Project

General

Profile

Actions

Motion #3999

closed

Investigate into https situation on national infrastructure

Added by Valio about 12 years ago. Updated about 12 years ago.

Status:
Considered
Priority:
Normal
Assignee:
Category:
-
Start date:
14 November 2012
Due date:
% Done:

0%

Estimated time:

Description

IMO if a person prefers https over http this choice should be taken into account.
Thus the https architecture in the national infrastructure appears really spoiled to me.

Some examples:
1. Redmine seems to ignore all references to https and just provide http links
2. So does Drupal
3. https://forum.piratenpartei.ch redirects to the http version
4. https://forum.piratenpartei.ch/portal.php provides a lot of http links, even though most if not all could be https

Motion: Try to investigate into this matter and provide suggestions and guidelines.

Actions #1

Updated by Apophis about 12 years ago

  • Project changed from Security and Privacy Officer to Digitale Infrastruktur
  • Category deleted (SSL/HTTPS)
Actions #2

Updated by Apophis about 12 years ago

  • Status changed from New to 7
Actions #3

Updated by Apophis about 12 years ago

  • Target version set to Meeting 2. Dezember 2012
Actions #4

Updated by Apophis about 12 years ago

  • Target version changed from Meeting 2. Dezember 2012 to Meeting 16. Dezember 2012

Verschoben auf nächstes Meeting.

Bei dieser Motion muss Stefan anwesend sein.

Actions #5

Updated by Exception about 12 years ago

  • Assignee deleted (Exception)

Durch den nächsten SPO zu erledigen.

Actions #6

Updated by Apophis about 12 years ago

  • Assignee set to Exception
Actions #7

Updated by Apophis about 12 years ago

  • Status changed from Tabled to Considered

Wurde heute diskutiert im Plenum gemeinsam mit Exception:

Grundsätzlich: da unsere Zertifikate von unserer CA kommen können wir https nicht als standard verwenden da in modernen Brwosern die hässlichen Warnungen kommen. Das können wir also nicht als Standard nehmen. Dies wurde schon öfters diskutiert, daran hat sich aber nichts geändert biser, wir müssen also weiterhin http als primär betrachten.

Nur auf my.piratenpartei.ch haben wir ein validiertes Zertifikat, dort ist auch ein https Zwang vorhanden.

  • Redmine macht grundsätzliche relative Links, falls das nicht funktionert gibt es wohl redirects. Die könnte man sich anschauen. Dafür könnte man ein ticket machen.
  • Drupal redircted immer auf http wegen dem domains modul, da lässt sich momentan auch nix ändern.
  • Die Frage ist auch wozu HTTPS wirklich nötig ist. Der Content auf drupal ist öffentlich, login via CAS immer verschlüsselt. Private Tickets auf Redmine wären aber in der tat eine Sache die verschlüsselt besser wären.

Momentan: Won't do, hat keine Priorität und wir haben keine Resourcen für diese kleine unanehmlichkeit.

Tipp für User: HTTPS everywhere verwenden. https://www.eff.org/https-everywhere

Actions #8

Updated by Apophis about 12 years ago

  • Assignee changed from Exception to Valio
Actions

Also available in: Atom PDF