Motion #3999
closed
Investigate into https situation on national infrastructure
Added by Valio about 12 years ago.
Updated almost 12 years ago.
Start date:
14 November 2012
Description
IMO if a person prefers https over http this choice should be taken into account.
Thus the https architecture in the national infrastructure appears really spoiled to me.
Some examples:
1. Redmine seems to ignore all references to https and just provide http links
2. So does Drupal
3. https://forum.piratenpartei.ch redirects to the http version
4. https://forum.piratenpartei.ch/portal.php provides a lot of http links, even though most if not all could be https
Motion: Try to investigate into this matter and provide suggestions and guidelines.
- Project changed from Security and Privacy Officer to Digitale Infrastruktur
- Category deleted (
SSL/HTTPS)
- Status changed from New to 7
- Target version set to Meeting 2. Dezember 2012
- Target version changed from Meeting 2. Dezember 2012 to Meeting 16. Dezember 2012
Verschoben auf nächstes Meeting.
Bei dieser Motion muss Stefan anwesend sein.
- Assignee deleted (
Exception)
Durch den nächsten SPO zu erledigen.
- Assignee set to Exception
- Status changed from Tabled to Considered
Wurde heute diskutiert im Plenum gemeinsam mit Exception:
Grundsätzlich: da unsere Zertifikate von unserer CA kommen können wir https nicht als standard verwenden da in modernen Brwosern die hässlichen Warnungen kommen. Das können wir also nicht als Standard nehmen. Dies wurde schon öfters diskutiert, daran hat sich aber nichts geändert biser, wir müssen also weiterhin http als primär betrachten.
Nur auf my.piratenpartei.ch haben wir ein validiertes Zertifikat, dort ist auch ein https Zwang vorhanden.
- Redmine macht grundsätzliche relative Links, falls das nicht funktionert gibt es wohl redirects. Die könnte man sich anschauen. Dafür könnte man ein ticket machen.
- Drupal redircted immer auf http wegen dem domains modul, da lässt sich momentan auch nix ändern.
- Die Frage ist auch wozu HTTPS wirklich nötig ist. Der Content auf drupal ist öffentlich, login via CAS immer verschlüsselt. Private Tickets auf Redmine wären aber in der tat eine Sache die verschlüsselt besser wären.
Momentan: Won't do, hat keine Priorität und wir haben keine Resourcen für diese kleine unanehmlichkeit.
Tipp für User: HTTPS everywhere verwenden. https://www.eff.org/https-everywhere
- Assignee changed from Exception to Valio
Also available in: Atom
PDF