Schulserver via HTTPS

Seit dem Wochen­en­de hat auf eini­gen Web­sei­ten unse­rer Schu­le etwas verändert:

Die gesam­te Kom­mu­ni­ka­ti­on zwi­schen den Cli­ents der Schü­le­rin­nen und Schü­ler und unse­rem Web­ser­ver läuft damit über HTTPS. So flie­gen kei­ne Schul­netz­werk­pass­wor­te mehr im Klar­text durch die Gegend – als Neben­ef­fekt blei­ben auch die Logs des Netz­werkser­vers davon ver­schont. Die Per­for­mance lei­det etwas, da es beim Hand­shake zwi­schen Brow­ser und Web­ser­ver nun eini­ges mehr zu rech­nen gibt – über die ver­schlüs­sel­te Ver­bin­dung – so ein­mal eta­bliert – lachen sich moder­ne Pro­zes­so­ren eher sche­ckig. Man kann die­sen Effekt sehr deut­lich in z.B. Mood­le bemer­ken: Surft man zügig durch das Sys­tem, flufft es fast wie vor­her. Liest man län­ge­re Zeit auf einer Sei­te und klickt dann auf einen Link, braucht es ca. drei Gedenk­se­kun­den – zumutbar.

Die alten URLs muss­ten nun auf HTTPS umge­bo­gen wer­den, damit die Benut­zer das Sys­tem mit ihren alten Book­marks benut­zen kön­nen – das geht mit dem von mir ver­wen­de­ten lighttpd-Web­ser­ver sehr hübsch. Ein

$SERVER[„socket“] == „:80“ {

$HTTP[„host“] =~ „alte.domain.de“ {
url.redirect = ( „^/(.*)“ => „https://alte.domain.de/$1“ )
}

}

(Über­setzt: Schrei­be http://alte.domain.de/irgendwas auf https://alte.domain.de/irgendwas um).

über­gibt die User an die SSL-Engi­ne von lighttpd, die dann die vhost-Geschich­te übernimmt.

Die Umstel­lung hat übri­gens fast nie­mand bemerkt: Mein Ser­ver­zer­ti­fi­kat ist durch eine Aut­ho­ri­ty signiert, dann meckert auch kein Brow­ser – es wird nur blau in der Adress­zei­le. Jetzt zie­he ich als nächs­tes den Mail­ser­ver der Schu­le um und kann dann end­lich auch über mei­ne Zer­ti­fi­ka­te IMAPS und SMTPS anbie­ten. Da ich als Clas­s2-Mem­ber ein Wild­card-Zer­ti­fi­kat signie­ren las­sen kann, gibt es auch kei­nen Trou­ble mit IPs…

This work by Maik Riecken is licen­sed under a Crea­ti­ve Com­mons Attri­bu­ti­on-Non­Com­mer­cial-ShareA­li­ke 4.0 International