Chrome und Firefox: Aus die Maus für SSL-Zertifikate von Symantec

Philipp Zeder

Google und Mozilla haben angekündigt, den von der Zertifizierungsstelle Symantec ausgestellten SSL-Zertifikaten in ihren Browsern bald nicht mehr zu vertrauen. Damit endet ein längerer Streit zwischen Google und einem der führenden Anbieter von SSL-Zertifikaten. Wir zeigen, was der Vertrauensentzug bedeutet, wie Sie prüfen, ob Ihr SSL-Zertifikat betroffen ist und was Sie dagegen unternehmen können.

Vertrauensentzug durch Browser-Hersteller

Dem Vertrauensentzug war ein längerer Streit zwischen den Browserherstellern und dem SSL-Zertifikateanbieter Symantec vorangegangen. Symantec hatte bereits 2015 unberechtigterweise Test-Zertifikate ausgestellt, unter anderem auch für Domains von Google. Seither stand die Zertifizerungsstelle unter verschärfter Beobachtung. Nachdem weitere Fälle bekannt wurden, in denen Partnerfirmen über die Systeme von Symantec unberechtigt Zertifikate ausgestellt hatten, entschied sich Google für drastische Massnahmen und kündete Symantec das Vertrauen.

Zeitplan für den Abschied von Symantec-Zertifikaten

Google hat in einem kürzlich veröffentlichten Blogbeitrag den Zeitplan definiert, wie den Zertifikaten von Symantec schrittweise nicht mehr vertraut wird. Mozilla hat sich ebenfalls entschlossen, sich dem von Google definierten Zeitplan anzuschliessen. Damit werden über 60% der weltweiten Browser-Nutzer bis Mitte Oktober 2018 keine Websites mehr besuchen können, die mit einem SSL-Zertifikat von Symantec verschlüsselt sind. Die beiden anderen grossen Browser-Hersteller Apple und Microsoft haben sich bisher nicht öffentlich dazu geäussert, wie sie mit Symantec-Zertifikaten umgehen werden. Der Zeitplan von Google sieht folgendermassen aus:

  • Mitte März 2018: Chrome 66 wird als Beta-Version veröffentlich. Mit der Version werden keinen Symantec-Zertifikaten mehr vertraut, die vor dem 1. Juni 2016 ausgestellt wurden. Benutzer erhalten im Browser eine Warnung, dass das SSL-Zertifikat nicht vertrauenswürdig ist.
  • Mitte April 2018: Chrome 66 wird als Stable-Version veröffentlicht.
  • Mitte September 2018: Chrome 70 wird als Beta-Version veröffentlicht. Mit der Version wird sämtlichen Symantec-Zertifikaten das Vertrauen entzogen. Benutzer erhalten im Browser eine Warnung, dass das SSL-Zertifikat nicht vertrauenswürdig ist.
  • Mitte Oktober 2018: Chrome 70 erscheint als Stable-Version.
Warnung in Google Chrome, dass dem Root-Zertifikat nicht vertraut wird.

Warnung in Google Chrome, dass dem Root-Zertifikat nicht vertraut wird.

Bin ich davon betroffen?

Symantec betreibt Zertifizierungsstellen unter verschiedenen Markennamen wie Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wenn Sie ein SSL-Zertifikat eines dieser Anbieter nutzen ist die Wahrscheinlichkeit hoch, dass Ihrem SSL-Zertifikat in den Browsern Chrome und Firefox ab September 2018 nicht mehr vertraut wird und Besucher Ihrer Website eine Warnung erhalten. Wurde Ihr SSL-Zertifikat vor dem 1. Juni 2016 ausgestellt, erhalten Besucher Ihrer Website bereits Anfang 2018 eine Warnung.

Ob das SSL-Zertifikat Ihrer Website betroffen ist, prüfen Sie am einfachsten mit dem Dienst Hardenize. Nebst vielen anderen interessanten Informationen zur Verschlüsselung Ihrer Website verrät der Dienst auch, ob und in welchem Masse Sie vom Symantec-Problem betroffen sind.

Prüfresultat von Hardenize: Unter dem Menüpunkt «Certificates» lassen sich die relevanten Informationen auslesen.

Prüfresultat von Hardenize: Unter dem Menüpunkt «Certificates» lassen sich die relevanten Informationen auslesen.

Was kann ich tun, wenn ich betroffen bin?

Falls Sie vom Problem betroffen sind, empfehlen wir, dass Sie das SSL-Zertifikat für Ihre Website sobald wie möglich auswechseln. Eine gute Alternative sind die Zertifikate der gemeinnützigen Zertifizierungsstelle Let’s Encrypt. Als cyon-Kunde installieren Sie die kostenlosen SSL-Zertifikate bequem per Mausklick. Und um die rechtzeitige Erneuerung der Zertifikate kümmern wir uns automatisch.

Artikel öffnen

CMS-Rangliste 2017: Die 5 beliebtesten Systeme unserer Kunden

Philipp Zeder

Ungeschlagen auf Platz 1: WordPress baut seinen Vorsprung zusätzlich aus und bleibt das bei unseren Kunden beliebteste Content-Management-System (CMS).

WordPress bleibt das beliebteste CMS unserer Kunden

WordPress bleibt das beliebteste CMS unserer Kunden.

Gegenüber 2016 legt WordPress in der Anzahl Installationen noch einmal kräftig zu und beansprucht damit neu 64.1% des Top-5-Kuchens für sich. Auch auf den folgenden Plätzen hat sich die Rangliste im Vergleich zum letzten Jahr nicht verändert. Zwar legten die zweit- und drittplatzierten Systeme Joomla und TYPO3 gegenüber dem Vorjahr in absoluten Zahlen zu, der Zuwachs der WordPress-Installationen war jedoch im Verhältnis grösser. Das viertplatzierte Contao konnte dank einer ordentlichen Steigerung der Installationen als einziges System neben WordPress den Anteil steigern. Schlusslicht Drupal hat gegenüber 2016 sogar Installationen eingebüsst und bleibt damit auch anteilsmässig auf dem fünften Platz.

Die Entwicklung der Top-5 seit 2013

Die Entwicklung der Top-5 seit 2013.

Unsere Auswertung bewegt sich auch dieses Jahr ungefähr im Bereich der weltweiten Verbreitung der Systeme. Prominente Ausnahme bildet Contao, das mit dem Ursprungsland Deutschland naturgemäss im deutschsprachigen Raum eine höhere Verbreitung geniesst.

Top-10-Applikationen: Keine weiteren CMSe vertreten

Während die ersten 5 Plätze der beliebtesten Apps eben durch Content-Management-Systeme belegt sind, zeigt sich auf den Plätzen 6 – 10 ein anderes Bild. Nach den Top-5 folgen nämlich die beiden E-Commerce-Lösungen PrestaShop und Magento. Neben den beiden schaffen es auch ownCloud, MediaWiki und Nextcloud in die ersten 10. Erst auf Platz 11 rangiert dann wiederum eine Applikation aus der Kategorie CMS: ModX verpasst die Top-10 der beliebtesten Systeme nur knapp.

Artikel öffnen

HTTP/2 Server Push: Zeit sparen dank weniger Browser-Anfragen

Philipp Zeder

«Server Push», eines der Highlights von HTTP/2, soll das sogenannte Inlining von CSS und JavaScript überflüssig machen. Server Push können Sie ab sofort auf unseren Servern nutzen. Wir zeigen, was Server Push genau ist und wie Sie die Funktion einsetzen.

Was bedeutet Server Push?

Das Aufrufen von Websites folgt normalerweise dem Prinzip Frage-Antwort. Ein Beispiel: Der Browser verlangt vom Server die Datei index.html und erhält diese Datei darauf vom Server zurückgeliefert. Beim Verarbeiten der HTML-Datei erkennt der Browser verlinkte Dateien wie CSS-Anweisungen oder JavaScript-Code, die zur Darstellung der angeforderten Seite (hier also index.html) nötig sind. Der Browser muss daraufhin alle verlinkten Dateien beim Server anfragen, um die Seite darstellen zu können. Die Kommunikation, die bei der Anfrage der verlinkten Dateien entsteht, kostet Zeit. Und diese Zeit lässt sich mit Server Push einsparen.

Server Push spart Anfragen vom Browser an den Server ein.

Server Push spart Anfragen vom Browser an den Server ein.

Mit Server Push lassen sich also Dateien vom Server an den Browser liefern, die dieser sowieso zur Darstellung der angeforderten Seite benötigt. Die zusätzlichen Anfragen vom Browser an den Server, er solle doch bitte noch die zusätzlichen Dateien liefern, entfällt.

So funktioniert Server Push

Server Push wird über HTTP-Header gesteuert, die sich entweder mit direkten Anweisungen für den Webserver (in unserem Beispiel in der .htaccess-Datei) oder über die eingesetzte Programmiersprache (in unserem Beispiel über die header-Funktion von PHP) definieren lassen. Im HTTP-Header sind die Dateien definiert, die der Server pushen möchte. Nach der Lieferung der eigentlich angefragten Datei index.html liefert der Server sofort die angekündigten Dateien nach. Während die angefragte Seite im Browser verarbeitet wird, erhält der Browser bereits die sowieso benötigten CSS- und JavaScript-Dateien. Die Nachfrage nach den in der HTML-Datei verlinkten Quellen entfällt also.

Server Push in der .htaccess-Datei definieren

Soll Server Push in der .htaccess-Datei gesteuert werden, kann der Befehl zum Beispiel folgendermassen aussehen:

<FilesMatch "index.html">
    Header add Link "</css/styles.css>; rel=preload; as=style"
</FilesMatch>

Heisst die gelieferte Datei index.html wird vom Server zusätzlich die Datei /css/styles.css per Server Push geliefert. Sollen mehrere Dateien per Server Push verschickt werden, können Sie die Anweisungen durch ein Kommazeichen unterteilen. Die Aufteilung in mehrere Zeilen ist ebenfalls möglich:

<FilesMatch "index.html">
    Header add Link "</css/styles.css>; rel=preload; as=style"
    Header add Link "</js/scripts.js>; rel=preload; as=script"
</FilesMatch>

Server Push in PHP definieren

Bei der Steuerung von Server Push in PHP machen wir uns die header-Funktion zu Nutze. Die Header-Anweisung muss die erste Anweisung in einer PHP-Datei sein, andernfalls kommt es zu Fehlermeldungen. Am Beispiel index.php könnte der Befehl also wie folgt aussehen:

<?php
header("Link: </css/styles.css>; rel=preload; as=style, </js/scripts.js>; rel=preload; as=script");

Server Push für beliebte Content-Management-Systeme

Für die beliebtesten CMSe unserer Kunden stehen Plugins und Erweiterungen bereit, die Server Push in das jeweilige System integrieren. Damit sind keine Anpassungen am PHP-Code oder in der .htaccess-Datei nötig:

Wie teste ich, ob Server Push funktioniert?

Am einfachsten lässt sich Google Chrome erkennen, ob eine Datei per Server Push an den Browser geliefert wurde:

  1. Öffnen Sie die Entwickler-Tools von Chrome
  2. Wechseln Sie zum Netzwerk-Tab
  3. Aktivieren Sie die Spalte «Initiator»
  4. Lautet der Initiator «Push», wurde die Datei per Server Push geliefert.
Chrome: Testen ob Server Push funktioniert

Das Stichwort «Push» signalisiert, dass die Datei per Server Push geliefert wurde.

Verantwortungsvoll pushen

Die Versuchung ist gross, sämtliche auf einer Seite eingebundenen Dateien per Push vorzeitig an den Browser senden zu lassen. Was bei Dateien Sinn macht, die sonst per Resource-Inlining mit der HTML-Datei übertragen werden, kann sich bei zu vielen Daten aber auch negativ auf die Ladezeiten einer Seite auswirken.

Ausserdem sollten Sie einen Check einbauen, damit Daten nicht erneut übertragen werden, obwohl sich diese schon im Cache des Browsers befinden. Ein neuer Standard mit dem Namen Cache Digests wird es möglich machen, dass der Browser den Server über die Dateien im Cache informiert. Da Cache Digests bislang aber von keinem Browser unterstützt werden, muss vorübergehend eine eigene Lösung her. Eine sehr gute Anleitung dazu, wie sich dies in PHP lösen lässt, hat Jeremy Wagner für CSS-Tricks verfasst.

Artikel öffnen

Die neue Generation Speedserver ist da

David Burkardt

Nun ist er da, unser komplett überarbeiteter Speedserver der neusten Generation. Mit mehr CPU-Cores, mehr Arbeitsspeicher und vor allem: 200 GB purem SSD-Webspace. Doch das ist noch nicht alles:

Mehr Speed fürs Geld

Mit der neuen Generation Speedserver haben wir auch das Angebot vereinfacht: Statt 14 unterschiedlichen Ausführungen gibt es jetzt noch deren drei – und das zu deutlich günstigeren Preisen:

  • 4 CPU-Cores, 8 GB RAM und 200 GB SSD-Webspace für CHF 199/Monat (vorher: CHF 359)
  • 8 CPU-Cores, 16 GB RAM und 200 GB SSD-Webspace für CHF 299/Monat (vorher: CHF 659)
  • 16 CPU-Cores, 32 GB RAM und 200 GB SSD-Webspace für CHF 499/Monat (vorher: nicht erhältlich)

Zwischen den drei Ausführungen kann jederzeit gewechselt werden. Ideal, wenn Sie zwischenzeitlich mit einem grösseren Ansturm auf Ihre Website rechnen.

Die neue Generation Speedserver ist da.

SSD pur

Um das absolute Maximum aus dem neuen Speedserver zu kitzeln, haben wir ihn mit purem SSD-Speicher ausgestattet. SSDs (englisch für Solid-State-Drives) sind im Vergleich zu herkömmlichen Festplatten massiv schneller, da sie keine beweglichen Teile enthalten. Perfekt also, um Ihrer Website einen enormen Geschwindigkeitsschub zu verpassen.

Die neue Generation macht unseren Kunden Freude.

Zusätzliche Accounts

Auf einem Speedserver lassen sich neu insgesamt 5 voneinander getrennte Accounts anlegen. Ideal für Tests oder den Betrieb einer Staging-Umgebung.

Komplett gemanagt durch cyon

Die neuen Speedserver werden weiterhin komplett durch uns verwaltet und überwacht und enthalten alle Funktionen, die unser Hosting so einzigartig machen. Unser my.cyon, unser kompetenter und schneller Support, kostenlose SSL-Zertifikate, Apps, der Webserver LiteSpeed mit LSCache und das automatisches Schliessen von Sicherheitslücken sind da nur einige dieser Merkmale.

Wir haben diese und weitere Besonderheiten auf unserer überarbeiten Webseite zum Speedserver aufgeführt.

Artikel öffnen

Wir nehmen den Geekserver aus unserem Angebot

David Burkardt

Vor rund vier Jahren haben wir unser Angebot mit Cloudservern erweitert und dabei mit dem Geekserver eine «unmanaged» Variante (d.h. der Kunde erhält einen «leeren» Server und kümmert sich selbst um Betriebssystem und Wartung) angeboten. Über die Zeit haben wir dabei gelernt, dass der Geekserver nicht mehr zu 100% zu uns passt.

Wir möchten das Internet zu einem besseren Ort machen. Dafür versuchen wir, die bestmöglichen Produkte zu bauen und glauben, dass dafür ein messerscharfer Fokus unabdingbar ist. Der Markt rund um Geekserver bzw. virtuelle Server ist weiterhin stark im Wandel und um vorne mitspielen zu können, sind, wie bei allen Produkten, kontinuierlich grosse Investitionen und Weiterentwicklungen nötig.

Der hohe Investitionsbedarf, die Verwässerung unseres Fokus und nicht zuletzt auch die im Vergleich zu unseren anderen Produkten geringe Nachfrage nach dem Geekserver haben den Entscheid reifen lassen, den Geekserver per Ende Juli 2017 aus unserem Angebot zu nehmen.

Diese Entscheidung fällt uns nicht leicht, doch glauben wir, dass unsere Kräfte bei unseren anderen Produkten besser eingesetzt sind und wir dadurch einen deutlich grösseren Wert für unsere Kunden schaffen können.

Starke Alternativen

Der angesprochene Markt bietet heute eine Vielzahl an tollen Geekserver-Alternativen, sowohl in der Schweiz wie auch weltweit. Dazu eine kleine Auswahl an Anbietern:

Schweiz

International

Unsere Geekserver-Kunden haben wir schon vor einiger Zeit über die Umstellung informiert und die Abschaltung ist inzwischen vollzogen.

Abschliessend bedanken wir uns erneut bei allen unseren ehemaligen Geekserver-Kunden für das in uns gesetzte Vertrauen und würden uns freuen, den Einen oder Anderen mit unseren verbleibenden Produkten weiterhin zu unseren Kunden zählen zu dürfen. Unser Herzblut ist allen unseren Kunden jederzeit Gewiss.

Artikel öffnen