Side 1 af 1

Eventuelt deaktivér eller ret HTTPS

: 10. maj 2016 11:00
af scootergrisen
Hvis man besøger phpbb3.dk fra https så får man besked om at der er problemer med certifikatet.
Jeg ved ikke om det er meningen man skal skulle besøge fra https eller ej men i kan eventuelt slå det fra så man ikke kan besøge fra https eller også rette det så certifikatet er gyldigt.

Re: Eventuelt deaktivér eller ret HTTPS

: 20. jun 2016 11:10
af scootergrisen
Det er stadig ikke blevet rettet.
Skal det ikke rettes?
phpbb3.dk uses an invalid security certificate.

The certificate is not trusted because it is self-signed.
The certificate is only valid for Parallels Panel
The certificate expired on 27-06-2015 16:00. The current time is 20-06-2016 11:07.

Error code: SEC_ERROR_UNKNOWN_ISSUER

Re: Eventuelt deaktivér eller ret HTTPS

: 20. jun 2016 19:38
af jask
Vi har ikke givet adgang via https og ssl. Vi linker heller ingen steder til phpb3 med denne protokol. Derfor giver det ikke mening at nogen skulle forsøge at forbinde med https ?

Re: Eventuelt deaktivér eller ret HTTPS

: 21. jun 2016 15:02
af scootergrisen
Kan godt være du ikke har men så har udbyderen.
Kan være det kan slås til/fra hvis du logger ind på udbyderens hjemmeside.
Jeg ville dog hellere rette certifikatet så det er gyldigt og brugerene har muligheden for at forbinde med https hvis de vil det, end at fjerne muligheden.
Du kan også viderestille alle https-anmodninger til http i en .htaccess-fil eller på anden måde.

Re: Eventuelt deaktivér eller ret HTTPS

: 21. jun 2016 17:38
af jask
scootergrisen skrev:Jeg ville dog hellere rette certifikatet så det er gyldigt og brugerene har muligheden for at forbinde med https hvis de vil det.
Hvorfor søren skulle brugere dog ønske det? Vi kan vælge at gøre sitet tilgængelig kun via ssl, som phpbb.com gør. Det er en sikkerhedsmæssig overordnet afvejning man må foretage. Det har vi endnu ikke haft nogle grunde til. Indtil videre har vi valgt at gøre accessen til sitet så simpelt som muligt, så ingen skal forholde sig til et certifikat - keep it simple.

Re: Eventuelt deaktivér eller ret HTTPS

: 21. jun 2016 18:23
af scootergrisen
Ja men så kan du fjerne muligheden hvis du ikke vil have at det skal kunne bruges.

Re: Eventuelt deaktivér eller ret HTTPS

: 29. jun 2016 10:25
af DoYouSpeakWak
Det ville give mere mening at blot erstatte det ugyldige certifikat med et gyldigt nu da ssl åbenlyst allerede er installeret på webserveren. SSL certs kan fåes gratis for tiden. Vil man ikke den vej, bør det fjernes. Mange bruger addons som automatisk skifter til https i deres browsere.

Re: Eventuelt deaktivér eller ret HTTPS

: 13. jul 2018 08:16
af tonyalbers
Jeg er ny her, så undskyld på forhånd hvis jeg generer nogen.
Jeg ved godt at tråden her ikke er ny, men den er meget relevant synes jeg.

Jeg synes det er utidssvarende at I ikke har aktiveret SSL på phpbb3.dk, selv med et self-signed certifikat er det bedre end ingen SSL.

Bruger man SSL på et websted får man 2 gevinster:

1. Transmissioner krypteres, dvs. brugeres kodeord osv. er meget svære at opsnappe ved at sniffe på nettet.
2. phpbb3.dk bekræfter med sit certifikat at det virkelig _er_ phpbb3.dk man snakker med.

Jeg er enig i at det er en uhensigtsmæssighed når browsere advarer brugere om at et givent websteds certifikat ikke er udstedt af en anerkendt Certificate Authority(CA), men det bør ikke være grunden til at man vælger ikke at bruge SSL.
Generelt i branchen er holdningen er CA'er er bottomfeeders på internettet og historien har vist at adskillige af dem ikke udfører større kontrol med identifikationen af ansvarlige personer/websteder end at de kontrollerer om der kan trækkes penge på det til betalingen for certifikatet anvendte kreditkort.

Hvis I vil have den gyldne middelvej findes der både letsencrypt.org og cacert.org, begge er gratis og letsencrypt er endda en anerkendt CA. (de lider dog under en sårbarhed i deres godkendelsesprocedure i form af DNS-poisoning)

/tony