Nach einigen ruhigen Monaten in Sachen neue Domainendungen, dürfen wir uns bald über eine neue sogenannte Top-Level-Domains (TLD) freuen. Sie bricht schon in der Vorverkaufsphase Rekorde, was Registrierungsgesuche anbelangt. Gemeint ist die Domainendung .app, die neben dem attraktiven Namen eine interessante Besonderheit mit sich bringt.
.app – Automatisch sicher verbunden
Die von Google betriebene Domainendung .app ist in der sogenannten HSTS-Preload-Liste eingetragen. Das bewirkt, dass Adressen mit der Endung .app in allen modernen Browsern ausschliesslich über eine verschlüsselte Verbindung (HTTPS) erreichbar sind. Und das sogar, wenn in einem Link nicht explizit https:// als Protokoll mitgegeben wird. Damit sind .app-Websites und deren Besucher automatisch gegen Angriffe wie «Downgrade-Attacken» oder «Session Hijacking» geschützt. Das macht .app sicherer als andere Domainendungen.
Gleichzeitig ist damit für Betreiber einer .app-Website der Einsatz eines SSL-Zertifikats zwingend. In Zeiten von kostenlosen SSL-Zertifikaten von Let’s Encrypt ist das glücklicherweise nicht mehr mit Zusatzkosten verbunden und stellt auch in der Einrichtung keine wirkliche Hürde mehr dar.
Zwei neue Domainendungen bringt der Mai
Neben .app startet im Mai 2018 auch die Endung .icu ins Rennen. .icu wird als Kürzel für «I see you» vermarktet, dürfte aber im englischsprachigen Raum auch für Spitäler interessant sein. ICU wird als Abkürzung für «Intensive Care Unit», also den englischen Begriff für Intensivstation genutzt.
Die beiden neuen Domainendungen gelangen zu den folgenden Daten in den öffentlichen Verkauf und können ab diesem Zeitpunkt auch bei uns registriert werden:
Alle Preise gelten für eine Vertragsdauer von einem Jahr. Preisänderungen und Irrtum sind vorbehalten. Der verbindliche Preis wird Ihnen während einer Bestellung angezeigt. Am oben genannten Datum beginnt die sogenannte General Availability-Phase, in der die Domains frei registriert werden können.
Bei der Registrierung gilt das Prinzip «First come – first served». Zögern Sie also nicht, Ihre Lieblings-Domains gleich ab Verfügbarkeit zu registrieren, bevor jemand anderes schneller ist.
Dank dem WordPress-Plugin LiteSpeed Cache sind Websites von cyon-Kunden bis zu 3x schneller als ohne Caching-Plugin. Doch das Plugin kann mittlerweile einiges mehr als «nur» Seiten zu cachen. In den letzten Monaten hat es sich zu einem regelrechten Performance-Tool entwickelt und bietet sogar Optimierungsfunktionen, für die kein LiteSpeed-Webserver nötig ist. Wir zeigen, welche hilfreichen Features LiteSpeed Cache für WordPress mittlerweile bietet.
Performance Tool für alle WordPress-Websites
Nutzen Sie verschiedene Plugins, um Ihre WordPress-Website auf Speed zu optimieren? Das LiteSpeed Cache-Plugin hält einige Funktionen bereit, mit denen sich einzelne Performance-Plugins ersetzen lassen. Die hier vorgestellten Funktionen finden Sie (wenn nicht anders erwähnt) in der WordPress-Administrationsoberfläche im Menü «LiteSpeed Cache» > «Settings».
Kostenloser Bildoptimierungs-Service
LiteSpeed Cache für WordPress kann neu nicht nur cachen, sondern auch Bilder optimieren. Die Kollegen von LiteSpeed haben dazu eine Serverfarm aufgebaut, auf der Ihre Bilder im JPG- und PNG-Format optimiert und auf Wunsch auch in das moderne Format WebP konvertiert werden. Damit kann LiteSpeed Cache für WordPress beliebte Plugins wie Smush, EWWW Image Optimizer oder Optimus ersetzen. Die Bildoptimierungsfunktion finden Sie unter dem Menüpunkt «LiteSpeed Cache» > «Image Optimization», wo Sie Schritt für Schritt durch die Einrichtung der Funktion geführt werden und Optimierungen rückgängig, wiederholen oder Daten löschen können.
Einstellungsmöglichkeiten für den Bildoptimierungs-Service.
Optimize: Kleine Tweaks für mehr Speed
Im Tab «Optimize» sind jede Menge kleine Optimierungen untergebracht, die sich bequem einzeln über Buttons aktivieren lassen.
CSS-, JS- und HTML-Minify: Mit der Minify-Funktion für CSS, JavaScript und HTML werden entsprechende Dateien von Leerzeichen, Einrückungen und gesäubert. Das spart Daten ein, die nicht zum Besucher übertragen werden müssen.
Inline-Minify: Mit dieser Funktion werden Minify-Funktion auch auf CSS- oder JavaScript-Code angewandt, der im HTML der aufgerufenen Seite eingebettet ist.
Combine: Vereint die verschiedenen CSS- und JavaScript-Dateien was HTTP-Requests einspart. Ist HTTP/2 verfügbar, ist die Funktion überflüssig.
HTTP/2 Push: Aktiviert für CSS- und JavaScript-Dateien HTTP/2 Server Push. Damit werden die Dateien bereits an den Browser geliefert, bevor dieser sie anfordert.
Load CSS Asynchronously: Das Laden einer Seite ist normalerweise erst abgeschlossen, wenn die CSS-Definitionen ebenfalls komplett geladen sind. Diese Option lässt CSS asynchron nachladen, womit der Aufbau der aufgerufenen Seite nicht behindert wird. Sie nützt auch beim Einsatz von Google Fonts und wirkt sich positiv auf das Resultat bei Speed-Test-Tools wie Pingdom Website Speed Test, GTmetrix oder Google PageSpeed Insights aus.
Load JS Deferred: Lässt sämtliche JavaScript-Dateien erst laden, nachdem das komplette HTML geladen ist und wirkt sich positiv auf das Resultat bei Speed-Test-Tools aus.
DNS Prefetch: Mit sogenanntem DNS-Prefetching startet der Browser DNS-Abfragen für die angegebenen Domains bereits, bevor die Domain aufgerufen wird. Das bringt vor allem für Website-Besucher Geschwindigkeit, die über Mobilfunk verbunden sind. Die gewünschten Domains werden pro Zeile in der Form //www.oliverorange.ch hinterlegt.
Mit Funktionen wie HTML-Minifying werden WordPress-Websites noch schneller.
Tuning: Feinjustierungen für Optimierungen
Unter dem Tab «Tuning» lassen sich die unter «Optimize» gemachten Einstellungen feinjustieren.
Combined CSS & JS Priority: Normalerweise werden externe CSS- und JavaScript-Dateien vor den kombinierten Dateien geladen. Mit dieser Funktion lässt sich die Reihenfolge umkehren.
CSS & JS Excludes: Die hier angegebenen CSS- und JavaScript-Dateien werden vom Minifying und der Kombination in eine Datei ausgenommen.
Remove Query Strings: Entfernt Query-Strings von statischen Quellen und wirkt sich positiv auf das Resultat bei Speed-Test-Tools aus.
Load Google Fonts Asynchronously: Lässt Google Fonts asynchron laden und fügt eine Preconnect-Anweisung hinzu.
Remove Google Fonts: Verhindert, dass Google Fonts auf der gesamten Website geladen wird.
Critical CSS Rules: Wenn die Option «Load CSS Asynchronously» unter «Optimize» ausgewählt ist, können hier CSS-Regeln definiert werden, die zwingend für den Aufbau der Seite bzw. von sogenannten Above-the-fold-Inhalten nötig sind.
JS Deferred Excludes: Hier angegebene JavaScript-Dateien sind von der Funktion «Load JS Deferred» ausgenommen.
Remove WordPress Emoji: WordPress liefert automatisch eine JavaScript-Datei mit, welche die Anzeige von Emojis in älteren Browsern möglich macht. Sind Ihre Website-Besucher bevorzugt mit modernen Browsern unterwegs, lässt sich mit dieser Option ein HTTP-Request einsparen.
URI Excludes: Hinterlegen Sie Seiten, die komplett von den unter «Optimize» gewählten Optimierungen ausgenommen werden sollen.
Role Excludes: Verhindern Sie, dass die aktivierten Optimierungen für die gewählte Nutzergruppe gelten.
Gewählte Optimierungen lassen sich unter «Optimize» justieren.
Media: Rund ums Bild
Unter dem Tab «Media» finden Sie die Optimierungsmöglichkeiten für Bilder auf Ihrer WordPress-Website.
Lazy Load Images: Sogenanntes Lazy-Loading lädt Bilder erst, wenn diese im Viewport, also dem sichtbaren Bereich des Browsers, erscheinen.
Lazy Load Image Excludes: Definieren Sie Bilder, die sofort geladen werden sollen. Die Angabe von Verzeichnissen ist möglich, um alle darin enthaltenen Bilder vom Lazy-Loading auszuschliessen.
Lazy Load Image Placeholder: Ist Lazy-Loading aktiviert, wird im Browser ein grauer Kasten als Platzhalter angezeigt, bis das entsprechende Bild geladen ist. Geben Sie hier ein Bild im Base64-Format an, um den Platzhalter an Ihr Design anzupassen.
Lazy Load iframes: Aktiviert die Lazy-Loading-Funktion für iframes.
Disable Optimization Pull: Schaltet das automatische Abholen Bilder vom Bildoptimierungs-Server ab.
Image WebP Replacement: Ersetzt alle Bilder mit der durch den Optimierungsdienst generierten WebP-Version. Unterstützt der Browsers des Besuchers kein WebP, wird die ursprüngliche Datei ausgeliefert. Die Funktion kann für einzelne Bilder in der Medienbibliothek übersteuert werden.
WebP Attribute To Replace: Für welche HTML-Elemente und -Attribute die WebP-Version eines Bildes ausgeliefert werden soll, lässt sich mit dieser Option definieren.
Only Request WebP: Diese Funktion bewirkt, dass JPG- und PNG-Dateien nicht vom Optimierung-Server verkleinert werden, aber trotzdem eine WebP-Version des Bildes generiert wird.
Preserve EXIF Data: Verhindert, dass Fotos durch die Optimierung ihre EXIF-Daten verlieren, die durch Digitalkameras generiert werden.
Optimierungen rund ums Bild.
CDN: Näher beim Besucher
LiteSpeed Cache für WordPress unterstützt neu auch die Einbindung eines Content-Delivery-Networks (CDN). Mit einem CDN liegen statische Daten auf Servern auf der ganzen Welt verteilt und sind damit geografisch näher bei Website-Besuchern aus dem Ausland. Falls Sie auf den beliebten CDN-Anbieter Cloudflare setzen, bietet das Plugin sogar eigene Anbindung über die Cloudflare-API, was die Konfiguration des CDNs noch komfortabler macht.
Dank CDN sind statische Daten auf der ganzen Welt verteilt und näher beim Besucher.
Zusatzfeatures für cyon-Kunden
Neben den vielen Performance-Optimierungen, die sich dank LiteSpeed Cache für WordPress mit jeder WordPress-Website erzielen lassen, haben die Entwickler des Plugins ihre Wurzeln nicht vergessen. LSCWP, wie die Entwickler das Plugin abgekürzt nennen, verpackt alle tollen Funktionen des LiteSpeed-Webservers, dessen eingebautem Cache-Modul und Premium-Funktionen wie Memcached oder einem Crawler in einer einfach bedienbaren Oberfläche.
ESI: Edge Side Includes
Edge Side Includes (ESI), ein Zauberwort, dass vor allem Online-Shop-Betreiber hellhörig werden lässt. Caching ist eine Wissenschaft für sich. Umso mehr, wenn es darum geht, nur gewisse Teile einer aufgerufenen Seite aus einem Cache zu liefern.
Bestes Beispiel ist der Warenkorb eines Online-Shops. Wird hier vom Server nicht der aktuelle Inhalt des Warenkorbs geliefert, ist die Wahrscheinlichkeit gross, dass der Kunde abspringt. Gleichzeitig sind Online-Shops mit vielen Produkten und Kategorien für den Server aufwendig zu berechnen. ESI lösen das Problem, indem die aufgerufene Seite in Blöcke aufgeteilt wird. Bleibt ein Block, wie z.B. die Angaben zum Produkt oder die Navigation, meist unverändert, kann dieser gefahrlos aus dem Cache geliefert werden. Der Block, in dem sich der Warenkorb befindet, soll aber bei jedem Aufruf neu berechnet werden. Schliesslich sollen immer alle Produkte im Warenkorb vorhanden sein.
Mit der Aktivierung von ESI lassen sich somit auch für eingeloggte Benutzer Inhalte aus dem Server-Cache liefern. Die Einstellungen zu der Funktion finden Sie unter dem Tab «ESI».
Edge Side Includes räumen Schwächen eines Seiten-Caches aus dem Weg.
Advanced: Objekt-Cache und weitere Tools für Cracks
Unter dem Tab «Advanced» finden Sie die Option «Object Cache». Damit lassen sich Objekte an einen zusätzlichen Cache-Dienst wie Memcached oder Redis auslagern. Objekte in WordPress sind Datenbankabfragen die rechenintensiv sind oder sehr häufig aufgerufen werden. Mit der Auslagerung dieser Datenbankabfragen in ein Objekt wird der Datenbankserver entlastet und Seitenaufrufe, die eine jetzt gecachte Datenbankabfrage ausgelöst hätten, sind nochmals schneller.
Objekt-Cache und weitere Tools für Experten.
Crawler: Reise durch die Sitemap
Dank der eingebauten Crawler-Funktion kommen alle Ihre Besucher in den Genuss von LiteSpeed Cache. Der Crawler ruft regelmässig alle Seiten Ihrer Website auf und füllt damit automatisch den Cache. Besuchen Nutzer eine weniger besuchte Unterseite, profitieren diese gleichwohl von einer bereits gecachten Seite und damit von einem blitzschnellen Seitenaufbau.
Dank dem Crawler geniesst jeder Besucher die Geschwindigkeit, die ein Seiten-Cache bringt.
Unterstützung auf allen Kanälen
Nebst all den vielen Performance-Funktionen weiss LiteSpeed Cache für WordPress auch durch praktische Helferlein zu beeindrucken. So bringt das Plugin einen eingebauten Editor für die .htaccess-Datei mit, kann die gemachten Einstellungen exportieren oder aus einer Datei importieren und bietet nicht zuletzt die Möglichkeit, einen Report an die LiteSpeed-Entwickler zu senden. Dies hilft bei Support-Anfragen an die Entwickler ungemein und lässt allfällige Problem schneller ausfindig machen.
Für das CMS Drupal ist vor ein paar Tagen eine extrem kritische Sicherheitslücke angekündigt (deutsche Quelle bei heise) worden. Gestern Abend wurden Details zur Lücke veröffentlicht und entsprechende Updates sowie Patches bereitgestellt.
cyon-Kunden können bereits aufatmen, wir haben die von der Community getaufte Lücke «Drupalgeddon2» in der vergangenen Nacht flächendeckend geschlossen. In Ihrem my.cyon-Konto unter «Sicherheit» -> «Sicherheitslücken & Malware» können Sie den Vorgang nachvollziehen, falls Sie eine Drupal-Installation auf Ihrem Webhosting betreiben:
my.cyon: Informationen zur Sicherheitslücke.
Sicherheitsrisiko «hochkritisch»
Die Sicherheitslücke Drupalgeddon2 macht eine sogenannte «Remote Code Execution» möglich. Angreifer können damit durch das Absetzen einer bestimmten Anfrage an die Drupal-Website beliebigen Code ausführen. Die Sicherheitslücke wurde vom Drupal-Security-Team deshalb als «hochkritisch» eingestuft. Betreiber von Drupal-Websites, deren Installationen nicht automatisch gegen die Sicherheitslücke gepatcht worden sind, sollten darum unverzüglich den von den Drupal-Entwicklern bereitgestellten Patch bzw. die gleichzeitig erschienene neue Version einspielen. Das Security-Team geht davon aus, dass die Sicherheitslücke in kürzester Zeit ausgenutzt wird.
Die PHP-Version 7.0 wird ab Dezember 2018 keine Sicherheitsupdates mehr erhalten. Die Nachfolgeversion PHP 7.1 wird deshalb ab Juli 2018 zur neuen Standardversion auf unseren Servern. Wir erklären, wie Sie Ihre Website für die Umstellung vorbereiten.
Muss ich etwas unternehmen?
Falls Sie für Ihre Website nicht ausdrücklich eine andere PHP-Version in Ihrem my.cyon-Konto ausgewählt haben, nutzen Sie die von uns vorgegebene PHP-Standardversion. Zurzeit ist das PHP 7.0.
Nach der Umstellung der Standardversion wird Ihre Website völlig automatisch mit PHP 7.1 ausgeliefert. Sie können bereits jetzt testen, ob Ihre Website auch mit PHP 7.1 wie gewohnt funktioniert. Und so geht’s:
Wie prüfe ich, ob meine Website auch mit PHP 7.1 funktioniert?
Die beliebtesten Content-Management-Systeme sind bereits seit längerem mit PHP 7.1 kompatibel. Um zu testen, ob auch Ihre Website mit PHP 7.1 problemlos funktioniert, gehen Sie bitte wie folgt vor:
Loggen Sie sich in Ihr my.cyon-Konto ein.
Wählen Sie den Menüpunkt «Erweitert > PHP-Versionsmanager».
Wählen Sie für das Stammverzeichnis «public_html» oder einen einzelnen Unterordner die PHP-Version 7.1.
Rufen Sie Ihre Website auf und prüfen Sie diese auf sichtbare Fehler oder fehlende Elemente.
Funktioniert Ihre Website auch mit PHP 7.1 wie gewünscht, wählen Sie wieder den Wert «Standard» für die gewünschten Ordner. So nutzen Sie immer automatisch die jeweils gültige Standardversion.
Wann wird die PHP-Standardversion für mein Webhosting umgestellt?
Wir werden mit der Umstellung der PHP-Standardversion ab Juli 2018 beginnen. Um Ihnen bei allfälligen Problemen mit der Umstellung rasch zur Seite stehen zu können, werden wir die Umstellung auf verschiedenen Servern zu unterschiedlichen Zeitpunkten vornehmen. Sie finden den genauen Zeitplan in unserem Supportcenter-Artikel zum Thema PHP-Versionen: Bis wann kann ich eine PHP-Version benutzen?
Wir werden Sie ausserdem einige Tage vor der Umstellung per E-Mail an den Termin erinnern.
In der Regel sind bei Änderungen an der PHP-Version mit den Kernsystemen von WordPress, Joomla, TYPO3, Drupal, Contao und Co. also keine Probleme zu erwarten. Vielmehr sind es Plugins, Erweiterungen und Themes, die noch nicht mit modernen PHP-Versionen kompatibel sind. Legen Sie deshalb bei der Prüfung Ihrer Website mit PHP 7.1 ein besonderes Augenmerk darauf, ob eingesetzte Plugins und Themes Fehler generieren. In vielen Fällen genügt dann das Deaktivieren des Plugins oder der Wechsel auf ein moderneres Theme, um die eigene Website wieder fit für die kommenden Jahre zu machen.
Auch wir haben im Vorfeld bereits verschiedentlich über das neue Gesetz berichtet und fragten uns 2015, ob ein Überwachungsstaat drohe und bezeichneten 2016 das BÜPF als Gefahr für den Internetstandort Schweiz. Ein Referendum gegen die Gesetzesrevision kam mangels genügend Unterschriften nicht zustande.
Trotzdem wurde das Gesetz an verschiedenen Ecken nochmal überarbeitet und im Vergleich zu den ersten Entwürfen in Teilen etwas abgeschwächt. Mit den ab 1. März 2018 geltenden, neuen Gesetzesbestimmungen sollen Strafuntersucher nun zum Beispiel bei besonders schweren Straftaten neu sogenannte «Government Software» einsetzen dürfen. Ein solcher «Staatstrojaner» darf bei bestimmten, schweren Straftaten eingesetzt werden und bedarf der Genehmigung des zuständigen Zwangsmassnahmengerichts. Damit soll verhindert werden, dass Überwachungen präventiv stattfinden können.
Ebenfalls neu gibt es eine Pflicht zur Identifizierung der Nutzer von öffentlichen WLANs. Hier hat der Bund entgegen seinen ersten Entwürfen nachgegeben: Hat die Identifizierungspflicht in den ersten Versionen noch für alle Betreiber gegolten, so sieht das jetzt in Kraft tretende Gesetz nur noch vor, dass kommerzielle Anbieter die Nutzer Ihrer WiFi’s identifizieren müssen. Wer also sein WiFi zuhause, im Hotel, in Bars und Restaurants oder gar am Open-Air selbst betreibt und das nicht an einen Anbieter auslagert, muss die verbundenen Nutzer nicht identifizieren.
Und was bedeutet das neue BÜPF für unsere Kunden?
Für die Anbieter sogenannt abgeleiteter Kommunikationsdienste, unter welche auch wir als Webhosting-Provider fallen, ändert sich glücklicherweise nur wenig. Maximalforderungen, wie eine automatische Auskunftserteilung oder die Installation von Anlagen, die es erlaubt hätten, Überwachungsaufträge automatisiert zu starten, sind, zumindest für uns, vom Tisch.
Allerdings haben wir eine allfällige Überwachung zu «dulden». Im Falle eines Falles müssten wir also Randdaten zur Kommunikation einer überwachten Person herausgeben, beispielsweise die E-Mail-Adresse des Empfängers, dem die überwachte Person eine E-Mail schreibt, oder die IP-Adresse des empfangenden oder sendenden E-Mail-Servers aus unseren Logfiles. NICHT herausgeben müssen wir jedoch den Inhalt der E-Mail-Korrespondenz. Dazu wären wir aber sowieso nicht in der Lage, da wir diese Daten – selbstverständlich – auch gar nicht aufzeichnen.
Im Extremfall müssten wir zudem gemäss Art. 27 Abs. 1 BÜPF eine Überwachung betreffend der Daten, welche die überwachte Person unter Verwendung abgeleiteter Kommunikationsdienste übermittelt oder speichert, durch den Dienst ÜPF oder durch dessen Beauftragte dulden. Auf gut Deutsch: Wird eine Überwachung in Echtzeit angeordnet, müssen wir diese zwar nicht selbst durchführen, wären wir in einem solchen Fall aber verpflichtet, der Behörde entsprechend Zugang zu «Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten» zu gewähren, wie es in der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) heisst. Wir werden über solche Auskunftsanfragen auch in Zukunft in unserem jährlich erscheinenden Transparenzbericht informieren.
