OMT stapt over op HTTPS, help mee

Vanaf vandaag werken OMT en de OMT-app ook via https. We implementeren dit stapsgewijs en met één aanpassing kun je ons helpen. Een toelichting:

Fase 1: (nu live)
Het is mogelijk om via https in te loggen en de hele site te gebruiken. Je wordt niet meer terug gebounced naar http. Vooralsnog blijft http de standaard.

Tijdens het gebruiken van https loggen we alle verzoeken die nog via http worden gedaan en passen hoekjes van de site die op een vreemde manier geïmplementeerd zijn aan. Daarom vragen we je OMT via https te gebruiken zoals je altijd deed (tik in je adresbalk https://www.onemorething.nl in ipv http). Zo kunnen we alle delen van de site die nog werk behoeven identificeren. Gebruikers van de app hoeven niets te doen, we hebben dit op de achtergrond aangepast.

Fase 2: (nu live)
Alle afbeeldingen en embeds worden via https geladen (geen mixed content meer). Dit vereist aardig wat werk omdat er 12+ jaar user generated content op OMT te vinden is.

Fase 3: (volgt later)
Het wordt niet meer mogelijk om OMT via http te benaderen en https wordt de standaard. Dit volgt waarschijnlijk binnen een maand of twee.

Wil zelf ook https overwegen, maar dan dubbel: op ieder moment overschakelbaar. Hoe die je dat?

Is dat de s van sneller? :evil:

Ik zie in de browser nergens een bevestiging dat de verbinding daadwerkelijk s(ecure) is wanneer ik https://www.onemorething.nl gebruik. Klopt dit?

Edit: Het is wel fijn dat er dan geen advertenties meer getoond worden (y).

Afgezien van het hangslotsymbooltje in de adresbalk dan?

Klik je daarop dan krijg je dit te zien:

Standaard je site op http houden, maar ook op https aanbieden met een valide certificaat en overal protocol onafhankelijke URL’s gebruiken. Zoals:

<img src="//domain.com/img/logo.png">

Dan zal je site op beiden werken.

Nee, secure. De traagheid van de community komt voornamelijk door WordPress en bbPress dat niet gemaakt is voor een community met 3 miljoen posts. We hebben dit zo snel mogelijk proberen te maken, meer kunnen we niet doen.

[quote=michiel112 url=http://www.onemorething.nl/community/topic/omt-stapt-over-op-https-help-mee/#post-3039926 time=1487519148]Ik zie in de browser nergens een bevestiging dat de verbinding daadwerkelijk s(ecure) is wanneer ik https://www.onemorething.nl gebruik. Klopt dit?

Edit: Het is wel fijn dat er dan geen advertenties meer getoond worden (y). [/quote]

Welke browser gebruik je?

Geniet ervan, zolang het nog kan :stuck_out_tongue:

Ik type altijd www.onemorething.nl, dus zonder de http; welk smaakje krijg ik dan?

Bij mij werkt het nog niet helemaal lekker.
Ik was eerder vandaag netjes naar https:// gegaan en stond al ingelogd. Even later zie ik geen slotje meer. Wellicht omdat ik al ingelogd op niet secure stond, dacht ik. Dus uitloggen en inloggen maar. Helaas gaat ie dan door naar niet secure.
Ik heb daarna alle onemorething.nl cookies verwijderd en opnieuw geprobeerd. Zodra ik via de secure pagina wil inloggen, krijg ik deze melding:

Als ik dan op continue druk, kom ik weer op de niet secure pagina uit.

Dit alles gebeurt in Windows 10 met Firefox 51.0.1.

Vooralsnog http. Totdat we http definitief doorlinken naar https.

Thanks, nemen we mee!

Nog even iets verder gekeken. Er lijkt iets mis te gaan zodra ik het vinkje (ingelogd blijven) aanvink. Als ik het een tijd later weer opnieuw probeer en gelijk in log, gaat het prima. Zodra ik nog een keer inlog en het vinkje aanklik en dan inlog, dan krijgt ik bovenstaande melding en kom op non secure uit. En die melding blijft ie de keer erna ook weer geven, ook zonder vinkje aanvinken. Hopelijk hebben jullie hier wat aan.

Wat trouwens wel zo is. Zonder www werkt sowieso nog niet. Die gaat direct naar zonder secure. Dan typ ik dus https://onemorething.nl in.

@Jakko Westerbeke,
Ik had geen hangslotje, maar waarschijnlijk typte ik zoals Mac Daddy https://onemorething.nl in.

Edit: Of kreeg ik toch echt geen slotje te zien, want in Chrome is het nog steeds niet secure:

Wat overigens ook klopt met de informatie in de eerste post van Raymon. Bij safari is dat dus een grijs in plaats van groen slotje…

Dat heeft daar niets mee te maken. Er is een verschil tussen grijze en groene slotjes.

Groen is geverifieerd door de eigenaar en een uitgebreidere controle en kost meer geld om af te sluiten.

In Safari op de website van Apple tijdens het betaalproces. Organisatie = Apple Inc.

In Safari op OMT is het slotje grijs wat meestal een teken is van een gratis certificaat en dan is de organisatie = COMODO CA Ltd (certificaat verstrekker)

Wanneer je geen betalingen verricht op je website is dit natuurlijk gewoon prima om te zorgen dat mensen veilig hun wachtwoorden kunnen intikken/versturen op OMT maar het heeft ook met aansprakelijkheid te maken. Webshops en dat soort zaken zouden gewoon jaarlijks hun certificaat moeten betalen en zorgen dat ze een domein-verificatie + bedrijfsgegevens controle krijgen. Dan wordt het slotje groen in Safari.

[quote=michiel112 url=http://www.onemorething.nl/community/topic/omt-stapt-over-op-https-help-mee/#post-3040153 time=1487601780]
Edit: Of kreeg ik toch echt geen slotje te zien, want in Chrome is het nog steeds niet secure[/quote]

Dit klopt en komt omdat sommige plaatjes en embeds nog via http ingeladen worden. In fase 2 van de originele post omschrijf ik dit als mixed content. Bekijk in Chrome maar eens https://www.onemorething.nl/registreer/. Deze Zal in Chrome wel ‘Veilig’ tonen omdat er geen content via http ingeladen wordt.

Wat Shmoo zegt klopt ook, maar is alleen van toepassing op Safari. Lekker verwarrend dat Safari en Chrome beiden een ‘groen slotje’ een andere betekenis hebben gegeven :-x

Veel webhosters gebruiken nu al de diensten van Let’s Encrypt wat er voor zorgt dat mensen met een blog of kleinere website gewoon gratis met twee keer klikken een certificaat kunnen instellen op hun site. Dit is natuurlijk een prima initiatief richting alle sites en verbindingen in apps via https standaard te laten verlopen.

https://letsencrypt.org

Dit wordt trouwens de standaard voor WordPress binnenkort. Alle webhosters die WordPress aanbieden als service (automatische installatie en updates) moeten dit gaan doen via een https verbinding.

Details matter voor Apple! (l)

Dit is zo belangrijk en Apple staat hier al 5 stappen voor op Google (dat vooral bezig is met iedereen op https verbindingen krijgen). Apple kijkt al veel verder en ziet ook wel dat mensen die fraude willen plegen en de boel besodemieteren ook niet stil zitten en zullen begrijpen dat wanneer je gratis een certificaat kunt instellen dat je daar ook weer misbruik van kunt maken terwijl het naar de buitenwereld oogt als veilig.

Duidelijke uitleg, bedankt!