[TYPO3-german] HTTPS Backend -> HTTP-Frontend

Martin Schoenbeck ms.usenet.nospam at schoenbeck.de
Tue Sep 20 13:30:47 CEST 2011 

TOM schrieb:

>> Die Zertifikate hängen ja nicht am TYPO3, sondern am Webserver. Der  
>> gängige (apache) kann das für jede Domain separat.
> 
> Ja, mit einem Virtualhost, und dabei verbrauche ich dann ja eine IP pro  
> Domain, für Domains, für die ich gar kein SSL benötige.

Nicht mit Name-based SSL virtual-hosts. Deshalb ja die Frage nach XP, da
geht das nur mit Firefox, weil der nicht die BS-eigene
Zertifikatsverwaltung nutzt.

> NameVirtualHost klappt ja an der stelle nicht, weil ja das Domain-Abhängie  
> Zertifikat erst ausgewählt werden kann, nachdem die SSL-Verbindung  
> aufgebaut wurde, und dafür müsste ich ja das Zertifikat bereits haben.

Was der Client dann gemäß RFC 4366 erledigt.

>> Und solange Du nicht mit einem
>> IE unter XP drauf zugreifen willst, funktioniert das auch ohne daß Du im
>> Client ein falsches Zertifikat akzeptieren mußt.
> 
> Ach ja, leider gibt es haufenweise IE User unter XP

Bei den Backend-Benutzern? *Grusel*

>> Aber selbst wenn man das
>> müßte, wenn Du also einfach das Zertifikat mit der Backend-Domain für  
>> alle
>> Domains einträgst, ist das ja kein wirkliches Problem. Das kann man dem
>> Backendbenutzer jedenfalls schneller plausibel machen, als ihn immer das  
>> s aus https wegnehmen zu lassen.
> 
> Ähm... nein, ich werde meine Usern nicht beibringen, fehlerhafte  
> Zertifikate zu akteptieren... die sind eh schon viel zu leicht in  
> Phishing-Fallen zu locken...

Gerade dann wäre es doch sinnvoll, die Kompetenz in dem Bereich zu erhöhen.
Man schaut sich also das Zertifikat an und überprüft, ob es wirklich das
Zertifikat der Backend-Domain ist, bevor man es akzeptiert.

>>> sondern müsste EIN Zertifikat
>>> erstellen mit bis zu 400 Domains
> 
> Genau da wollte ich ja rumkommen....

Das würde ich auch wollen. ;-)

>> Du hast 400 Domains in einem TYPO3? Respekt. ;-)
> 
> Im Moment noch nicht, derzeit verteilen die sich noch auf 6 Server mit 150  
> Apaches.

Dann hast Du, egal wie Du es anstellst, ja reichlich Arbeit vor Dir. Bei
der Menge würde sich ja sogar lohnen, die nötigen Änderungen in TYPO3
selbst zu machen.

Gruß Martin
-- 
Bitte nicht an der E-Mail-Adresse fummeln, die paßt so.

More information about the TYPO3-german mailing list