smart: SSL Verbindung. ja! aber wie?

Hallo zusammen

Hab den Auftrag bekommen ein Registrierungsformular und in weiterer Folge das Login zu einem Kundenbereich über SSL zu realisieren.

Nun da ich mit dem noch nie was zu tun gehabt hab (von beruflicher Seite her) bin ich völlig ohne Plan.

Folgende Fragen fallen mir dazu mal ein:

  1. Welches SSL Zertifikat brauche ich für oben genannte Anwendungen?
  2. Könnt ihr mir Anbieter nennen mit denen ihr schon gute Erfahrungen gemacht habt? (bzw schlechte von denen man eher die Finger lassen sollte)
  3. Was ist dann genau bei den PHP Files zu ändern damit die eingegebenen Daten nicht "klartext" sondern eben SSL geschützt übertragen werden?

Vielen Dank für eure Hilfe.

Mfg smart

  1. hi,

    Folgende Fragen fallen mir dazu mal ein:

    1. Welches SSL Zertifikat brauche ich für oben genannte Anwendungen?

    Welches? _Irgendeins_ solltest du haben - für deinen Webserver (bzw. Domain) ausgestellt, und gültig. Hinreichend verbreitet, was die Erkennung der Vertrauenswürdigkeit in Browsern angeht, wäre auch noch nicht schlecht.

    1. Was ist dann genau bei den PHP Files zu ändern damit die eingegebenen Daten nicht "klartext" sondern eben SSL geschützt übertragen werden?

    Ähm - nichts?

    Wenn SSL auf deinem Server erst mal implementiert wurde, dann wechselst du nur noch irgendwann das Protokoll von http:// zu https:// - das war's eigentlich schon.
    (Möglichst natürlich schon beim Aufruf der Seite, die das Formular _enthält_ - so wird der Nutzer zu diesem Zeitpunkt schon darauf aufmerksam gemacht, dass die Verbindung verschlüsselt ist [und hoffentlich auch bleibt]. Es ginge zwar auch z.B. im action-Attribut eines Forms - aber das sieht der Nutzer ja nicht vorher ...)

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. @whasaga
      Danke für die Antwort.

      @Tom
      gerade weil ich diverse Quellen schon durchsucht hab war ich so verunsichert und hab deshalb hier gefragt (wie heisst so schön es gibt keine dummen Fragen nur dumme Antworten ...)

      Außerdem arbeite ich ganz gut mit meinem Provider zusammen der mir die ganze Installation des Zertifikats übernimmt

      Mir war jetzt nur wichtig abzuklären was für ein Aufwand auf mich zukommt.

      Noch zur Frage wechles Zertifikat: da hier die Preise bis zu 200% auseinandergehen stellt sich dann die Frage was nehmen (wenn immer 128 Bit Verschlüsselung mit Class3 für 1 Domain angeboten wird)

      Na dann werd ich eben eines bestellen und es einrichten lassen und dann die Formulare auf Verschlüsselung testen.

      Mfg Martin

      1. Hallo Martin,

        Außerdem arbeite ich ganz gut mit meinem Provider zusammen der mir die ganze Installation des Zertifikats übernimmt

        Das ist doch wunderbar, dann kannst Du ihn ja bitten zum Testen erst mal ein eigenes Zertifikat auszustellen. Dann bekommst Du zwar von deinem Browser eine Meldung, dass das Zertifikat nicht Vertrauenswürdig ist, aber dann kannst Du schon mal den Vorgang der SSL-Verschlüsselung testen.

        Mir war jetzt nur wichtig abzuklären was für ein Aufwand auf mich zukommt.

        Wenn ich das richtig raushöre, kommt auf Dich kein wirklicher Aufwand hinzu, da das Einrichten eines SSL-Zertifikats die Server-Konfiguration betrifft, und dafür evtl. dein Provider zuständig ist.

        Herzliche Grüße aus Weinsberg
        Helmut Weber

        --
        -------------------------------------------
        Mode ist eine Variable, Stil eine Konstante
        1. Außerdem arbeite ich ganz gut mit meinem Provider zusammen der mir die ganze Installation des Zertifikats übernimmt

          Das ist doch wunderbar, dann kannst Du ihn ja bitten zum Testen erst mal ein eigenes Zertifikat auszustellen. Dann bekommst Du zwar von deinem Browser eine Meldung, dass das Zertifikat nicht Vertrauenswürdig ist, aber dann kannst Du schon mal den Vorgang der SSL-Verschlüsselung testen.

          Ja danke hab mich mit ihm eh schon in Verbindung gesetzt und hat mich auch bezügl. Auswahl des Zertifikats beraten.

          Mir war jetzt nur wichtig abzuklären was für ein Aufwand auf mich zukommt.

          Wenn ich das richtig raushöre, kommt auf Dich kein wirklicher Aufwand hinzu, da das Einrichten eines SSL-Zertifikats die Server-Konfiguration betrifft, und dafür evtl. dein Provider zuständig ist.

          Dann bin ich ja beruhigt.

          nochmals @Tom
          Ja ich hab den richtigen Job. Ich bin mir sicher auch du bist nicht als Meister vom Himmel gefallen.

  2. Moin,

    1. Was ist dann genau bei den PHP Files zu ändern damit die eingegebenen Daten nicht "klartext" sondern eben SSL geschützt übertragen werden?

    LOL ich lache mich gleich kaputt.
    Ich hoffe Du hast den richtigen Job?!
    Glauben kann ich es ehrlich gesagt nicht.
    Wo fängt man bei so viel Unwissenheit an?
    Du solltest Dich zunächst damit beschäftigen was die SSL Verschlüsselung überhaupt macht. Der SVen Rautenberg hat da ein paar gute Posts zu geschrieben.
    Also marsch marsch, halte Dich an die Forenregeln und suche im Archiv.
    Und dann frage konkret nach.
    http://suche.de.selfhtml.org/

    TomIRL

    P.S. Die Frage nach der Veränderung der PHP Skripte läßt erkennen das Dir wirklich elementare Grundlagen fehlen. PHP ist fertig wenn Deine SSL Verschlüsselung anfängt.

    1. Hallo smart, hallo Tom,

      1. Was ist dann genau bei den PHP Files zu ändern damit die eingegebenen Daten nicht "klartext" sondern eben SSL geschützt übertragen werden?

      LOL ich lache mich gleich kaputt.

      wenn sichergestellt werden soll, daß nur Variablen ($_GET,$_POST,$_FILES), die via SSL versandt wurden, in Scripten verarbeitet werden sollen und Du/Dein Provider einen Apachen einsetzt, so hast Du die Möglichkeite über if(array_key_exists('HTTPS',$_SERVER)){} abzufragen, ob der eingehende Request über SSL erfolgte.
      Wenn dies nicht geschah, könntest Du eine Fehlermeldung mit Verweis auf einen URI mit "https://" an den User zurücksenden, daß nur verschlüsselte Daten akzepierte werden.

      Ich hoffe Du hast den richtigen Job?!
      Glauben kann ich es ehrlich gesagt nicht.

      Tat das Not?

      Gruß aus Berlin!
      eddi

      --
      Wer Rechtschreibfehler findet, darf sie behalten.