# SSL Verschlüsselung wann und wie richtig einsetzen?



## TribunM (1. Februar 2011)

Hi Leute,

Ich wollte mich jetzt mal mit dem Thema SSl auseinandersetzen und frage mich wann man SSL verwenden sollte. Gibt es da eine Richtlinie oder Doku? Habe bisher nicht wirklich etwas dazu gefunden. 

Login macht vielleicht Sinn und Kontoeinstellungen? Bei Bankdaten etc. ist das natürlich klar. Wie binde ich das dann richtig ein wenn die URL für den login z.b. http://www.url.de/main/login.php ist?

Für jeden Tipp bin ich dankbar.

Greetz Tribbi


----------



## rd4eva (2. Februar 2011)

SSL bedeutet das alle Daten über eine gesicherte / verschlüsselte Verbindung gesendet werden damit sie nicht von dritten gelesen werden können die an der "Leitung lauschen".

Demzufolge gilt:
Wenn sensible Daten übertragen werden dann SSL.

Das einbinden ist eine Sache für sich die nicht mal eben mit ein zwei Sätzen geklärt ist.
Btw. : Bei deiner Url fehlt der entscheidende Part.
Entscheidend ist nämlich das Protokoll :
http ( Hypertext Transfer Protocol ) Port 80 
http*s* (Hypertext Transfer Protocol Secure ) Port 443


----------



## TribunM (2. Februar 2011)

Ja stimmt habe ich vergessen. Klar dass https SSL ist. Aber so allgemein gibt es eigentlich keine Regelungen oder Empfehlungen wann und wo man das einsetzen soll, kann, muss?


----------



## rd4eva (2. Februar 2011)

Ein muss gibt es nicht. 

Für "kann" und "soll" gilt das was ich oben geschrieben habe:
Wenn sensible Daten übertragen werden dann SSL.


----------



## TribunM (2. Februar 2011)

Soweit ok also nix muss alles kann ^^. Macht es performancetechnisch denn so viel Unterschied ob ich nur ein paar Unterseiten oder die komplette Seite per SSL aufrufen lasse?

Wenn ich das jetzt richtig verstanden habe, funktioniert SSL nur, wenn keine direkte Pfadangabe, sprich http://www. usw. im Script verwendet wird?


----------



## rd4eva (2. Februar 2011)

> Macht es performancetechnisch denn so viel Unterschied ob ich nur ein paar Unterseiten oder die komplette Seite per SSL aufrufen lasse?



Darauf gibt es keine allgemeingültige Antwort. Das hängt von mehreren Faktoren ab ( Caching-verhalten, Hardware, Software, Traffic etc...).

Ich sehe aber eigentlich keinen Sinn dahinter alles über HTTPS laufen zu lassen.
Schau dir die webseite der Bank deines vertrauens an und du wirst feststellen das du nur in den kritischen Bereichen ( z.B. Online-Banking) über HTTPS kommunizierst.



> Wenn ich das jetzt richtig verstanden habe, funktioniert SSL nur, wenn keine direkte Pfadangabe, sprich http://www. usw. im Script verwendet wird?


Damit bestimmst du doch schon das das http Protokoll verwendet werden soll und nicht https. Also kann es ja nicht gehen.
Es sei denn natürlich du leitest die Anfrage dann einfach um aber das ist ein anderes Thema.


----------



## TribunM (3. Februar 2011)

Danke schon einmal für die netten Infos.

Jetzt habe ich soweit mal alles ausprobiert und funktioniert auch soweit. Wenn ich jetzt sagen wir nach der Anmeldung den SSL Modus verlassen möchte muss ich nur ein http senden, also einen direkten Pfad angeben oder geht das auch anders?


----------

