PixelX-Blog-Logo

Chrome warnt ab Jan. 2017 vor Websites ohne SSL-Zertifikat

Mit der Google Chrome Version 56 werden ab Januar 2017 Websites als „nicht sicher“ gekennzeichnet, die Passwörter, Kreditkartendaten oder andere sensible Informationen nicht verschlüsselt über HTTP übertragen. Studien zu Folge übersehen Nutzer immer wiederkehrende Warnhinweise, Google plant daher schrittweise weitere Verschärfungen für kommende Chrome-Versionen bis hin zu einer deutlich erkennbaren Warnung – Nicht Sicher – für alle Websites die über HTTP erreichbar sind.

Schon seit geraumer Zeit kennzeichnet Google nicht verschlüsselte http Verbindungen mit einem kleinen grauen i vor der URL. Um das Surfen im Netz für Chrome Benutzer noch sicherer zu machen, geht Google zukünftig noch einen Schritt weiter und zeigt neben dem Informationssymbol den zusätzlichen Warnhinweis „Not Secure“ an. Diese Änderung wird zunächst nur Webseiten betreffen, die Passwörter oder Kreditkartendaten nicht verschlüsselt übertragen.

 

Für die Zukunft plant Google die Warnhinweise voraussichtlich weiter zu verschärfen, bis hin zu einer deutlich erkennbaren Warnung vor jeder unsicheren http Verbindung in Form eines roten Dreiecks und roten Buchstaben.

 

Welche Auswirkungen könnte das auf das Nutzungsverhalten der Besucher einer Webseite haben?

Ein Einkauf im Internet zählt mittlerweile zum Alltag und viele Kunden haben berechtigter Weise große Bedenken vor dem Ausspähen ihrer Daten durch Dritte und der missbräuchlichen Verwendung persönlicher Informationen. Solche Nutzerängste können z.B. Umsatz schädigend sein, wenn ein Kauf aus Angst vor Missbrauch unterbleibt.

 

Vorteile der SSL Verschlüsselung, woran verschlüsselte Seiten erkennbar sind

  • Ob eine Webseite ein SSL-Zertifikat verwendet und Daten verschlüsselt überträgt, kann der Besucher gut an dem grünen Vorhängeschloss und dem Kürzel https in der Adresszeile erkennen. Diese Kennzeichnung im Browser zeigt an, dass eine sichere https Verbindung vorliegt und ermöglicht dem Besucher einen vertrauensvollen Einkauf bzw. die verschlüsselte Übermittlung seiner Daten. Weitere Merkmale der unterschiedlichen SSL Zertifikate erläutern wir auf den Produktseiten SSL Zertifikate, Organisation Validation SSL Zertifikate, sowie Extended Validation SSL Zertifikate.
  • SEO relevante Vorteile sind ebenfalls nicht von der Hand zu weisen, bereits seit 2014 berücksichtigt Google SSL-Verschlüsselung als Ranking-Faktor. Die Verwendung eines SSL Zertifikates erzeugt Vertrauen, infolge dessen mehr Besucher länger auf der Webseite bleiben und die Absprungrate sinkt. Die messbaren Verhaltensweisen der Besucher vermitteln Google einen positiven Eindruck zur Bedienung der User-Intention bei Besuch Ihrer Webseite und führen indirekt zu einer besseren Platzierung in den natürlichen Suchergebnissen.
  • Ein weiterer positiver Vorteil ergibt sich durch die steigende Datenqualität. Wenn ein Benutzer von einer SSL-verschlüsselten Seite auf eine nicht verschlüsselte Seite wechselt, geht der Referrer verloren. Was bedeutet, dass der Aufruf der Ausgangs-URL gelöscht wird und nur der Besuch der unverschlüsselten Seite vom Webanalyse-Tool z.B. Google Analytics gewertet wird. Bei einem Verweis von einer verschlüsselten Seite auf eine andere verschlüsselte Seite bleibt der Referrer erhalten und die Datenqualität steigt.

 

Welches SSL Zertifikat ist das Richtige?

Bei der Wahl des geeigneten Zertifikats kommt es auf den Einsatzzweck an. Während ein privater Blog durch ein domainvalidiertes SSL Zertifikat (DV) ausreichend gesichert sein sollte, ist für gewerbliche Webseiten ein organisationsvalidiertes SSL Zertifikat (OV) zu empfehlen. Ideal für den Einsatz auf Webseiten von Unternehmen und Online-Shops ist ein Extended Validation SSL Zertifikat, da es dem Webseiten-Besucher durch die grüne Adresszeile schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt.

 

Starten Sie mit PixelX Cloud Produkten in eine sichere, verschlüsselte Zukunft

Alle PixelX Cloud Produkte bieten Ihnen die Möglichkeit kostenfrei domainvalidierte Symantec™ Basic SSL-Zertifikate für alle Ihre bei PixelX registrierten Domains zu nutzen.

Setzen Sie bereits auf die skalierbaren und hoch verfügbaren PixelX Cloud Server und verwalten Ihren Domainbestand über PixelX (AutoDNS)? Wir liefern Ihnen gerne mit dem SSL-Manager das passende Tool zur Erstellung und Verwaltung aller SSL Zertifikatstypen, sowie nahtloser Integration in Ihr AutoDNS. Bei Interesse freut sich der PixelX Vertrieb über Ihre Kontaktaufnahme.

 

Quelle: https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

 

Nextcloud Free – jetzt mit 5GB Cloud Space

Nextcloud

Liebe Nextclouder aufgepasst! Ab sofort stellen wir Euch im Rahmen der Produktentwicklung in allen Nextcloud Free Accounts 5GB Cloud Space kostenfrei zur Verfügung, natürlich weiterhin ausschließlich in unseren deutschen Rechenzentren.

Weitere Details findet Ihr in unserer Nextcloud Hosting Tarifübersicht

Neue Nextclouds werden direkt in der aktuellen Version 11 ausgeliefert. Die Vorbereitungen der Updates älterer Versionen auf die aktuelle Version 11 laufen. Detaillierte Informationen geben wir dazu in Kürze bekannt.

Sofern Du bereits eine Nextcloud in der Version >= 9.1.1.5 hast, kannst Du bereits jetzt schnell und einfach auf die Version 11 aktualisieren:

  1. Log Dich in Deine Nextcloud ein
  2. Klicke im Menu rechts oben auf Administration
  3. Wähle als Update-Kanal „beta“ aus
  4. Klicke auf „Updater abrufen“ und führe das Update aus
  5. Deine Nextcloud ist jetzt im Maintenance Mode
  6. Sende uns die URL Deiner Nextcloud an nextcloud@pixelx.de
  7. Unsere Nextclouder vollenden Dein Update

Weiterhin viel Freude mit Eurer
oOo Nextcloud oOo

PHP 7.0.0 verfügbar in allen Webhosting – Tarifen

php7

Kurz vor Ende des Jahres geben die PHP Entwickler die Version 7.0.0 als finale Version frei. Doppelt so schnell wie der Vorgänger 5.6 soll es sein, der Verbrauch des Arbeitsspeichers wurde deutlich reduziert und eine Reihe von neuen Funktionen sind hinzu gekommen.

Die PixelX Webhosting Tarife unterstützen ab sofort PHP 7.0.0 in der finalen Version. Sie können in Ihrer Konfigurationsoberfläche unter dem Punkt Einstellungen >> httpd-Spezial einzelne Domains, oder auch Ihren gesamten Account auf die Verwendung von PHP 7 umstellen.

Weitere Details zu PHP7 finden Sie im php.net – Newsarchiv.

NO PHISHING! Verbesserter Spamschutz mit SPF für Webhosting Kunden

SPF – Sender Policy Framework:
Der Eigentümer einer Domain legt per DNS-Eintrag fest, von welchen IP-Adressen / Servern E-Mails mit seiner Absenderkennung verschickt werden dürfen.

SPF-Einträge sind mitlerweile sehr weit verbreitet. Beinahe jeder große Dienst hat einen Eintrag in seiner DNS-Zone, um die eigenen Empfänger vor gefälschten Nachrichten, gefälschten Rechnungen & Co zu schützen und unerwünschten Spam zu vermeiden. Mit einer relativ trivialen Technik werden alle Nachrichten im elektronischen Postfach mit einem weiteren Spamverfahren unter die Lupe genommen. Bei dem Verfahren wird das Fälschen von Absenderadressen deutlich erschwert, wenn nicht sogar verhindert.

Die E-Mail-Server die wir im Rahmen unserer Webhosting-Tarife einsetzen, setzen ab sofort zusätzlich auf SPF, um unsere Kunden vor der anhaltenden Spam-Flut zu bewahren.

Technisches:
Wird eine E-Mail an die E-Mail-Adresse eines unserer Kunden geschickt, prüfen unsere E-Mail-Server, ob für die Domain des Absenders ein SPF-Eintrag in der DNS-Zone hinterlegt ist.

Sofern kein SPF-Eintrag hinterlegt ist, wird die E-Mail ohne weitere Beachtung vom SPF zum nächsten Spam-Filter durch gewunken und abhängig von den Einstellungen des Kunden weiter untersucht.

Ist ein SPF-Eintrag hinterlegt, prüfen unsere E-Mail-Server ob die E-Mail des Absenders über einen im SPF-Eintrag zugelassenen E-Mail-Server verschickt wurde. Es werden nur noch E-Mails von unseren E-Mail-Servern angenommen, die über IP-Adressen / Server verschickt wurden, die im SPF-Eintrag dafür autorisiert sind. E-Mails die von IP-Adressen / Servern verschickt wurden die nicht gemäß des SPF-Eintrages dafür autorisiert sind, werden von unseren E-Mail-Servern abgewiesen und der Absender mittels eines OpenSPF-Links zur weiteren Prüfung über den fehlerhaften SPF-Eintrag informiert.

 

 

PHP 7.0.0 alpha2 verfügbar in allen Webhosting – Tarifen

PHP7 alpha2

Doppelte Geschwindigkeit gegenüber PHP 5.6 dank Nutzung neuer Zend-Engine, konsistente 64Bit Unterstützung und einiges mehr. PHP 7 soll ein neuer Meilenstein in der PHP-Versionierung werden und ist ab sofort für den Testbetrieb frei gegeben. Die finale PHP 7 Version ist für November 2015 geplant.

Sie möchten auch bereits die ersten Schritte mit PHP 7 gehen?
PixelX unterstützt ab sofort PHP 7 in allen Webhosting-Tarifen, Updates zu PHP 7 werden in regelmäßigen Intervallen eingepflegt. Sie können in Ihrer Konfigurationsoberfläche unter dem Punkt Einstellungen >> httpd-Spezial einzelne Domains, oder auch Ihren gesamten Account bereits mit PHP 7 betreiben, die Entwickler raten derzeit noch klar zum reinen Testbetreib!

Upgrade Notes zu PHP7
Bugreports: https://bugs.php.net/

 

Logjam-Attacke – SSL/TLS unsicher bei tausenden Servern

PixelX Overall Rating SSL

Eine Vielzahl verschlüsselter Verbindungen im Internet ist gefährdet, Forscher entdecken eine neue Sicherheitslücke im SSL/TLS-Protokoll. Ein neuer Angriff auf den Diffie-Hellmann-Schlüsseltausch ermöglicht das Aufbrechen einer verschlüsselten Verbindung und die Platzierung des Angreifers als Man-in-the-Middle. So können unbemerkt vermeintlich sichere Verbindungen abgehört, oder sogar Schadcode eingeschleust werden.

Von der Sicherheitslücke sind alle SSL/TLS-Verbindungen betroffen die auf niedriger Verschlüsselung des Diffie-Hellmann auf der 512-Bit-Variante basieren, Verfahren ab 1024-Bit sind vorerst sicher. Detaillierte Informationen erhalten Sie bei WeakDH oder auch bei Heise.

Unsere Handlungsempfehlungen:
1. Testen Sie, ob Ihr Browser sicher ist.
2. Testen Sie, ob Ihr Server sicher ist.

Informationen für Webhosting & Reseller-Hosting-Kunden:
Alle Dienste (Apache, Mail, FTP und Co.) auf unseren Webhosting-Systemen wurden im Zeitraum vom 08-11.06.2015 auf den aktuellsten Stand gebracht und entsprechen einem A+ Rating.

PixelX SSL Rating

PixelX SSL Rating

Damit bieten wir Ihnen den von PixelX gewohnt hohen Sicherheitsstandart. Die Sicherheit der Server ist allerdings nur die eine Seite der Medaille, testen Sie unbedingt, ob der von Ihnen verwendete Browser dem aktuellen Sicherheitsstand entspricht und aktualisieren diesen wenn erforderlich.

Informationen für Server-Kunden:
Wir empfehlen Ihnen Ihre Server anhand des Servertests auf etwaige Sicherheitslücken in Bezug auf Logjam zu analysieren und notwendige Updates kurzfristig einzuspielen. Wenden Sie sich für Hilfe bei den Updates bitte an unseren Support (+49 – 531 – 88 616 – 0), gerne planen wir mit Ihnen den Update-Prozess und setzen diesen für Sie um.

 

 

 

phpMyAdmin – Update auf Version 4.4.4

phpMyAdmin Logo

Kurz notiert: auf allen Webhosting-Systemen wurde der phpMyAdmin (Tool zur Administration von MySQL-Datenbanken) auf die aktuellste Version 4.4.4 aktualisiert.

Neben einigen Bugfixes wurden auch Sicherheitslücken zu den Vorgängerversionen beseitigt. Detailierte Informationen finden Sie wie üblich in den Release Notes.

SSLv3 bei PixelX deaktiviert

Abschaltung SSLv3

Im Zuge der SSLv3 Verwundbarkeit haben wir die Verschlüsselung mit dem veralteten Protokoll SSLv3 auf unseren Webservern deaktiviert.

Das schon lange veraltete, aber immer noch viel genutzte SSL-Protokoll Version 3 ist durch die Poodle Angriffe in den Fokus geraten.
Poodle erzwingt einen Verbindungsaufbau nach altem v3 Standard, in dem durch Manipulation die neuen Standards wie TLS nicht anerkannt werden. Durch den Fallback auf die veraltete Version werden so die bekannten Sicherheitslücken ausgenutzt.

PixelX Kunden die noch in den Mailprogrammen den veralteten Standard nutzen, können in den Konteneinstellungen diesen durch aktuelle Versionen (z.B. TLS) ersetzen. Gegebenenfalls sollten Sie, wenn möglich, Ihr Betriebssystem und / oder Ihr E-Mail Programm aktualisieren. Leider ist mit veralteten Mailprogrammen oder Betriebssystemen  der Abruf mittels TLS nicht möglich.

PHP-Version 5.6.0 für Webhosting

php

Wir haben unsere PHP-Versionen auf allen Webhosting-Servern aktualisiert und erweitert. Folgende PHP-Versionen stehen Ihnen ab sofort zur Verfügung:

5.2.17
5.3.29
5.4.32
5.5.16
5.6.0

In Ihrem Confixx unter dem Punkt Einstellungen -> httpd-Spezial können Sie einstellen, welche PHP-Version für Ihren gesamten Account, oder auch einzelne Domains aktiv sein soll.

Erfolgte Änderungen in den jeweiligen PHP-Versionen können Sie wie üblich im PHP Changelog einsehen.

Update PHP Versionen

Ab sofort steht Ihnen auf alle Webhosting-Systemen ebenfalls die PHP-Version 5.5.14 zur Verfügung.

Unsere Kunden auf den Shared-Webhosting-Servern können nun im Confixx -Backend in den Httpd-Optionen aus  vier verschiedenen PHP-Versionen wählen:

PHP 5.2.17
PHP 5.3.14
PHP 5.4.22
PHP 5.5.14

Hier finden Sie das PHP changelog

Previous Posts