gut zwei Jahre haben wir hier im Forum mit Euch über die Einführung verschlüsselter Verbindungen ("HTTPS / SSL (TLS)") und die damit verbundenen Vor- und Nachteile diskutiert.
Wir freuen uns daher sehr, heute endlich bekanntgeben zu können, dass die Nutzung der Chats per HTTPS ab sofort optional möglich ist. Ihr findet hierzu im Admin-Menü Eures Chats den neuen Menüpunkt "SSL Verschlüsselung", unter dem für jeden Chat individuell festgelegt werden kann, ob alle Daten rund um den Chat verschlüsselt übertragen werden sollen.
Die Verschlüsselung ist jeweils ab dem nächsten neuen Login in den Chat aktiv. Dass die Verbindung zum Chatserver verschlüsselt erfolgt, erkennen Eure Chatter bei den meisten Browsern an einem kleinen Schloss-Symbol, das in der Adresseleiste des Browsers angezeigt wird.
Aus technischen Gründen kann die Verschlüsselung der Kommuniation leider nur verwendet werden, solange im Chat eine Bannerbefreiung genutzt wird. Andernfalls würden Eure Chatter Fehlermeldungen erhalten, weil die Bannerwerbung generell nur unverschlüsselt übertragen werden kann ("Diese Seite enthält unsichere Elemente"). Einige Browser würden auch einfach keine Banner anzeigen, daher müssen wir die Nutzung leider fest an die Bannerbefreiung binden. (siehe Update unten)
Falls ihr eine eigene Loginseite nutzt, müsst ihr dort lediglich eine minimale Änderung vornehmen, wenn ihr HTTPS aktiviert habt. Der Abschnitt
Falls ihr eigene Scripte oder Bilder im Chat eingebunden habt ist zudem zu beachten, dass diese ebenfalls über https:// aufgerufen werden müssen, damit es nicht zu Problemen kommt. Als Hilfestellung zu diesem Thema gibt es einen separaten Thread, technische Fragen hierzu bitte direkt dort stellen, damit es nicht unübersichtlich ist.
Da das Thema Verschlüsselung für viele von Euch neu sein dürfte, möchten wir im Folgenden noch mal auf die wesentlichen Punkte hierzu eingehen:
Grundsätzlich wird Verschlüsselung per HTTPS eingesetzt, damit unbefugte Dritte keine Möglichkeit haben, den Datenverkehr an bestimmten Knotenpunkten im Internet abzufangen und mitzulesen. Aus diesem Grund wird HTTPS z.B. immer im Bereich Online-Banking genutzt, da es sich hier um äußerst sensible Daten handelt.
In Bezug auf Chats ergibt sich jedoch noch ein weiterer Vorteil: Leider passiert es bei unverschlüsselten Verbindungen immer wieder, dass Chatter Streamprobleme haben (d.h. entweder im Chat nichts lesen können oder ungewollt im Problemmodus des Chats landen). Die Ursache hierfür sind häufig Virenscanner, die den Stream "abfangen", um ihn auf Viren zu prüfen und ihn dann nur mit extremer Verzögerung (meist erst nach Verlassen des Chats) zur Ansicht an den Browser weiterleiten.
Beim Einsatz von HTTPS treten Streamprobleme dieser Art nicht auf, da es sich hierbei um eine sog. Ende-zu-Ende Verschlüsselung handelt, d.h. die Daten werden verschlüsselt bis direkt zum Browser der Chatter übertragen und erst dort entschlüsselt und angezeigt. Virenscanner können die Daten also nicht abfangen und hierdurch Probleme bereiten.
Beispielsweise mit Avira Free Antivirus / Antivir konnten wir das oben beschriebene Verhalten erfolgreich testen: Während im normalen Chat-Modus immer automatisch in den (langsamen) Problemmodus des Chats umgeschaltet wurde, war Chatten bei aktiver Verschlüsselung problemlos im normalen (schnellen) Chatmodus möglich. Am PC des Chatters mussten dazu keinerlei Veränderungen vorgenommen werden. Wir gehen davon aus, dass es sich mit anderen Virenscannern genauso verhält. Aufgrund der großen Anzahl an Produkten in diesem Bereich können wir aber nicht alle testen und würden uns sehr über Rückmeldungen von Euch und Euren Chattern freuen. Gerade wenn Chatter bisher Probleme mit dem Chatstream haben würde es uns sehr interessieren, ob diese in allen Fällen gelöst sind, nachdem die Verschlüsselung für den Chat aktiviert wurde.
Auch über sonstiges Feedback, Fragen, Probleme, Anmerkungen usw. würden wir uns wie immer sehr freuen. Feedback in Zusammenhang zu eigenen JavaScripten zur besseren Übersicht bitte in diesem Thread stellen.
UPDATE APRIL 2017: Update: Ab sofort kann HTTPS in allen Chats ohne zusätzliche Kosten genutzt werden. Die Aktivierung der Bannerbefreiung ist hierfür nicht mehr nötig. In neu angemeldeten Chats ist HTTPS von Anfang an aktiviert. Bei den aktuellen Versionen von FireFox und Chrome erhalten Nutzer große Warnmeldungen, wenn Chats kein HTTPS nutzen.
Folgende Warnung sehen Nutzer in der Adresszeile des Browser (hier: Chrome):
Folgende Warnung sehen Nutzer beim Chat-Login (hier: Firefox):
Bei aktivierter Verschlüsselung sieht die Adressezeile hingegen so aus (hier: Chrome):
Wir raten jedem Chatbetreiber dringend dazu HTTPS zu aktivieren. Andernfalls werden die Warnmeldungen viele Nutzer verschrecken und dazu führen, dass sie sich gar nicht erst für den Chat anmelden (die Warnungen erscheinen auch auf der Registrierungsseite).
UPDATE Mai 2018: Update: Ab dem 24. Mai wird die Nutzung der verschlüsselten Datenübetragung Standard in allen Chats. Wer seinen Chat bisher noch nicht umgestellt hat, z. B. weil es Probleme mit eigenen Scripten und/oder Bildern in der Ankündigung des Chats gibt, sollte nun schnell handeln und die Probleme lösen. Andernfalls könnte die Funktionalität einzelner Chats ab dem 24. Mai beeinträchtigt sein. Die Aktivierung der Verschlüsselung wird durch eine Gesetzesänderung nötig, daher ist dieser Schritt unbedingt nötig.
Viele Grüße
WK - Team