2014-03-08T08:35:24 GwenDragon

Meckerkopf. ;) Ich weiß doch, dass das fehlt.
TLS 1.2 und Compression aus wird demnächst auf dem neuen Server stattfinden.

Gut!

2014-03-08T08:35:24 GwenDragon

HSTS ist nicht möglich, weil nicht alle Subdomains SSL haben.

Warum sollte man bestimmte Subdomains absichtlich ohne HSTS betreiben? Clients müssen es ja nicht nutzen aber absichtlich unsicherer sein macht für mich keinen Sinn.

2014-03-08T08:35:24 GwenDragon

Was die Zertifikate anbelangt, gibt es keine Wildcard-Zertifikate für 5 EUR im Jahr!

Wohl wahr aber für www und ohne würde es wohl reichen. Theoretisch sollte man auf Subdomains auch andere Zertifikate nutzen können seit TLSv1.2/SNI ohne weitere IP aber damit hab ich bisher keine Erfahrung. Hatte nie einen Mangel an ausreichenden IP-Adressen um Webseiten und Dienste (auch Administrationen!) streng zu trennen.

2014-03-08T08:35:24 GwenDragon

Warum ein fremdsigniertes Zertifikat vertrauenswürdiger sein und mehr Neulinge bringen soll, als eines was unter eigener Kontrolle verwaltet wird, das musst du mir erklären.
Startcom ist nicht seriös. ich lade auf fremde Server keine Private Keys hoch.

Vertrauenswürdiger ist es nicht wirklich aber für Neulinge leider schon, weil kein Warnhinweis kommt. Wenn allen DAUs auf der Welt erklären willst, warum es besser ist das Zertifikat im Browser hinzuzufügen, na dann viel Spass.

Nur sehe da momentan auch keine perfekte Lösung. Unabhängig davon könnte man Daten wie Passwörter vor einem Request bereits mit Javascript als Hash (oder verschlüsselt) übermitteln. Es geht nur um reine öffentliche Webseiten für alles andere würde ich auch nur auf eigene Zertifikate und Schlüssel setzen. Nur würde ich TLS 1.2 und ähnliches ebenfalls hohe Priorität einräumen, wenn ich einen Webserver betreibe.