Probleme mit SSL auf Android

[tpk]

Hi,

zwei Kunden haben in kurzer Zeit für den Shop

https://www.hufschuhe-onlineshop.de/

Probleme mit dem SSL-Zertifikat gemeldet, wenn sie sich als Kunde mit einem ANDROID anmelden.

Der Provider meint (Alfahosting), das sollte daran liegen, dass der Shop nicht komplett unter SSL läuft, sondern nur bestimmte Seiten.

Auf meinem WinPhone und auf dem PC kann ich das Problem nicht nachvollziehen.

Die ersten zwei Shots sind von Kunde 1.

Vielen Dank im Voraus!

Linkback: https://www.modified-shop.org/forum/index.php?topic=32851.0

[Alfred]

Hallo,

allgemein kann man den Kunden nur sagen das nicht "Internet" genommen werden sollte um ins Internet zu gehen.
Das Teil ist immer veraltet. Sie müssen sich einen Browser holen.

Bei Zertifikaten, Browsern und Servern gibt es verschiedene Arten von Problemen.

a. Das Zertifikat hat eine Laufzeit von mehr als 39 Monaten.
Die Browser akzeptieren es nicht.

b. Der Browser ist so alt das er ssl gar nicht kann.

c. Der Server ist falsch konfiguriert und akzeptiert ssl auch wenn es unsicher verwendet wird. Die Browser akzeptieren das nicht.

d. Es gibt Server die Sicherheit sehr strikt umsetzen. Da dürfen veraltete Browser nichts.

Prüfen kannst du das auf https://www.ssllabs.com/ssltest/index.html
Dein Server ist da nicht sicher. Was dort verschlüsselt wird ist nicht sicher. Ab A fängt da Sicherheit an.

Das ist wie eine Passwortabfrage der man sagen kann ich habe kein PW und bekommt dann das Standard-PW.

Gruß

[Matt]

Das Zertifikat und die Serverkonfiguration ist Schrott, unbestritten, aber das eigentliche Problem kommt gar nicht von hufschuhe-onlineshop.de, sondern vom eingebundenen Piwik.

Das wird nämlich von it-statistik.net geladen, nutzt aber ein Zertifikat, das auf bbc-lb.org ausgestellt ist. Und das hat nichts mit dem Browser zu tun, das meckert auch Chrome auf OS X an - allerdings (noch) nicht so aggressiv.

[tpk]

Vielen Dank für Eure Infos

Das Zertifikat und die Serverkonfiguration ist Schrott

Schrott in dem Sinne, dass das bei einer gezielten Attacke nicht sonderlich sicher wäre, oder? Liegt das daran, dass das ein Shared-Host-Paket ist, oder können andere Anbieter das besser?

Wo kann man sehen, dass Piwik der böse ist? Wahrscheinlich bleibt mir nix anderes übrig, als Piwik rauszunehmen, oder?

[Fakrae]

Ist die Frage - kannst du Piwik nicht einfach auf deiner eigenen Domain installieren? Warum wird das von einer anderen URL geladen?

[Matt]

Schrott in dem Sinne, dass das bei einer gezielten Attacke nicht sonderlich sicher wäre, oder? Liegt das daran, dass das ein Shared-Host-Paket ist, oder können andere Anbieter das besser?

Das Zertifikat ist bei genauerem hinsehen gar nicht so kaputt. Dachte das wäre noch SHA1 mit drei Jahren Laufzeit. Ist es aber zum Glück nicht. Der Server ist aber u.a. anfällig für eine schwerwiegende Sicherheitslücke:
https://www.ssllabs.com/ssltest/analyze.html?d=hufschuhe-onlineshop.de
http://de.wikipedia.org/wiki/Poodle

Wo kann man sehen, dass Piwik der böse ist? Wahrscheinlich bleibt mir nix anderes übrig, als Piwik rauszunehmen, oder?

[ Für Gäste sind keine Dateianhänge sichtbar ]
Die rote Zeile. Du kannst Piwik natürlich selber hosten. Oder den Betreiber der Domain mal fragen was das soll.

[tpk]

Vielen Dank für Eure Infos.

Piwik liegt auf einem anderen Server, weil das bei alfahosting auf einem Shared Paket nicht erlaubt ist (zu große Last). Die Kundin nutzt es eh nicht, also fort damit.

Piwik bietet ein Hosting-Paket bei Arvixe an, das habe vor Jahren genommen. Ist nicht sonderlich teuer, aber die Performance ist unter aller Kanone. Nehme dann wohl doch wieder Analytics in Zukunft.

Das mit der Sicherheitslücke werde ich denen dann mal stecken.