Frage bzgl. "Bietet HTTPS"
Opened this issue · 1 comments
https://https.jetzt/https/city/info/
Seiten, die von HTTPS auf HTTP umleiten zählen als unsicher und bekommen ein Nein.
Was umfasst diese Definition?
Was sind für dich Umleitungen? http redirect, Javascript reload, Ressourcen die per http geladen werden (img, css etc.), href links auf externe Seiten, Frames die andere Seiten einbetten?
Man sieht leider überhaupt nicht, was der Ausschlussgrund war.
Beispiel: aachen.de bietet https
Was kann die Behörde denn nun verbessern/woran mangelt es eigentlich?
Weil HSTS kann man nur bringen, wenn man sicher ist, dass man damit nicht Nutzer versehentlich für ein Jahr von der Seite aussperrt. Ist nice-to-have aber imo nicht so wichtig wie überhaupt https zu bieten.
Es gibt ja auch Seiten mit HSTS und ohne "Bietet HTTPS". Meint ihr sowas verwirrt nicht? (auch wenn ihr das in der Info Sektion versucht zu erklären mit obigem Satz)
Da fällt mir gerade auf, dass ich auch
"Frei von veralteter/unsicherer Crypto" uneindeutig finde:
Viele Einträge haben kein Ja oder Nein sondern einen Bindestrich. Was heißt der denn? Auf Info werden leider nur ja und nein erklärt.
Danke für dieses Projekt! Sehr lobenswert und zu begrüßen!! 👍
Eine weitere Frage die mir gerade kam: überprüft ihr nur die Domain oder auch Subdomains?
Weil die können ja ganz andere Server und Zertifikate einsetzen.
Beispiel:
aachen.de
serviceportal.aachen.de
maengelmelder.aachen.de
etc.
(mir ist klar dass so ein Check schnell viel zu umfangreich wird, aber es wäre eventuell gut zu wissen, was ihr checkt und was nicht 😅)