Moin!

Ich bin gerade dabei eine Webanwendung zu schreiben die ziemlich sicher sein sollte, also bräuchte ich SSL dazu. Ich habe aber absolut keine Ahnung wie das funktioniert, und seltsamerweise findet sich im Internet auch nirgends etwas mit dem ich etwas anfangen könnte...ist das denn so kompliziert, das niemand ein Tutorial dazu schreiben möchte?

Weiss vielleicht irgendwer so ein Tutorial wie man SSL in PHP einbindet?

SSL ist eine Eigenschaft, die der ausführende Webserver zur Verfügung stellen muß. PHP hat damit absolut nichts zu tun, auch auf HTML- und Javascript-Seite ändert sich nichts.

SSL baut statt eines unverschlüsselten Kanals einen verschlüsselten Kanal zum Webserver auf. Das bringt eine wichtige Einschränkung mit: Der Server benötigt eine eigene IP exklusiv für diesen Webauftritt, weil bei SSL (genauer: HTTPS) keine virtuellen Hosts möglich sind. Der Browser muß zuerst, noch bevor der Webserver den ersten HTTP-Request erhält, das Serverzertifikat prüfen. Und zu dem Zeitpunkt kann er nur die IP-Adresse kennen. Es wäre eine riesige Sicherheitslücke, wenn sich dann hinter der einen, geprüften IP mehrere Webpräsenzen verbergen könnten. Dann könnte die eine Präsenz durch Manipulation die andere vielleicht übernehmen und so in die Datenübermittlung eindringen.

Aufgrund dieser Einschränkung kosten SSL-Webserver bei den Providern mehr als normale Webserver. Außerdem benötigt man in der Regel noch ein signiertes Zertifikat für seinen Webserver, denn ansonsten zeigen die Browser dem Benutzer eine ziemlich angstmachende Meldung, dass sie das Zertifikat nicht hätten verifizieren können. Und solch eine Signatur kostet auch.

Bei Puretec ist die Sache relativ clever und kostengünstig durch einen SSL-Proxy gelöst: Es gibt einen Server, der ein signiertes SSL-Zertifikat besitzt, und über den gehen alle SSL-Verbindungen. Der Server selbst greift dann per HTTP unverschlüsselt auf den eigentlichen Server zu - da die Daten hoffentlich im eigenen Netzwerk bleiben, ist das nur unwesentlich unsicherer. Allerdings sieht man dieses Verfahren in der URL. Da steht dann nicht mehr "www.deinedomain.tld/...", sondern irgendwas mit "www.secureserver.tld/deinedomain.tld/..." - das hat natürlich auch Auswirkungen auf deine Pfadangaben in der Seite, weil die natürlich auch stimmen müssen.

- Sven Rautenberg