Motion #3999
closedInvestigate into https situation on national infrastructure
0%
Description
IMO if a person prefers https over http this choice should be taken into account.
Thus the https architecture in the national infrastructure appears really spoiled to me.
Some examples:
1. Redmine seems to ignore all references to https and just provide http links
2. So does Drupal
3. https://forum.piratenpartei.ch redirects to the http version
4. https://forum.piratenpartei.ch/portal.php provides a lot of http links, even though most if not all could be https
Motion: Try to investigate into this matter and provide suggestions and guidelines.
Updated by Apophis about 12 years ago
- Project changed from Security and Privacy Officer to Digitale Infrastruktur
- Category deleted (
SSL/HTTPS)
Updated by Apophis about 12 years ago
- Target version set to Meeting 2. Dezember 2012
Updated by Apophis about 12 years ago
- Target version changed from Meeting 2. Dezember 2012 to Meeting 16. Dezember 2012
Verschoben auf nächstes Meeting.
Bei dieser Motion muss Stefan anwesend sein.
Updated by Exception about 12 years ago
- Assignee deleted (
Exception)
Durch den nächsten SPO zu erledigen.
Updated by Apophis about 12 years ago
- Status changed from Tabled to Considered
Wurde heute diskutiert im Plenum gemeinsam mit Exception:
Grundsätzlich: da unsere Zertifikate von unserer CA kommen können wir https nicht als standard verwenden da in modernen Brwosern die hässlichen Warnungen kommen. Das können wir also nicht als Standard nehmen. Dies wurde schon öfters diskutiert, daran hat sich aber nichts geändert biser, wir müssen also weiterhin http als primär betrachten.
Nur auf my.piratenpartei.ch haben wir ein validiertes Zertifikat, dort ist auch ein https Zwang vorhanden.
- Redmine macht grundsätzliche relative Links, falls das nicht funktionert gibt es wohl redirects. Die könnte man sich anschauen. Dafür könnte man ein ticket machen.
- Drupal redircted immer auf http wegen dem domains modul, da lässt sich momentan auch nix ändern.
- Die Frage ist auch wozu HTTPS wirklich nötig ist. Der Content auf drupal ist öffentlich, login via CAS immer verschlüsselt. Private Tickets auf Redmine wären aber in der tat eine Sache die verschlüsselt besser wären.
Momentan: Won't do, hat keine Priorität und wir haben keine Resourcen für diese kleine unanehmlichkeit.
Tipp für User: HTTPS everywhere verwenden. https://www.eff.org/https-everywhere