Expertenmeinung gefragt: SSL als Option?

Don Stefano

Don Stefano

Erfahrenes Mitglied
Hallo zusammen,

ich plane derzeit mein Internetangebot mit einer SSL Verschlüsselung anzubieten. Zwar werden auf den Seiten keine Namen, Adressen, Geburtsdaten usw. abgefragt - wohl aber eine E-Mail Adresse und verschiedene persönliche Daten zu Bildungsstand, Alter, Geschlecht usw.

Da die Teilnahme aber (bis auf die E-Mail Adresse) anonym erfolgt, halte ich persönlich eine SSL Verschlüsselung eigentlich für verzichtbar. Schließlich macht eine solche das Angebot auch etwas langsamer. Dennoch möchten manche User ja vielleicht eine solche Verschlüsselung.

Da ich diesen Usern SSL anbieten möchte, aber auch den anderen Usern SSL nicht aufzwingen möchte, überlege ich derzeit, dass die User vor dem Login selbst entscheiden können, SSL zu verwenden oder eben nicht.

Der User soll dazu über einen Link "SSL aktivieren" bzw. "SSL deaktivieren" die volle Kontrolle haben. Er soll dann z.B. auch nach dem Login-Prozess (im geschützen Bereich) SSL ein- und ausschalten können.

Meine Frage: Macht das eurer Meinung nach Sinn? Oder überfordert das "Otto Normaluser?" Seid ihr also eher der Ansicht "SSL für alle oder keinen"?

Bereits vorab vielen Dank für eure Meinung.
 
Es ist ja technisch kein Problem beides zu bieten. HTTPS wird Dir ja vom Webserver zur Verfuegung gestellt und hat mit PHP nichts zu tun (weshalb der Thread nach Fertigstellung meiner Antwort in den Webserver-Bereich wandern wird). Der Zugriff auf einen Webserver per HTTP erfolgt ja in der Regel ueber Port 80, per HTTPS jedoch ueber Port 443. Du kannst also die Seite vollkommen unproblematisch sowohl mit als auch ohne SSL-Verschluesselung anbieten.
Um zu wechseln kannst Du dann ja jeweils einen Link setzen. Allgemein wuerde ich aber, wenn die Moeglichkeit SSL zu bieten sowieso schon besteht, es grundsaetzlich verwenden. Wenn es denn wirklich langsamer sein sollte, dann ist der Unterschied wohl eher minimal und faellt wohl kaum in's Gewicht.
Wenn Du aber wirklich den User entscheiden lassen willst wie er sich einloggen moechte, dann fallen mir 3 Moeglichkeiten ein:
  • 2 Links zum einloggen im Menue, einer davon mit dem HTTP-URL, einer mit dem HTTPS-URL
  • 2 Login-Formulare auf einer Login-Seite, eines davon hat als Action den HTTP-URL und das andere eben den HTTPS-URL
  • 1 Login-Formular mit einer Checkbox fuer SSL-Login: ja/nein. Das Formular selbst wird dann per JavaScript abgeschickt, je nachdem wie die Checkbox gesetzt ist eben per HTTP oder HTTPS
 
Hallo!

Meine Meinung ist, wenn schon HTTPS angeboten werden soll, dann sollte aber auch schon der Login selbst über eine gesicherte Verbindung hergestellt werden.
Den Login ungesichert herstellen um anschliessend ein paar Daten gesichert zu übermitteln, ist nur halber Kram..... und halte ich persönlich für alles andere als "professionell".
Daher würde ich die Möglichkeit nach dem Login die Verbindungsart zu wechseln auch nicht anbieten..... dieses soll sich der User mal schön vorher überlegen.

Wenn Dir ein (von offizieller Stelle unterschriebenes) SSL-Zertifikat zur Verfügung steht, dann nutze es auch ruhig.
So signalisierst Du den Usern auch dass es Dir wichtig ist, sogar eher unwichtige Daten gesichert zu übermitteln (macht einen seriöseren Eindruck).

Gruss Dr Dau
 
Zuerst einmal vielen Dank für eure Meinung (und das verschieben aus dem PHP-Bereich).

Der Hauptgrund für die Idee einer optionalen SSL-Verschlüsselung ist aber in der Tat der Performance-Unterschied.

Ihr könnt es gern mal ausprobieren. Ich finde schon, dass der Unterschied ins Gewicht fällt.

https://ssl-account.com/profilingportal.de/
http://profilingportal.de

Daher auch die Idee, dass der User es nach dem Login wieder ausschalten kann.
 
Das duerfte daran liegen, dass Dein SSL nicht direkt von Dir angeboten wird sondern ueber einen externen Anbieter. Was meiner Meinung nach nicht wirklich der Brueller ist.
Dann ist natuerlich auch der Geschwindigkeitsunterschied verstaendlich.

Eigentlich kommt das HTTPS vom gleichen Server, und nicht ueber so eine Zwischenloesung.
 
Für das derzeitige kostenlose Angebot wäre das leider das einzige, was finanzierbar ist.

Für ein eigenes SSL wären etwa 100 EUR / Jahr fällig. Also unter diesem Vorzeichen noch einmal die Frage: Dann besser völlig darauf verzichten?
 
In dem aktuellen Fall wuerde ich dann, in Anbetracht der Daten und dessen, dass die Daten vom einen zum anderen Server auch unverschluesselt uebertragen werden, ganz darauf verzichten.
 
Ich würde dann auch eher ganz verzichten.
Schliesslich ist das Zerifikat nicht für Deinen Server ausgestellt..... und somit genauso viel Wert wie ein selbst unterschriebenes.
Klar, die Daten werden verschlüsselt..... aber von Seriösität ist dabei keine Spur vorhanden.
Dass ist ungefähr so als wenn man seinen 500er SLC zur Inspektion nach Mercedes bringt, diese die Inspektion aber nicht selber durchführen, sondern von irgend einem Hobbyschrauber auf irgend einem dunklen Hinterhof machen lassen. ^^

Ich sehe auch keinen wirklich Grund eine gesicherte Verbindung anzubieten, sie würde nur die Seriösität unterstreichen.
Abgesehen davon machst Du die User ja auf die Risiken der Datenübermittlung und dass die Übermittlung auf eigene Gefahr erfolg aufmerksam.
Wer damit nicht einverstanden ist, braucht Deinen Dienst ja nicht in Anspruch zu nehmen. ;)
 
Vielen Dank für Eure Meinung,

da ich eh schon dazu tendiert habe, das Ganze sein zu lassen, werde ich dies nun auch tun.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück