Podcastseite HTTPS ready machen

Da Apple wohl iOS Apps ab Ende diesen Jahres verbieten will keine ungesicherten HTTP Verbindungen aufzubauen und gerade nochmal eine Mail kam an der sie an HTTPS Support erinnert haben (samt Auflistung unterstützter Seiten), stehe ich nun vor der Frage:

Was muss ich tun? Was muss ich machen damit bei meinen Podcast Seiten https rausfällt? Davon habe ich nämlich GAR KEINE Ahnung :scream:

Um die Apps musst du dir keine Gedanken machen. Die werden bei Apple eine Ausnahme bekommen.

Ob Apple Podcasts aus dem Verzeichnis wirft, die kein HTTPS machen ist eine andere Frage. Haben sie noch nicht angekündigt und mit einer derzeit veralteten TLS Implementierung von Apple halte ich das auch nicht für machbar. Aber wer weiß das schon…

Wie du deine Seite auf TLS bekommst hängt ganz davon ab wo du hostest. Eigener Server? Shared Hosting?

Ich habe die Mail von Apple auch bekommen und paste hier mal den Text. Die wichtigste Message scheint mir zu sein, dass Apple nur kommerzielle Zertifikate akzeptiert. Kein letsencrypt oder so.

Ansonsten denke ich auch, keine Panik, aber man sollte das auf der nächsten #subscribe mal als workshop beleuchten.

1 „Gefällt mir“

hier der text:

Dear Podcast Provider,

To improve your experience with Podcasts on iTunes, we’ve put together a few tips and reminders:

Best Practices for Marketing Your Podcast on Twitter
HTTPS Support
Streaming and Server Setup

Best Practices for Marketing Your Podcast on Twitter
When promoting your podcasts on Twitter, take note of the following:

Make Your Tweet Appealing. Tweet something that fans will want to retweet. Fans are more likely to engage with you if your tweets are interesting and compelling. Interesting facts about your show, host, or guest are great examples of ideas that can help drive listeners to your podcast.
Include a Link. Always include a link directly to your podcast's page on iTunes Podcasts. To find the link to your podcast's page, when viewing in the Podcasts app, tap the Share arrow to copy the link. When viewing in iTunes, right click on your podcast's cover and select "Copy Link." Make sure to only include one link per tweet, as multiple URLs in a single tweet will confuse readers.
Interact With Your Fans. Ask questions and interact with fans who tweet back. Promoting conversation about your podcast and asking for responses give fans a reason to voice their opinion. Browse relevant hashtags to find listeners and other Twitter users who are talking about your show or related categories. These can help you identify opportunities to interact with fans and potential listeners in a meaningful way.
Use @ Mentions. Include other Twitter users in your tweets, and make sure you've mentioned the correct Twitter handle.
Mention @iTunesPodcasts. When you mention our Twitter handle, our Social Team will be notified of your tweet, and can more easily retweet to our followers.
Stay in Touch. Pay attention to the iTunes Podcasts Twitter account and watch what we're tweeting about. Reply to relevant tweets, and retweet us when we talk about your podcast.

HTTPS Support
iTunes desktop and the Podcasts app for iOS and tvOS both support HTTPS protocol for metadata, cover art, and episode files. We require an SSL certificate from one of the following providers:

https://www.godaddy.com/ssl/ssl-certificates.aspx
http://www.symantec.com/ssl-certificates
https://www.thawte.com/ssl/
https://www.globalsign.com/en/ssl/
http://www.entrust.net
https://www.geotrust.com/ssl/
http://www.affirmtrust.com
https://www.comodo.com/

Streaming and Server Setup
To enable display of your cover art, and streaming playback of your episodes, make sure your hosting server allows HTTP HEAD requests and has byte-range requests enabled. To ensure your m4a files can be streamed, convert them with iTunes.

If you have any questions, or would like to get in touch, go to Resources and Help.

Regards,

The Podcasts team
Copyright © 2016 Apple Inc. 1 Infinite Loop, Cupertino, CA 95014
You are receiving this email newsletter because you have submitted a podcast to iTunes.
Privacy Policy | Terms of Service | Terms of Sale

Hach der gute alte Java1.6 Certificate Pool.

Ich glaube nicht, dass Apple non HTTPS Podcasts aus dem Verzeichnis werfen wird, dafür unterstützen sie einfach zu wenig Zertifikatsanbieter (mit StartSSL und Let’s encrypt fehlen zwei sehr prominente) und es ist auch nicht ersichtlich, warum das Podcastverzeichnis diesen Anbietern nicht trauen sollte, es aber jedes Apple Device tut.
Dazu kommt ja noch, dass Podcastverzeichnis meines Wissens nach, immer noch kein SNI unterstützt.

Zur eigentlichen Frage von @MacSnider:
Wenn mein traceroute nicht lügt, liegen deine Podcasts bei Uberspace. Im Wiki gibt es eine Anleitung wie man Let’s encrypt Zertifikate da einbauen kann: https://wiki.uberspace.de/webserver:https
Ansonsten kann ich nur empfehlen, mal einen Blick in die Tutorials von Digitalocean zu Let’s encrypt zu schauen.
DO Tutorial für Apache: https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-14-04
DO Tutorial für nginx: https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-04

Solange die SSL/TLS Probleme des Podcastverzeichnisses bestehen (kein SNI, kein LE) würde ich sowohl per HTTP als auch per HTTPS ausliefern, wenn es sich um einen Feed handelt, der public gelistet ist. Bei privaten Feeds spräche nichts gegen HTTPS only, da die Einschränkungen des Verzeichnisses nicht auf die Betriebssysteme zutreffen.

Jaein. Die Seite ist bei Uberspace, die Audiodateien sind bei zwei Podcasts bei Podseed gehostet.

Kann mir mal jemand erklären inwieweit eine SSL Verbindung die “User Expierence” (oder sonst irgendwas) verbessert? Podcasts sind doch per se öffentlich… Oder gibt es da irgendwelche MP3-Exploits, durch die eine MITM Attacke Sinn machen würde, gegen die man sich mit einer verschlüsselten Verbindung schützen würde?

Klar sollte es Ziel sein, im Web langfristig alles auf verschlüsselte Verbindungen umzustellen, Aber gerade bei Podcasts sehe ich hier einfach keinen großen Nutzen, der es rechtfertigen würde Non-SSL Casts nicht mehr anzunehmen.

Ein Beispiel, das grundsätzlich alle Websites betrifft, egal ob öffentlich oder mit Authentifizierung: Es gibt immer noch ISPs, die Werbung oder Tracking-Code in Websites injizieren. Und es gibt öffentliche WLANs, in denen Angreifer dasselbe machen können. Je nachdem, was injiziert wird, kann das tatsächlich auch Schaden anrichten. Mit HTTPS geht das natürlich alles nicht mehr.

Aus der Sicht des Inhaltsanbieters: HTTPS = Niemand pfuscht an der Site rum

Die grundsätzliche Problematik ist mir schon klar… Aber wir haben hier bei einem RSS Feed und ein paar MP3s die auf dem Server rumliegen nun keine großen Risiken, dass da jemand per XSS etwas rumpfuscht. Und injizierte Werbeeinblendungen bei einem MP3-File stelle ich mir auch tendenziell eher schwierig vor, umzusetzen.

Klar, man könnte jetzt den Feed manipulieren, Folgen entfernen oder Beschreibungstexte umbenennen… Sehe da aber kein sinnvolles Angrifsszenario…

Also beim besten Willen kein Grund Non-SSL Verbindungern abzuschalten…

wie die anderen oben schon geschrieben haben, ist es sehr unwahrscheinlich das Apple Ende diesen Jahres alle Podcasts die kein HTTPS machen rausschmeißt und für Podcatcher wird es sicher auch eine Ausnahme geben.

1 „Gefällt mir“

Ein Update hierzu für alle, die über diesen Post stolpern:

1 „Gefällt mir“

Ich würde jetzt gerne meine Podcast Seite auch komplett auf TLS umstellen. Mir ist aber gerade unklar, wie ich das am besten umsetze. Meine Seite kann schon TLS, aber leitet nicht per default dorthin.

  • Podlove Settings auf TLS only einstellen?
  • In Podlove Redirects für die Feeds auf die TLS Feeds einrichten?
  • In der .htaccess redirect Regeln setzen, so dass alle Requests auf https umgeleitet werden?

Welche Schritte davon sind wirklich notwendig? Macht man das bei Wordpress überhaupt so, dass man via .htaccess alle Requests auf TLS umleitet?

Ja, genau so. Lieber per .htaccess weiterleiten als erst den Request ins PHP/WordPress schicken und dort bearbeiten zu lassen. Geht einfach schneller.

Zusätzlich die Konstanten in WordPress für das HTTPS-Backend in die wp-config.php einfügen: https://codex.wordpress.org/Administration_Over_SSL

Außerdem würde ich das Plugin “SSL Insecure Content Fixer” empfehlen. Das behebt kaputte Bilder usw. Verhindert Mixed Content Warnings. https://de.wordpress.org/plugins/ssl-insecure-content-fixer/

3 „Gefällt mir“

Hm also meine Podcast Seiten machen alle schon https, vermute das kommt von Uberspace aus, aber ich kann https://nerdem.de/feed/m4a nicht als Feed bei iTunes einreichen. "Ihr Feed kann nicht gelesen werden."
Und jetzt? :flushed:

Unter dieser Domain hast du zwar HTTPS-Support (ja, kommt von Uberspace), allerdings brauchst du ein Zertifikat, damit Browser (und der Apple-Server) der Verbindung vertrauen. Auf Uberspace bietet sich dafür Let’s Encrypt an.

1 „Gefällt mir“

Genau das gleiche Problem habe ich jetzt auch gerade.

Ihr müsst für eure Domains bei Uberspace noch Lets Encrypt aktiveren: https://wiki.uberspace.de/webserver:https#let_s-encrypt-zertifikate

1 „Gefällt mir“

Meine Domain funktioniert einwandfrei über TLS. Siehe podcast.funkenstrahlen.de/feed/mp3

Allerdings hat iTunes Connect nicht akzeptieren wollen, dass ich eine https URL eintrage und hat mir diesen Fehler geliefert.

iTunes Connect zeigt mir jetzt das hier an: Can’t read your feed. java.lang.RuntimeException: Could not generate DH keypair

Uberspace verwendet für den DH Key 4096 Bit, das ist zwar für die Sicherheit gut, allerdings kommt Java damit mal wieder nicht klar, daher die Fehlermeldung.