Blog

SSL SSL SSL

HTTPS = SSL

Mit SSL oder HTTPS bezeichnet man die verschlüsselte Übertragung der Daten vom Browser bis zum Server. Auf diesem Weg laufen die Datenpakete über verschiedene Computer, vom WLAN Router, über unserem DSL Provider, über Internet-Knotenpunkte bis zu Geräten im Rechenzentrum wo z.B. der oekobox-online.de Server steht.
Alle diese Computer können ohne Verschlüsselung alles mitlesen. Zwar kommt keiner so leicht an die Computer in unseren Rechenzentren, aber beim WLAN Zugang im Cafe ist das schon einfacher….

Grundprinzip bei dieser Verschlüsselung ist ein mathematisches Verfahren, bei dem es geheime und öffentliche Zahlenfolgen gibt. Die öffentlichen werden in Form von Zertifikaten (ganz bestimmt formatierte Text-Dateien) verwaltet und ausgegeben.

Die sichere Übertragung wird durch das https://-Protokoll in der Web-Adresse angestoßen. Wenn alles klappt ist das Schloss geschlossen:

Noch mehr Vertrauen eines Kunden kann man durch Erweiterungen erreichen, manchmal muss man sogar zum Notar gehen und sich vorstellen. Dann gibt’s noch den Namen zum Schloss:

Na und …?

Der Inhalt meines Warenkorbes … naja das kann doch jeder sehen oder? Es gibt viele Argumente dafür, das jede individuelle Kommunikation (hier also: du mit deinem Verkäufer) privat bleiben sollte. Aber damit werden wir schon etwas politisch oder philosophisch.

Das dein Passwort abgegriffen wird, welches du auch beim Bank-Zugang verwendest ist zwar ein eher verständliches Szenario, was aber in der Praxis nicht so oft vorkommt.

Aber: die Daten können während des Abrufs auch manipuliert werden. Hier ein Beispiel:

Da du ja als Kunde deinem Bio-Shop vertraust, klickst du auf jeden Link der dir dort angeboten wird – oder lädst womöglich sogar eine Datei herunter, wo drauf steht „unsere Top-Produkte als Zip-Datei!“. Drin ist aber ein Virus, der Deinen Computer kaputt macht.

Damit sind wir dann alle genervt: du, weil du einen Virus hast, und der Bio-Shop auch, weil er verdächtigt wird eine verschmutzte Webseite zu haben – aber der Virus kam ja gar nicht von ihm sondern wurde auf dem Weg (im Cafe?) eingeschleust.

Dies war nur ein Beispiel für viele Fälle, gegen die SSL helfen kann.

Warum jetzt?

Die „Großen“ im Internet haben nun die Initiative ergriffen. Nicht nur, das deren Angebote prinzipiell per SSL erreichbar sind, sondern sie bevorzugen auch Partner, deren Inhalte auch verschlüsselt angeboten werden. Das mögen Links bei Facebook sein, oder Suchergebnisse bei Google.

Google (das Chrome Browser-Team) und auch Mozilla wollen bald vor nicht-SSL Seiten warnen – zunächst nur bei der Übermittlung von Daten, später aber auch beim einfachen Abruf von Seiten. Deshalb sollten wir das in den nächsten Monaten angehen (sofern noch nicht geschehen).

Ich habe das Thema in der Vergangenheit bei unseren Installationen nicht sehr voran getrieben – denn eine richtige Umsetzung des Gedankens kann Arbeit machen:

SSL ist mehr als nur ein Zertifikat

Das Zertifikat wird auf einen Domain-Namen ausgestellt. Der Inhalt einer Webseite kommt aber heutzutage oft nicht mehr nur von einer Domain (Wer’s genauer wissen möchte, dem empfehle ich das LightBeam-Plugin im Firefox).

Der Browser zeigt nur dann ein geschlossenes (oft grünes) Schloss an, wenn alles auf der Seite stimmt, d.h. alle dargestellten (Bilder) und nicht dargestellten Inhalte (Skripte für Animationen z.B.) auf verschlüsseltem Weg von Anbietern mit gültigen Zertifikaten kommen.

In der Praxis bedeutet dies Arbeit – viele haben eine Menge Inhalte in CMS-Systemen, wo sich auch viele sog.  absolute Links verstecken. Auch der WebDesigner muss sorgfältig arbeiten. Zum Glück gibt es Werkzeuge (z.B. HTTPS Checker) die beim aufspüren helfen.

Nicht alle Zertifikate werden von allen Endgeräten oder auch den Servern (z.B. dem Shop-Server) unterstützt – das sollte vor dem Kauf geklärt werden.

Am Besten die Kundenkommunikation läuft nur noch per SSL –  d.h. auch alle Links aus Mails sollten direkt auf die https-Seite zeigen (wie in dieser Mail!) Die oft praktizierte Logik, http-Adressen auf https- weiter zu leiten ist nicht so gut – schliesslich kann ja dann dieser erste Aufruf schon mal manipuliert sein, und weil dieser Ablauf automatisch passiert hat der Besucher keine Chance dies mitzubekommen.

D.h. am Ende sollte keiner mehr einen Grund haben, die http-Variante aufzurufen. Dazu kann man auch seinen Google Eintrag entsprechend ändern und technische Tricks wie HSTS einstellen (lassen).

SSL im Shop System

Das Shopsystem kann schon immer per https- angesprochen werden. Dazu muss nur der Aufruf innerhalb der WebSeiten geändert werden.

Im Admin-Bereich können die Links in die Webseite eingestellt werden, ebenso wie Platzhalter, Inhalte etc.

Nicht-Https-Referenzen auf Bilder im Angebot werden vom Shopsystem automatisch zu internen Links umgebaut und sind damit auch verschlüsselt verfügbar, hier fällt also keine weitere Arbeit an.

Schwieriger wird es bei Anwendern, die den Shop mit einer eigenen Sub-Domain (z.B. shop.schoenegge.de) eingebunden haben. Hier muss jeweils eine individuelle Lösung gefunden werden.

Der im Bau befindliche neue Shop greift ausschliesslich auf SSL geschützte Inhalte zurück.

SSL macht dauerhaft Arbeit – deshalb gibt es die Position „SSL-Unterstützung“ schon einige Zeit auf der Preisliste.

 

Durchgestrichene Preise

Diese Funktion war schon länger im Plan. Wie so oft erfordert es einiges an extra Aufwand, diese Preise einzutragen (das ist auf seiten des PCG in Arbeit). Um Euch dies zu erleichtern, gibt es schon jetzt folgende Möglichkeiten (im Admin-Bereich zu finden: Einstellungen > Gestaltung/Daten):

  • Mechanismus: Automatik oder Preisgrenze
  • Grenzen: minimaler Unterschied im Preis in Cent und %

Die Automatik merkt sich täglich den Preis. Eine Darstellung erfolgt, wenn der Preis geringer ist. Unter Aktueller Status > Preissenkung gibt es eine dazu passende Auswertung, die zeigt welche Artikel von den jeweiligen Einstellungen profitieren würden.

Wenn die Möglichkeit „Preisgrenze“ gewählt ist, wird der durchgestrichene Preis angezeigt, wenn vor der Termin-Grenze ein höherer Preis galt.

Zeigerartikel & Untergruppen-Navigation

In neuen Shopmodellen soll es mehr Optionen zur Gestaltung der Artikelnavigation geben. Einige Dinge konnten mit wenig Aufwand auch im aktuellen Shop eingebaut werden. So gibt es nun Artikel, die zwar eine Beschreibung haben , aber nur dazu dienen, auf eine andere Menüebene zu verweisen. „Und hier geht’s zu den Tomatensoßen“ wäre ein solcher Zeiger in der Nudelabteilung.

Zudem gibt es ein mehr Gestaltungsmöglichkeiten für Untergruppen – z.B. kann eine Unter-Navigation eingeblendet werden. Siehe z.B. „Fleisch und Fisch“ beim Amperhof oder die Hauschka-Abteilungen bei einigen Anwendern.

Lieferkostengrenze und Mindestbestellwert

Diese beiden Konzepte waren lange miteinander verbunden – seit einiger Zeit kann man dies nun separat einstellen:
Mindestbestellwert: wie bisher können Abokunden mit genügend zeitlichem Vorlauf auch darunter bestellen.
Lieferkosten-Grenze: wird mehr bestellt, werden keine Lieferkosten hinzugerechnet.
Diese Werte können nun auch pro Kunde (bzw. pro Tour wie im PCG) individuell sein!

Butter oder Süsrambuter oder Butter-Kecks?

Selbst nach vielen Versuchen ist die Suche im Shop immer noch nicht so gut wie bei Google . Aber es gibt nun ein paar mehr Optionen, die es auszuprobieren gilt, denn die Logik der Artikel-Benennung, der Begleittexte ist bei Euch doch zu verschieden.
Einige von Euch haben nun auch Zugriff auf einen dritten  Suchalgorithmus neben „eher exakt“ und „mehr ähnliche Begriffe“.
In den Einstellungen kann nun auch eingegrenzt werden: Suche nur im Namen, in den Kern-Informationen eines Artikels oder „in Allem“.
Nicht zu vergessen die Suchbegriffe, die man im PCG am Artikel ablegen kann und oft als letzte Rettung funktionieren! Welche? Im Admin-Bereich unter „Suche“ siehst Du was so alles (erfolglos) gesucht wurde.

Zahlung mit Paypal

Seit einiger Zeit kann auch mit Paypal bestellt werden. Da kommen zwar weitere Kosten pro Lieferung dazu, aber gerade für Aktionen und Neukunden kann dies eine gute neue Möglichkeit sein.
Um Wiege-Differenzen abzubilden, gibt es zwei Zahlungsmodi. Mehr unter Einstellungen im Admin-Bereich.

SEPA

Auch im Shop gibt es einige Änderungen dazu:

  • Die Gläubiger-Id muss nicht nur im PCG, sondern auch im Shop hinterlegt werden. Zu finden ist diese Einstellung unter Einstellungen->Status->Kontakt. Sofern mehrere Sprachen eingestellt sind, sind auch mehrere Eingabefelder verfügbar
  • Die Bankdatenabfrage für Neukunden und die Eingabemöglichkeit in den Kundenprofiledaten (im Shop unter „pers. Angaben“) fragen nun nach IBAN und BIC. Das wichtige ist aber die Unterschrift – dazu gibt es ein Formular, das der Kunde  ggf. vervollständigen, ausdrucken und an Euch senden muss. Das wird bestimmt auch zu Mehrarbeit beim Einpflegen der Neukunden in den PCG geben.
  • Es gibt ein Textfeld, welches auch im  SEPA Formular eingeblendet wird, sofern da noch eigene Informationen hinein sollen, etwa „Unser Fahrer sammelt dieses Formular ein“. Zu finden unter „Einstellungen->Anmeldung/Profile“.
  • Die Mandatsreferenz für den Kunden wird, sofern vorhanden, im gleichen Profilbereich angezeigt.