Wie ein Damokles Schwert schwebte der 1. Oktober über den Betreibern von Facebook Pages, die Anwendungen ohne SLL-Verschlüsselung anbieten und verwenden. Laut Facebook sollten zu diesem Tage alle Anwendungen welche die Sicherheitsanforderungen von Facebook nicht erfüllen abgeschaltet werden. Heute nach einem langen Wochenende in Deutschland schauen wir auf die entsprechenden Anwendungen und stellen fest: Noch ist alles beim Alten.

Nach wie vor lassen sich Anwendungen ohne Verschlüsselung verwenden. Facebook scheint einen Galgenfrist einzuräumen. Offiziell gibt es zu diesem Thema aber keine Neuigkeiten. So lang es hier keine “Entwarnung” von Facebook gibt, ist aber zu erwarten das die Zwangsabschaltung unsicherer Anwendungen in den nächsten Stunden oder Tagen beginnt.

Wir haben vor etwa einem Monat 20 Fanpages untersucht und damals festgestellt, dass von diesen acht Stück Anwendungen ohne Zertifikat verwenden. Heute haben wir noch mal nachgeschaut und sind ein wenig geschockt. Noch immer haben Seiten wie Swarowski, Stefan Raab oder auch Adidas nicht alles umgestellt. Woran liegt das? Ist ein SSL Zertifikat im Social Media Budget nicht vorgesehen? Und ist die drohende Abschaltung der Anwendungen bei den Verantwortlichen noch nicht angekommen?

Zum Thema SSL haben wir hier im Blog schon öfters berichtet. Vielleicht helfen euch die folgenden Artikel bei der Umstellung:

• Offizielle Anleitung: HTTPS in Custom Page Tabs integrieren (August 2011)
• Howto: Mehrere SSL Zertifikate auf Apache einrichten (Juni 2011)
• Aufruf an alle: JETZT zu HTTPS wechseln! (Juni 2011)
• Sicheres Surfen mit HTTPS in Facebook – Fluch und Segen! (März 2011)

Wir haben bei Facebook nachgefragt, wie die aktuellen SSL Pläne sind und werden euch hier berichten, sobald wir neues wissen.

Swarovski Startseite - Noch mit Fehlermeldung aber laut Facebook ab 01. Oktober nicht mehr verfügbar

Eigentlich ist dies nur ein kleiner Reminder:

Liebe Unternehmen, Agenturen und Seitenbetreiber,

denkt doch bitte daran, dass ab 01. Oktober alle eure selbst erstellten Unterseiten (aká Tabs) auf Facebook HTTPS unterstützen müssen.

Beste Grüße
Jens & Philipp von AllFacebook.de

Wir haben gestern kurz über einige große Facebook FanPages geschaut um zu testen, wer denn hier schon vorbildlich arbeitet und wer nicht. Etwas erschrecken ist uns aufgefallen, dass auf 8 der 20 (!) größten Facebook Seiten im deutschsprachigen Markt* noch Tabs ohne HTTPs eingesetzt werden. Wer jetzt schon an einem Update arbeitet muss dann nach dem 01. Oktober nicht Facebook die Schuld geben. Denn in diesem Falle hatten alle wohl genügen Zeit für die Umstellung die Facebook und dementsprechend auch wir schon seit Monaten kommuniziert.  (weiterlesen …)

Es ist schon lange kein Geheimnis mehr, dass auf Facebook ab dem 01. Oktober nur noch Applikationen mit HTTPS zugelassen sind. Umstellen wird also definitiv bald zur Pflicht. Wir haben im Blog schon oft über HTTPS berichtet:

• Howto: Mehrere SSL Zertifikate auf Apache einrichten (Juni 2011)
• Aufruf an alle: JETZT zu HTTPS wechseln! (Juni 2011)
• Sicheres Surfen mit HTTPS in Facebook – Fluch und Segen! (März 2011)

Nun hat Facebook selbst ein kurzes Dokument veröffentlicht welches Schritt für Schritt erklärt, wie und wo genau Einstellungen vorgenommen werden müssen. Für alle Nutzer welche die üblichen einfachen Anwendungen zur Erstellung eines Customs Tabs auf Facebook nutzen bedeutet es keine Umstellung da hier nur der Anbieter auf die korrekte Einbindung achten muss. Jeder der selbst ein Tab erstellt hat sollte diese Anleitung aber zumindest kurz anschauen.

Download:
HTTPS URLs for Custom Page Tabs
PDF 300kb (Share & Embed via Scribd)

Das Dokument direkt hier im Blogbeitrag: (weiterlesen …)

- Gastbeitrag von Stephan Alber -

Derzeit noch eine Fehlermeldung bei Tabs ohne SSL-Zertifikat. In Zukunft wird diese Anwendung gar nicht mehr angezeigt...

Bekanntermaßen müssen ab 1. Oktober 2011 alle Facebook Apps über ein SSL Zertifikat verfügen – ansonsten sollen diese laut Facebook Developer Roadmap nicht mehr erreichbar sein (auch für „nicht SSL Surfer“). Mit einem der großen Standard-Hoster (wie bspweise 1&1) wird die Einrichtung der Zertifikate wenig Probleme bereiten. Anders sieht es aus, wenn man einen Root-Server betreibt und dort eine Vielzahl von Apps hostet. Die Installation des ersten Zertifikats funktioniert in den meisten Fällen mehr oder weniger reibungslos, beim zweiten tauchen dann Probleme beim konfigurieren auf. Doch machen wir es kurz: Mit dem standardmäßig installierten „mod_ssl“ kann ein Apache Server nur ein (!) SSL Zertifikat behandeln.

Hier liegt der Hund begraben: Apache vhosts + mod_ssl

Grund hierfür ist die Mechanik der Apache Vhots. Die Zuordnung der Anfragen auf die jeweiligen Projekte erfolgt über den „Hostname“ (Bsp: kundenname.meinedomain.de). Die Anfrage kann jedoch erst gelesen werden, nachdem die SSL Verbindung aufgebaut wurde. Daher wird in der Regel vom Apache die erste gefundene SSL Konfiguration ausgewählt und an den Client gesendet. Im späteren Ablauf kann der Apache zwar das richtige SSL Zertifikat auswählen, zu diesem Zeitpunkt wurde der sogenannte „Handshake“ jedoch bereits ausgeführt, wodurch vom Browser Fehlermeldungen auf Grund falscher Hostnamen Zertifikatsfehler angezeigt werden. Weitere Informationen zum Ablauf findet auf Wikipedia unter den Begriffen OSI-Schichtenmodell und SSL Handshake Protoccol.     (weiterlesen …)

Facebook ruft zum sicheren Surfen auf

Gerade einmal 1-2 % aller Facebook Nutzer haben ihren Account bisher auf sicheres Surfen mit SSL und HTTPS umgestellt. Diese Zahl hat Facebook Mitte letzten Monats bekannt gegeben. Nicht aber zuletzt um Bereiche wie F-Commerce voran zu treiben ist es Facebook ein besonderes Anliegen, möglichst schnell die breite Masse der Nutzer  zur Umstellung zu bewegen. Dazu hat Facebook begonnen Nutzer mit einem Hinweis auf der Startseite auf die Möglichkeit aufmerksam zu machen. In diesem Hinweis (siehe Screenshot) kann das sichere browsen mit einem Klick aktiviert werden. Alternativ findet sich die Option in den Konteneinstellungen.

Für Entwickler ist der Aufwand der Umstellung leider nicht nur mit einem Klick getan. Hier müssen für alle Domains von denen Anwendungen für Facebook bereit gestellt werden SSL Zertifikate eingerichtet und installiert werden. Anschließend muss die entsprechende Secure-URL in den Anwendungseinstellungen hinterlegt werden. Die Umstellung ist (abhängig von der Zertifizierungsstelle) aber auch in 1-2 Stunden erledigt. So genannte Proxy-Zertifikate, wie sie zum Beispiel einige Hosting-Anbieter kostenlos zur Verfügung stellen sind für Facebook allerdings nicht geeignet. Das Zertifikat muss wirklich für die entsprechende Hosting-Domain ausgestellt sein.

Die Verwendung von HTTPS für das Surfen auf Facebook sollte aber für jeden, der im Projektgeschäft tätig ist Pflicht sein. Sowohl für Entwickler als auch für Auftraggeber, Marketingleiter etc. Nur so können Anwendungen, die noch nicht auf HTTPS umgestellt sind schnell erkannt werden. Werden diese nicht ausfindig gemacht und umgestellt droht eine Abschaltung der Anwendung zum 1. Oktober 2011! Zu diesem Zeitpunkt MUSS jede Anwendung eine verschlüsselte Verbindung erlauben.

Fehlermeldung bei Anwendungen ohne SSL Zertifikat

Schon heute sieht ein Nutzer, der auf HTTPS umgestellt hat einen Hinweis, wenn er auf eine nicht HTTPS Anwendung in Facebook trifft. Dies schreckt den Nutzer nicht nur ab, sondern zeugt auch von Unprofessionalität der betreuenden Agentur / Abteilung. So erschreckt es uns zum Beispiel, dass die Landing-Tabs großer Marken wie etwa CocaCola oder auch von BurgerKing Deutschland kein Zertifikat haben.

Weitere Informationen zu diesem Thema hat Thomas Hutter im März schon bei uns als Gastbeitrag zusammengetragen.

Wie sieht es bei euch aus? Surft ihr sicher auf Facebook? Sind eure Apps alle schon für den 1. Oktober vorbereitet?