JTL-Shop und SSL - Eure Meinung

die-andis

Gut bekanntes Mitglied
26. März 2010
562
11
Hallo Leute,

wir möchten unseren JTL- Shop (also den Transport der Kundendaten) gerne per SSL absichern.

Habt ihr Erfahrung diesbezüglich? Welche Anbieter sind zu empfehlen oder auch nicht zu empfehlen? (Preis-/Leistungverhältnis, Akzeptanz im Browser, Zert. mit Validierung,...) Was gibt es für Probleme?

Wie wichtig ist das Thema überhaupt?

Gruß
Andreas
 

dixeno-bhesse

Aktives Mitglied
30. August 2014
92
4
AW: JTL-Shop und SSL - Eure Meinung

Meiner Meinung nach ist es schon einfach nicht mehr zeitgemäß keine Verschlüsselung im Shop einzusetzen, zumal die laufenden Kosten dafür heutzutage eigentlich ziemlich gering sind.
Interessant ist ggf. auch: IT-Sicherheitsgesetz: SSL-Verschlüsselung und technischer Zugriffsschutz in Online-Shops jetzt Pflicht?
Auch google interessiert sich dafür: https://www.internetx.com/news/ssl-erste-vorteile-im-google-ranking-ersichtlich/

Ich persönlich würde grundsätzlich die gesamte Seite per SSL absichern und Aufrufe per http:// immer direkt auf https:// weiterleiten, damit auch sämtliche Cookie-Daten über eine verschlüsselte Verbindung laufen.

Sofern das Zertiifkat nicht über den eigenen Hoster erworben werden muss (was häufig aber wesentlich einfacher und stressfreier ist), ist dieser Anbieter zu empfehlen:
https://www.psw-group.de/ssl-zertifikate/
Hier sieht man die Browser-Abdeckungen jeweils auch ganz gut: https://www.psw.net/ssl-zertifikate.cfm

Der grobe Unterschied zwischen den verschiedenen Typen:
  • Domainvalidierte SSL-Zertifikate: Es wird geprüft, ob einem die Domain tatsächlich gehört.
    (meist automatisiert z.B. via whois-Einträge zur Domain)
  • Organisationsvalidierte SSL-Zertifikate: Hier wird zusätzlich auch das Unternehmen an sich geprüft
    (d.h. in der Regel wird die Zertifizierungsstelle den Gewerbeschein und/oder Handelsregisterauszug prüfen)
  • Erweitert validierte SSL-Zertifikate: Hier wird wohl noch genauer geprüft.
    Das interessante an diesen Zertifikaten: Die Browser zeigen in der Regel den Firmennamen in der Adresszeile mit an, wie beispielsweise bei https://www.paypal.com zu sehen.
...der Unterschied ist hier also dass der Besucher je nach Zertifikats-Typ mehr Informationen über die Firma die hinter der Domain steckt sehen kann.
Für den Zweck die Kundendaten zu schützen reicht theoretisch schon das billigste SSL-Zertifikat aus.

SSL-Zertifikate sind standardmässig an eine bestimmte Domain gebunden (also z.B. "www.example.org") - und nicht wie häufig falsch angenommen an eine bestimmte IP.
Falls auch Subdomains mit abgedeckt werden sollen, wird ein Wildcard-Zertifikat benötigt (d.h. dann ist auch "www.example.org", "shop.example.org", "cdn.example.org", etc. möglich)
Es können über Multidomain-Zertifikate auch mehrere Domains mit dem gleichen SSL-Zertifikat abgedeckt werden (d.h. z.B. "www.example.org" und "www.example-shop.org")
Achtung: Je nach Anbieter/Paket werden teils auch Wildcard-Zertifikate als Multidomain-Zertifikat bezeichnet oder auch umgekehrt.
Bzgl. Limiterungen unbedingt jeweils die Beschreibungen der Angebote durchlesen.

"Früher" musste man pro SSL-Zertifikat eine eigene Server-IP verwenden.
Dank SNI ("Server Name Indication") ist dies nicht mehr zwingend notwendig: https://de.wikipedia.org/wiki/Server_Name_Indication#Unterst.C3.BCtzte_Software
(Bei SNI sendet der Browser schon beim Aufbau der SSL-Verbindung die gewünschte Domain mit und der Webserver kann das dazu passende SSL-Zertifikat auswählen und verwenden)

Der Ablauf einer manuellen SSL-Einrichtung sieht meist etwa so aus:
1) Auf dem Webserver wird ein Private-Key und ein Public-Key erstellt
2) Auf dem Webserver wird ein CSR ("Certificate Signing Request") erstellt und mit dem Private-Key signiert. Im CSR stehen allgemeine Firmendaten sowie im "Common-Name" in der Regel die Domain für die das Zertifikat erstellt wird.
3) Der CSR wird zum Anbieter des SSL-Zertifikats gesendet (ggf. mit weiteren Dokumenten)
4) Von dort bekommt man einen CRT zurück (das ist mehr oder weniger einfach der CSR, der aber nun vom SSL-Anbieter signiert wurde)
5) Der CRT und der in Schritt 1 generierte Private-Key werden im Webserver eingerichtet. Zusätzlich müssen ggf. noch Zwischenzertifikate im Webserver eingerichtet werden.
(Schritt 1+2 müssen nicht zwingend auf dem Webserver gemacht werden, dort sind die dazu nötigen Tools in der Regel aber bereits vorhanden)
...davon werden je nach Hoster einige Teile von den Weboberflächen oder den Support des Hosters teils oder gar ganz abgenommen.

Nach der Einrichtung:
1) Am Besten direkt z.B. via https://www.ssllabs.com/ssltest/ testen, ob auch alles richtig eingerichtet wurde.
Zum Beispiel ein häufiger Fehler: Es werden Zwischenzertifikate vergessen einzurichten => Einige Browser halten das eigentlich gültige Zertifikat dann nicht für gültig.
2) Die üblichen Shop-Abläufe z.B. in google Chrome mit geöffneter Debug-Konsole durchtesten und dabei speziell auf "Mixed-Content"-Fehler in der Konsole achten.
Mixed Content = Trotz SSL-Verschlüsselung werden einige Elemente nicht über SSL geladen.
Da der Besucher dann nicht mehr direkt wissen kann welche Teile nun verschlüsselt oder unverschlüsselt übertragen werden, zeigen Browser dann in der Regel das https durchgestrichen an oder ähnliches.
Der IE gibt dann gerne ganz schlimme Warnmeldungs-Popups aus (die der Nutzer aber meist aufgrund des Fehlers auf einer anderen Seite schon dauerhaft ausgeschaltet hat)
Besucher kriegen dann teils mehr Panik, als hätte der Shop gar keine Verschlüsselung ;D
=> Wenn SSL aktiv ist, sollten auch ALLE Elemente in der Seite über https:// statt http:// geladen werden.
Alle falsch eingebundenen URLs (und häufig auch von externen eingebundene Skripte) zu finden und entsprechend zu korrigieren macht häufig den Großteil des Aufwands der SSL-Einrichtung aus!

Tipp: URLs über protocol-relative URLs angeben, d.h. "//www.example.org/bild.jpg" statt "https://www.example.org/bild.jpg" verwenden.
Alle einigermaßen aktuellen Browser setzen dann automatisch https oder http davor - je nachdem ob die aktuelle Seite über https oder http geladen wurde.

Noch ein Tipp: Ablaufdatum der Zertifikate im Kalender notieren und rechtzeitig um Erneuerung kümmern.
Oder falls es der Hoster übernimmt: In der Regel wird ein Zertifikat schon ein paar Tage vor Ablauftag ausgetauscht - Besser prüfen, dass der Hoster es nicht verschläft.
Abgelaufenes SSL-Zertifikat wird definitiv für Kauf-Abbrüche sorgen.

Je nach SSL-Zertifikat gibt es häufig noch die Möglichkeit eine Art Siegel einzubinden (z.B. "Secured by thawthe - (Aktuelles Datum)".
Diese Siegel werden leider häufig via synchronem JS eingebunden und verlangsamen teils die Seitenladezeit deutlich! Wenn man die nutzen will: Besser in einen iframe packen, damit es asynchron laden kann.
 

dixeno-bhesse

Aktives Mitglied
30. August 2014
92
4
Da passend zum Thema, hole ich den Thread mal von den Toten hervor:
aus: https://www.heise.de/security/meldu...8-mag-HTTP-ueberhaupt-nicht-mehr-4104569.html
Am 23. Juli will Google mit der Version 68 des Webbrowsers Chrome einen weiteren Schritt hin zum verschlüsselten Internet machen: Ab diesem Datum kennzeichnet der Browser unverschlüsselte Seiten ohne TLS-Zertifikat als nicht sicher. Diese Warnung soll bei allen HTTP-Webseiten in der Adressleiste auftauchen.
...schon wegen DSGVO und Zahlungsmodulen sollte das aber mittlerweile hoffentlich wohl ohnehin jeder längst aktiv haben ;)
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Anzeige von Neuheiten und Topsellern im JTL Shop 5 Allgemeine Fragen zu JTL-Shop 2
Neu CloudFlare RocketLoader und JTL-Shop OnPage Composer JTL-Shop - Fehler und Bugs 0
Neu JTL-Shop 5 und PHP OpCache Allgemeine Fragen zu JTL-Shop 9
Neu JTL Shop und WAWI komplett testen vor Shop-Release Gelöste Themen in diesem Bereich 8
Neu Anfängerfrage nach der prinzipiellen Funktionsweise mit JTL-Shop und FFN Starten mit JTL: Projektabwicklung & Migration 4
Neu PAngV (PreisAngabenVerordnung) vom 28.05.2022 mit JTL-Wawi und JTL-Shop - bzgl. "Läuft JTL Wawi stabil?" Smalltalk 1
Neu Woocommerce Upsells und Cross-Sells werden af JTL Shop angezeigt. JTL-Wawi - Fehler und Bugs 0
Neu Badges / Artikelsticker bei JTL Shop 5.3.0 Templates für JTL-Shop 0
Neu Bug Popup/eModal - JTL Shop 5.3 JTL-Shop - Fehler und Bugs 0
Neu JTL-Shop 5.3 - Aktuell 5.3.1 Releaseforum 1
Neu JTL 1.8.12.0 - Artikelattribut für Shop importieren - Format CSV-Datei / Hilfe bei Import von individuellen Attributen für JTL-Shop (googlekat) JTL-Ameise - Ideen, Lob und Kritik 1
JTL Shop Gutscheine über JTL-Vouchers erstellen Allgemeine Fragen zu JTL-Vouchers 1
Neu JTL Shop Gutscheine über JTL-Vouchers erstellen Allgemeine Fragen zu JTL-Shop 0
Neu E-Commerce-Effizienz steigern: Welche Programmiersprache verbessert die JTL-Shop-Entwicklung? Technische Fragen zu Plugins und Templates 1
Neu Kompatibilitätsliste JTL Shop & JTL Wawi Installation / Updates von JTL-Shop 2
Neu JTL-Shop 5 Paypal Zahlung 30 Tage Zahlungsziel Allgemeine Fragen zu JTL-Shop 6
Neu JTL-Shop 5.3.0 RC3 Fehler nach Update Portlet Banner, fehlendes Produkt JTL-Shop - Fehler und Bugs 0
Neu Umstieg von Shopware 5 zu JTL Shop 5 - Ranking behalten Allgemeine Fragen zu JTL-Shop 2
Neu Verbindungsproblem Wawi (1.8.12.0) zum JTL-Shop (5.2.4) über localhost User helfen Usern - Fragen zu JTL-Wawi 0
Neu Lizenz zu verkaufen für JTL-Shop Standard Edition Allgemeine Fragen zu JTL-Shop 4
JTL Shop : automatisch setzen: Verfügbar ab: 28.04.2024 (Vorbestellung möglich) JTL-Wawi 1.8 0
Neu Programmierung eines Tools zur Verwaltung einer Datentabelle (JTL Shop 5) Technische Fragen zu Plugins und Templates 6
I have faced an issue while the JTL Shop order has synchronized to the JTL WAWI 1.8 version. JTL-Wawi 1.8 0
Neu JTL Shop 5 Umfrage!? Allgemeine Fragen zu JTL-Shop 0
Neu Woocommerce mit JTL Connector "Die Shop-URL verweist nicht auf einen gültigen Shop" WooCommerce-Connector 4
Hosting JTL- Shop unter https://...12358.jtl-shop.de/ Einrichtung JTL-Shop5 0
Neu JTL-Shop Standard Edition Lizenz zu verkaufen Umstieg auf JTL-Shop 7
Neu Wie kann ich im JTL-Shop einen Abwesenheitshinweis einstellen? Allgemeine Fragen zu JTL-Shop 1
Neu JTL Shop 5.30? Allgemeine Fragen zu JTL-Shop 9
Neu NEU ✔️ PDF-Angebots-Plugin für den JTL-Shop 5 - PDF Angebote von der Produktseite oder aus dem Warenkorb heraus generieren B2C / B2B Plugins für JTL-Shop 5
Neu JTL Shop funktioniert nicht mehr Allgemeine Fragen zu JTL-Shop 2
Neu JTL Shop Template Domain lösen? Allgemeine Fragen zu JTL-Shop 0
Neu Migration von eCommerce-Integrator auf JTL Connector - Software 5 Shop Onlineshop-Anbindung 2
Sprachauswahl im JTL Shop 5 Einrichtung JTL-Shop5 5
Neu JTL Wawi Warenwirtschaft mit Gambio Cloud-Shop Gambio-Connector 0
Neu Neue Tab in JTL 5 Shop erstellen Allgemeine Fragen zu JTL-Shop 3
Neu JTL Shop nicht mehr erreichbar Allgemeine Fragen zu JTL-Shop 1
Update von JTL-Shop 4.06 auf JTL-Shop 5.1.1 geht nicht Upgrade JTL-Shop4 auf JTL-Shop5 4
Neu JTL-Shop 5 Nova-Template / Darstellung der Produktliste teilweise fehlerhaft JTL-Shop - Fehler und Bugs 1
Neu JTL-Shop 5.2.4 - Umlaute wird in Plugins falsch übergeben JTL-Shop - Fehler und Bugs 2
Kundenimport von OpenCart 2.3 zu JTL Shop 5 Einrichtung JTL-Shop5 0
Neu erster JTL Shop - Artikelbilder aus Cloudspeicher - aber nicht in die Wawi eazybuisiness DB Allgemeine Fragen zu JTL-Shop 0
Beantwortet JTL-SHOP 5 / Anzeige Preise Artikelübersicht Allgemeine Fragen zu JTL-Shop 3
Neu JTL Konfigurator an anderen Shop binden Plugins für JTL-Shop 0
Neu Webp Grafiken in JTL-Shop 4.06 Betrieb / Pflege von JTL-Shop 2
Neu Tracking-Link-Variable für Sendungsreferenz - e-mil vorlage jtl-shop JTL-Shop - Ideen, Lob und Kritik 0
Neu AR - Augmented Reality im JTL Shop 5 Plugins für JTL-Shop 2
Neu Aktueller Stand: Retouren in JTL-Shop Allgemeine Fragen zu JTL-Shop 14
Neu SMTP Mail einrichten JTL-Shop 5 User helfen Usern - Fragen zu JTL-Wawi 4
Neu Nach Migration auf JTL Shop 5 fehlerhafte PayPal Zahlungsmitteilungen Allgemeine Fragen zu JTL-Shop 0

Ähnliche Themen