Wissen, was gut ist. Studieren in Chemnitz.

Gesicherter WWW-Zugriff via HTTPS

Das URZ betreibt für die TU Chemnitz WWW-Server, die via https (Secure HTTP) eine verschlüsselte Übertragung zwischen Browser und Server gewährleisten. Der Server www.tu-chemnitz.de muss dann z.B. so adressiert werden:

Verwendet wird der Apache2-Server, der die Verschlüsselungsprotokolle SSL Version 2 und 3 und TLS Version 1 mit einer symmetrischen Verschlüsselung mit bis zu 256 Bit Schlüssellänge unterstützt. Die allermeisten Browser unterstützen dies auch, so dass Sie mit den WWW-Servern der TU Chemnitz auch gesicherte Verbindungen benutzen können.

Die Zertifikate (quasi die "Ausweise") der Server www.tu-chemnitz.de bzw. www-user.tu-chemnitz.de sind von der Zertifizierungsstelle des URZ der TU Chemnitz (TUC/URZ-CA) beglaubigt. Diese Zertifikate sind über eine "Vertrauenskette" bis zu einer Root-CA verknüpft, die von den allermeisten Browsern , z.B. Firefox (ab Version 3.0.12, siehe Meldung), Microsoft Internet Explorer und Opera, als vertrauenswürdig eingestuft werden. Dort entfällt jetzt die Warnung auf "nicht vertrauenswürdiges Zertifikat".

Ansonsten werden Sie vor Benutzung der "Secure HTTP" Server zunächst gefragt, ob Sie dem Zertifikat und damit der Serveridentität vertrauen. Zu vergleichen ist hier der entsprechende Fingerprint (Prüfsumme des Zertifikates):

Dieses Zertifikat gehört zu:
www.tu-chemnitz.de
Universitaetsrechenzentrum
Technische Universitaet Chemnitz, DE
Dieses Zertifikat wurde ausgestellt von:
TU Chemnitz Certification Authority - TUC/URZ CA G3
ca@tu-chemnitz.de
Universitaetsrechenzentrum
Technische Universitaet Chemnitz, DE
Serien-Nummer: 13866BABD68CEF    Text   CRT
Dieses Zertifikat ist gültig von Mar 19 08:28:11 2012 GMT bis Mar 18 08:28:11 2017 GMT
Fingerprint:  MD5:  47:D2:02:AC:31:D2:3F:E4:69:69:CF:09:1F:F2:4F:FD
SHA1:  29:52:D7:DE:B1:48:EA:A2:68:11:ED:69:F8:A6:C1:12:F5:72:D8:E1
Dieses Zertifikat gehört zu:
www-user.tu-chemnitz.de
Universitaetsrechenzentrum
Technische Universitaet Chemnitz, DE
Dieses Zertifikat wurde ausgestellt von:
TU Chemnitz Certification Authority - TUC/URZ CA G3
ca@tu-chemnitz.de
Universitaetsrechenzentrum
Technische Universitaet Chemnitz, DE
Serien-Nummer: 13866D8266344C    Text   CRT
Dieses Zertifikat ist gültig von Mar 19 08:36:02 2012 GMT bis Mar 18 08:36:02 2017 GMT
Fingerprint:  MD5:  75:64:FB:99:0E:D9:C2:CE:FC:97:76:0B:B5:34:38:38
SHA1:  19:B2:A1:78:A4:77:35:B4:99:C8:D5:A7:4D:AD:D5:06:75:1F:21:09
Weitere Server-Zertifikate

Wie erkenne ich denn, ob ich gerade eine sichere https-Verbindung benutze?

Sichere Verbindung mit Mozilla/SeaMonkey 1.X Im Mozilla/SeaMonkey 1.X sehen Sie am rechten unteren Fensterrand ein geschlossenes Schloss.
Sichere Verbindung mit Firefox Im Firefox sehen Sie in der Adresszeile oder in der Fußzeile ein geschlossenes Schloss.
Sichere Verbindung mit MSIE Internet Explorer Im Microsoft Internet Explorer sehen Sie am unteren Fensterrand ein geschlossenes Schloss.

Sie verwenden gerade: Keine Verschlüsselung!
HTTPS verwenden

Wie kann ich https bei uns nutzen?:

Der "Secure HTTP" Server benutzt denselben "Dokumentenraum" und dieselbe Konfiguration wie der normale HTTP-Server, d.h., ein Dokument, das mit http://www.tu-chemnitz.de/dokument... angefordert werden kann, kann auch mit https://www.tu-chemnitz.de/dokument... abgefragt werden.

Probleme:

Werden in Dokumenten absolute URLs verwendet (z.B. <img src="http://www../pfad.../bild.gif"> statt <img src="/pfad.../bild.gif">), kommt es zu Problemen, wenn dieses Dokument via HTTPS angefordert wird. Das betrifft insbesondere Inline-Bilder, die nicht geladen werden, weil es sich um eine "gemischte Seite" handelt - eine "sichere Seite mit unsicheren Bildern". Hier ist anzuraten, konsequent relative URLs zu verwenden.

Verwendung:

Es ist sicher kaum sinnvoll, nun alle Dokumente via HTTPS zu laden, weil viele Dokumente einfach keine vertraulichen Daten enthalten. Als sinnvolle Einsatzgebiete sind zu nennen:

Passwortgeschützte Seiten:
Da hier auch das Passwort verschlüsselt übertragen wird, ist die Verwendung für diesen Fall anzuraten, insbesondere wenn es sich um eine Authentifizierung handelt, die auf dem URZ-Passwort beruht. Wir planen, diese Art der Authentifizierung nur noch via HTTPS zuzulassen.
Vertrauliche Daten:
Da diese Daten übers Netz verschlüsselt übertragen werden, ist kein Abhören möglich. Ein theoretisch mögliches Entschlüsseln bedeutet einen immensen Aufwand.

Anwendung für WWW-Autoren:

Dokumente, die über "Secure HTTP" angefordert werden sollen, müssen mittels https:// adressiert werden:
z.B. <a href="https://www.tu-chemnitz.de/urz/www/https.html">
Soll der Zugang über normales HTTP unterbunden werden, muss in eine .htaccess Datei im konkreten Verzeichnis geschrieben werden:
# HTTP-Anfragen zu https umleiten:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}