HTTPS auf WordPress

Es ist eigentlich ganz ironisch – mein Blog und meine Webseite haben die Transfermethode getauscht. Mein Server liefert dank Let’s Encrypt seit ein paar Tagen nur noch verschlüsselt aus, während ihr mein Gesabbel hier ab sofort (vorübergehend) unverschlüsselt ertragen müsst.

Dies liegt, wie einige sicherlich schon bemerkt haben, an der neuen Adresse des Blogs, welche durch DNS-Magie und einem Dollar pro Monat auf das weiterhin auf WordPress.com gehostete Blog zeigt.

  • Bonus 1: Ich muss nichts administrieren, patchen und updaten.
  • Bonus 2: Ich muss nicht dieses Schreckgespenst was manche PHP nennen installieren und einrichten.

Gespannt wartete ich auf den Abschluss des DNS-Balztanzes um zu sehen, wie WordPress das Zertifikatproblem auf eigenen Domains löst. Die Antwort:

Bildschirmfoto_2016-01-31_05-31-26

Gar nicht. Eigene Domains fallen auf HTTP zurück und eine HTTPS-Verbindung führt zu einem Zertifikatsfehler. Ehrlich gesagt hatte ich damit gerechnet; Zertifikate automatisch zu generieren ist ne ziemlich heikle Sache.

Trotzdem hab ich mal ne Mail an den Support verfasst:

[…]
I know that this is currently not possible. But, seeing that Chrome might soon start warning users about insecure connections and considering the security implications of unencrypted transfer itself, I wonder if you plan to support HTTPS on mapped domains in the future, either by issuing certificates yourselves or by using Let’s Encrypt.

I hope you agree that it’s kind of ironic that connections actually become less secure when paying for a mapped domain compared to the free WordPress subdomain. Even an option to set a custom certificate would be fine with me.
[…]

Ich habe mit einer kurzen und bündigen Erklärung gerechnet, warum das ganze aus sicherheitstechnischen und wirtschaftlichen Gründen in den nächsten zehn Jahren ausgeschlossen ist.

Neun Minuten (!!!) später bekam ich die sehr nett formulierte Antwort, dass das Team bereits die automatische Vergabe von Zertifikaten mittels Let’s Encrypt testet, sie allerdings noch ein paar Monate brauchen um sicher zu sein dass es keine Probleme gibt.

Ich werde mich jetzt zurücklehnen und freuen, dass ich trotz einiger Überlegungen in den vergangenen sieben Jahren nie von WordPress.com auf eine eigene Seite umgestiegen bin.

  • Bonus 3: WordPress.com ist einfach geil.
Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s