Nun, ich hatte mich bereits geäußert (Link), meine privaten Vergnügen in öffentlichen Räumen zu ändern. Der Schere im Kopf wegen. Nun muss ich ja anderen nicht aufzwängen, was ich selbst nicht mehr für richtig halte. Also gibt es einige Änderungen, die ich kurz hinterlegen will. Die Konfigurationsänderung betrifft johnlose.de und mobilejoe.de.
Kurzum es ist ein wenig Verbesserung, schließt aber auch einige Betriebssysteme von Computern und Smartphones aus, sofern ich denn alles richtig gemacht habe.
Cloudflare
ist bei mir jetzt Geschichte. Die Datenschutzhinweise müssten noch aktualisiert werden, aber das war’s denn auch. Wenn die Nameservereinträge wieder auf All-Inkl.com zeigen, ist das hoffentlich alles reibungslos über die Bühne gelaufen. Der Support von All-Inkl war mal wieder Zucker und hat meine Wünsche (Änderung Nameserver) auch am Wochenende, mitten in der Nacht durchgeführt. Da Cloudflare bislang bei mir die komplette DNS-Infrastruktur gehostet hat, war’s ein wenig heftig, alle Einträge – so wie sie sind – auch wieder bei All-Inkl.com einzupflegen. Aber es funktioniert und ich bekomme weiterhin Emails, Jabber fehlt noch, aber das nutzt von Euch sowieso niemand. Es ist – zugegeben – ein „mulmiges“ Gefühl, die Hosen herunterzulassen und ohne Reverse-Proxy – quasi nackt – im Netz zu stehen. Aber das geht in Ordnung, sofern sich WordPress keinen Fauxpas erlaubt. Ja, auch das Cloudflare Cookie ist Geschichte. Es gibt derer nur noch zwei auf dieser Website, sofern Ihr denn nicht kommentieren wollt…
Und, oh Wunder – Auch mit dem ganzen Avada-CSS-Geraffel von diesem Ding kriege ich bei Google immer noch einen PageSpeed Insights Index von 95 zustande, und Pingdom gibt mir immerhin noch ein B für 3 Sekunden Ladezeit. All-Inkl ist wirklich sauschnell.
Neue TLS-Zertifikate
Ihr wisst, dass ich überhaupt kein Fan von Comodo war und bin. Ein Negativmerkmal von Comodo war u.a. deren eklatante Unaufmerksamkeit und viele, viele Negativschlagzeilen in der Vergangenheit, siehe hierzu auch auf Heise.de. Das Thema Sicherheit war denen offenbar egal. Mit Cloudflare war ich dazu verdammt, Comodo zu nutzen und ich hatte keine Chance, auch nur im Ansatz eine andere CA zu verwenden. Mit dem Ende von Cloudflare hätte ich mir jetzt was aussuchen können. Wollte ich aber nicht, meine Entscheidung stand schon länger fest, da ich – sofern möglich – quasi alles mit Letsencrypt mache. Da dieser Content auf einem Shared-Hoster liegt, muss der Anbieter das auch unterstützen. All-Inkl.com tut das, schon seit geraumer Zeit. Ich bin dankbar und zufrieden – hier seht ihr, wie einfach das geht: Link.
Hinzu kommt, dass die Herrschaften gleich mal HSTS anbieten und Du schon einen Schritt näher an einer vernünftigen Konfiguration bist.
Meine Konfiguration sieht wie folgt aus: Link (Qualys).
Securityheaders, Public Key Pinning, X-Xss, usw.
Oha. Wirklich nicht witzig. Es bringt ja nix, wenn man einen Server vernünftig aufgesetzt (in meinem Fall von All-Inkl.com) bekommen hat und der Client – also Ihr alle – macht, was er will. Möglicherweise gibt’s dazu noch irgendwelche, die sich als „Ich“ ausgeben oder Firmen-Firewalls, die in den TLS-Verkehr munter hineinlauschen. Sicher, ich mache das als Dienstleister auch. U.a. verkaufen wir Sophos UTM bei uns, und die schaut quasi in alles rein. Sie stört sich – leider – auch nicht an kaputtem RC4. Wenn Ihr also hinter so einem „Ding“ von mir oder jemand anders hockt, gibt’s jetzt (hoffentlich) einen adäquaten Hinweis in Eurem Browser. Die Anpassungen, um wenigstens ein A zu bekommen, waren nicht witzig. Man wünschte, es gäbe irgendwo ein Plugin für sowas, aber das ist mir bislang nicht unter gekommen. Bis es so etwas gibt, hilft nur, Doku lesen.
Meine Konfiguration sieht wie folgt aus: Link (securityheaders.io)
Die Nachteile
Alte Betriebssysteme können hier nix mehr. Windows XP ist schon lange raus, ebenso sind jetzt diverse Android Derivate dabei. Firmenfirewalls sorgen möglicherweise dafür, dass Du mich nicht mehr lesen kannst – aber – letzteres ist so auch gewollt. Und ich wünschte, dass andere meinem Beispiel folgen, so z.B. auch ein Energieversorger oder eine Bank. Aber es wird bislang munter ignoriert. Da ich einen Shared Hoster benütze, geht das hier auch nur mit Browsern, die SNI unterstützen – mit Verlaub, ich kenne keinen, der das nicht tut.
Noch umzusetzen
Tja, eigentlich müsste hier dann auch Jetpack und Werbung raus. Jetpack ist hier eigentlich nur drin, damit ich Euch eine Kommentarfunktion ermöglichen kann. Möglicherweise stelle ich die Kommentarfunktion demnächst komplett ab, ganz zu meinem eigenen Schutz und auch zum Schutz dieses Servers. So ganz durch bin ich mit dem Thema noch nicht.
Weiterhin habe ich mal analysiert, wie viele Werbeeinblendungen von Adsense ich im Vergleich zu den tatsächlichen Besuchen habe. Ergebnis: Es sind noch nicht einmal 3%, die ausdrücklich keinen Werbeblocker nutzen oder selbigen auf meiner Website aus reiner Höflichkeit deaktiviert haben. Das ist kein Vorwurf, ich empfehle sogar grundsätzlich Werbeblocker. Die können Dein System besser schützen, als alles andere.
Das ist’s im Moment. Falls ich irgendwas verkonfiguriert habe oder Dir was nicht gefällt, kannst Du das mir ja mal schreiben. Ich bin für konstruktive Kritik immer offen.