kein Vertrauensmerkmal ist, sondern lediglich ein Sicherheitsmerkmal, das dafür sorgt das niemand mit hört.
Dies gilt natürlich nur dazwiscen, nicht an den Enden.
Ich muss zugeben, das es schon etwas hat wenn der Blog über https läuft. Nur ist das schon so gang und gebe, das dies nichts mehr besonderes ist.
Zumal meine anderen Seiten zum Teil schon seit einem halben Jahr mit LE laufen.
Da ich Cloudflare am laufen habe, ist das SSL/TLS Zertifikat aber nur bedingt nutzbar.
Cloudflare liefert automatisch das eigene Zertifikat aus, sobald ein gültiges vom Server ausgeht.
Das sorgt dafür das ein MITM Angriff nur von Cloudflare aus entstehen kann.
Keine endgültige Sicherheit, aber zum Schutz vor dem zu neugierigen Nachbarn reicht es alle mal.
Das schöne ist, das auch SSL/TLS Labs eine gute A Bewertung gibt. Direkt auf dem Server wäre es ein A+, aber dennoch besser als nichts.