Update auf Open-Xchange 7.10

Wir haben Open-Xchange gerade auf die neue Version 7.10 aktualisiert. Dabei ergeben sich einige Änderungen am Web Interface, die Google-Nutzern sofort vertraut vorkommen dürften.

Eine von vielen Kunden (und auch uns selbst) gewünschte Neuerung ist die gleichzeitige Anzeige von mehreren Kalendern, um eine schnelle Übersicht über alle Termine zu erhalten:

Auf Mobilgeräten (iOS, Android) können Sie weiterhin bereits seit einiger Zeit die neue OX Mail App v2 nutzen, die unter anderem Push-Benachrichtigungen bei neuen E-Mails unterstützt. Sie können die App einfach über die App Stores von Apple bzw. Google installieren.

Die vollständigen Release Notes der neuen Version finden Sie hier.

Preisänderungen zum 01.09.2018

Zum 01.09.2018 ändern zahlreiche Registrierungsstellen die Preise für ihre Top-Level-Domains. Es handelt sich überwiegend um Preissenkungen, einige Top-Level-Domains (.bio, .black, .poker, .pw, .space) werden aber auch teurer. Die Änderung gilt mit einer Ausnahme für alle Neuregistrierungen, Übernahmen und Verlängerungen ab dem 01.09.2018.

Die Ausnahme betrifft die Top-Level-Domains .space und .pw, bei denen eine Preiserhöhung in Kraft tritt, der Preis für bestehende Domains (also Verlängerungen) aber unverändert bleibt. Bei .ro-Domains entfällt zudem künftig die Einrichtungsgebühr von 25,- Euro.

Top-Level-DomainAlter PreisNeuer Preis
.am99,- Euro69,- Euro
.archi87,- Euro69,- Euro
.autos900,- Euro780,- Euro
.bio57,- Euro69,- Euro
.black48,- Euro57,- Euro
.cricket78,- Euro39,- Euro
.homes186,- Euro150,- Euro
.irish48,- Euro27,- Euro
.law258,- Euro99,- Euro
.motorcycles450,- Euro300,- Euro
.ng186,- Euro99,- Euro
.poker48,- Euro57,- Euro
.pw15,- Euro27,- Euro
.ro45,- Euro39,- Euro
.space15,- Euro27,- Euro
.yachts186,- Euro150,- Euro

Einrichtung von ALIAS-Einträgen im Kundenmenü

Auswahl des Typs "ALIAS" im KundenmenüAb sofort können Sie im Kundenmenü DNS-Einträge vom Typ ALIAS anlegen. Ein ALIAS-Eintrag funktioniert ähnlich wie ein CNAME-Eintrag, überschreibt jedoch keine anderen gleichnamigen DNS-Einträge, sondern kann mit diesen koexistieren. ALIAS-Einträge verweisen immer auf A- bzw. AAAA-Einträge, diese werden dabei durch unsere DNS-Server aufgelöst, so dass bei einer DNS-Anfrage kein Unterschied zu einem normalen A bzw. AAAA-Eintrag zu erkennen ist. Im Gegensatz zu CNAME-Einträgen können ALIAS-Einträge auch für die Hauptdomain genutzt werden.

ALIAS-Einträge bieten sich insbesondere für Weiterleitungen auf Cloud Hosting Dienstleister oder Content Delivery Networks an. Hier ergibt sich häufig das Problem, dass die IP-Adressen der Zielserver wechseln können und die Anbieter daher DNS-Einträge statt IP-Adressen zur Nutzung ihrer Dienste vorgeben. Möchte man einen solchen Dienst unter einem eigenen Domainnamen nutzen, so musste man bisher eine CNAME-Weiterleitung einrichten. Diese hat jedoch den Nachteil, dass sie nur für Subdomains nutzbar ist und dabei alle anderen Einträge der Subdomain wie z.B. MX-Einträge für Mail-Server überschreibt. ALIAS-Einträge hingegen überschreiben keine MX-Einträge und können auch für die Hauptdomain genutzt werden.

Mehr Informationen finden Sie auch in unserem FAQ-Artikel: Was sind ALIAS-Einträge und wie funktionieren sie?

Treuhandservice für .uk-Domains / Bevorzugte Vergabe noch bis 2019

Logo der TLD .ukSeit vier Jahren erlaubt die Registrierungsstelle für .uk-Domains (Nominet) neben den bekannten Top-Level-Domains wie .co.uk und .me.uk auch Registrierungen direkt unterhalb der TLD „.uk“. Für eine Registrierung musste jedoch eine Postanschrift innerhalb Großbritanniens angegeben werden.

Da die wenigsten unserer Kunden über eine solche Anschrift verfügten, haben wir die Registrierung von .uk-Domains über einen Treuhandservice angeboten und dafür einmalig 15,- Euro bei der Registrierung berechnet.

Die Verpflichtung zur Angabe einer Anschrift in Großbritannien ist nun entfallen; wir streichen daher rückwirkend zum 1.6.2018 auch die entsprechende Gebühr bei Neuregistrierungen und Übernahmen.

Noch bis zum 10.06.2019 haben Inhaber einer .co.uk-Domain zudem das Recht, auch die entsprechende .uk-Domain bevorzugt zu registrieren. Entscheidend ist dabei, dass die Inhaberdaten der .co.uk-Domain mit der neu beauftragten .uk-Domain übereinstimmen. Wenn dies der Fall ist, nehmen wir Ihren Registrierungauftrag gern über das Kundenmenü oder formlos per E-Mail entgegen. Der Preis für .uk-Domains beträgt 12,- Euro pro Jahr.

Was ändert sich durch die DSGVO?

Am Freitag, den 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO / englisch: GDPR) in Kraft. Für Verbraucher bringt die DSGVO viel Gutes mit: Es gibt ein Recht auf Datenlöschung, ein Recht auf Widerspruch und ein Auskunftsrecht. Umfangreiche Informationspflichten sollen Transparenz bei der Datenverarbeitung sicherstellen. Das Prinzip der Datensparsamkeit steht künftig an oberster Stelle – nur Daten, die tatsächlich für die Erfüllung einer Aufgabe benötigt werden, dürfen erhoben, gespeichert und verarbeitet werden.

Leider bringen neue Gesetze oft auch eine Menge neuer Bürokratie mit sich. Besonders kleine Unternehmen und auch Privatpersonen mit eigenen Webseiten fühlen sich von den umfangreichen DSGVO-Regelungen überfordert. Wir möchten Ihnen in diesem Artikel einen kleinen Überblick darüber geben, was sich durch die DSGVO für die meisten unserer Kunden ändert und an welcher Stelle unsere Dienste mit der DSGVO in Berührung kommen. Der Artikel kann keine Rechtsberatung ersetzen und erhebt auch nicht den Anspruch, vollumfänglich über die DSGVO zu informieren – das ist angesichts der Fülle der Regeln kaum möglich.

Was muss ich als Betreiber einer Webseite beachten?

SSL-Zertifikate: Sobald Sie irgendeine Art von personenbezogenen Daten auf Ihrer Webseite erfassen – sei es über ein Kontaktformular, eine Newsletter-Anmeldung, einen Online-Shop oder sonstige Funktionen, bei denen ein Nutzer Ihnen gegenüber etwas Preis gibt, muss die jeweilige Webseite über ein SSL-Zertifikat (https://…) abgesichert werden. In vielen unserer Hosting-Pakete sind SSL-Zertifikate im Preis bereits enthalten; zusätzliche Zertifikate können ab 6,- Euro pro Jahr (Reseller: 3,- Euro pro Jahr) gebucht werden. Informationen zu den Unterschieden verschiedener Zertifikatstypen finden Sie auf unserer Webseite. Die Bestellung eines Zertifikats erfolgt formlos per E-Mail.

Datenschutzerklärung: Sie müssen in einer Datenschutzerklärung auf Ihrer Webseite angeben, wie Sie mit den Daten Ihrer Besucher umgehen. In erster Linie geht es dabei darum, welche Daten Sie (oder wir als Ihr Webhoster) von den Besuchern Ihrer Webseite speichern. Zur Erstellung einer DSGVO-konformen Datenschutzerklärung gibt es zahlreiche kostenlose und kostenpflichtige Generatoren im Internet; im Zweifelsfall konsultieren Sie bitte unbedingt einen Juristen. Bezüglich der von uns erstellten Logdateien ist wichtig, welche Daten wir serverseitig speichern. Bitte beachten Sie dazu folgende FAQ-Artikel: Wie lange werden die Logdateien aufbewahrt? und Wie sind die HTTP Access Logs aufgebaut?

Auftragsverarbeitungsvertrag: Als gewerblicher Betreiber einer Webseite sollten Sie mit uns einen Auftragsverarbeitungsvertrag abschließen. In diesem Vertrag ist geregelt, wie wir Ihre und die Daten Ihrer Kunden auf unseren Servern verarbeiten. Bestandteil des AV-Vertrags sind die „Technischen und organisatorischen Maßnahmen“, die wir anwenden, um Ihre Daten zu schützen. Der Abschluss eines AV-Vertrags mit uns ist hier unter Verwendung Ihrer persönlichen Zugangsdaten zum Kundenmenü möglich.

An dieser Stelle noch einmal der Hinweis: Diese Übersicht ist nicht vollständig. Je nach Branche und Art der Weise, wie Sie Daten erheben und verarbeiten, können und werden noch weitere Themen für Sie relevant sein, auf die wir hier nicht eingehen können.

Was ändert sich bei der Domainregistrierung?

Whois-Daten: Bei der Registrierung einer Domain wurden bisher bei den meisten Registrierungsstellen umfangreiche Daten des Domaininhabers, des administrativen Ansprechpartners und der technischen Kontakte abgefragt, darunter auch E-Mail-Adressen und Telefonnummern. Diese Daten wurden allerdings nicht nur bei den Registrierungsstellen gespeichert, sondern auch im öffentlichen Whois angezeigt. An beiden Punkten gibt es durch die DSGVO nun Änderungen. Einige Registrierungsstellen erfassen nur noch die Daten eines Domaininhabers; sowohl der administrative als auch der technische Kontakt entfällt bei diesen Top-Level-Domains (z.B. .de). Andere Registrierungsstellen erfassen weiterhin alle Daten, veröffentlichen im Whois aber nur noch einen kleinen Teil davon. Bei den meisten Top-Level-Domains wird im Falle einer Registrierung für eine Organisation der Name der Organisation und das Land, in dem die Organisation ihren Sitz hat, im Whois angezeigt. Bei Privatpersonen wird nur noch das Land des Inhabers angezeigt.

Vermittlung: Wie bisher kommt der Vertrag für eine Domainregistrierung zwischen dem Domaininhaber und der Registrierungsstelle zustande. Wir vermitteln diesen Vertrag und verwalten die Domains für Sie bei der Registrierungsstelle. Nach wie vor übermitteln wir Ihre Daten – je nach Top-Level-Domain – auch an Drittstaaten. Diese Übermittlung ist jedoch zwingende Voraussetzung dafür, die gewünschte Domain registrieren zu können.

Jetzt sichern: Die passende .app-Domain für Ihre App!

.app LogoAm 08.05.2018 startet die neue Domainendung „.app“, die sich an alle Entwickler und Betreiber von Apps richtet. Eine .app-Domain ermöglicht eine kurze, einprägsame und werbewirksame Präsentation von Apps.

Wir bieten .app-Domains für 21,- Euro pro Jahr an (17,40 Euro in der Rabattstufe „100“). Die Vormerkung von .app-Domains ist unter https://ntlds.variomedia.de/vormerkung möglich. Noch bis zum 30.04.2018 können Markenrechtsinhaber ihre gewünschten .app-Domains bevorzugt registrieren. Anschließend folgt eine Landrush-Phase, in der eine bevorzugte Registrierung gegen Aufpreis für jeden Interessenten möglich ist. Informationen dazu finden Sie in unserer Übersicht zu .app-Domains.

Das besondere an dieser Top-Level-Domain ist: .app ist eine sichere Domain. Das bedeutet, dass HTTPS für alle .app-Websites erforderlich ist. Sie können Ihre .app-Domain auch ohne SSL-Zertifikat kaufen und z.B. für E-Mails nutzen. Für die Erreichbarkeit einer .app-Domain im Browser müssen Sie jedoch ein Zertifikat beauftragen, das in vielen unserer Hosting-Pakete bereits im Preis enthalten ist (Let’s Encrypt- oder Comodo-SSL-Zertifikat). Die TLD .app ist damit die erste Domainendung der Welt, die dem Nutzer eine sichere Verbindung garantiert.

PayPal Umstellung auf TLS 1.2 und HTTP/1.1

Ab Juli 2018 stellt der Zahlungsanbieter PayPal die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 ein. Weiterhin setzt PayPal dann zwingend das HTTP-Protokoll ab Version 1.1 voraus, ältere Versionen wie 1.0 werden nicht mehr unterstützt.

Webshops, die PayPal als Zahlungsmethode anbieten, und dabei direkt auf eine PayPal-Schnittstelle zugreifen (z.B. Instant Payment Notification), müssen bis dahin auf die aktuelle TLS-Version 1.2 sowie HTTP/1.1 umgestellt werden. Die meisten Webshops greifen auf die PayPal-Schnittstellen mittels libcurl zu, dabei wird auf unseren Webservern standardmäßig HTTP/1.1 und TLS 1.2 genutzt. Manche Webshops nutzen jedoch nicht die Standardeinstellungen von libcurl, sondern setzen ausdrücklich eine ältere TLS Version wie 1.0. Dies wird zukünftig zu Problemen führen.

PayPal informiert betroffene Kunden aktuell per E-Mail, diese müssen bis zum Juli 2018 ein Update der Webshop-Software bzw. des PayPal Zahlungsmoduls vornehmen.

Falls Sie noch einen älteren WebShop betreiben, und keine Updates für das PayPal-Zahlungsmodul bereitstehen, müssen Sie ggf. den PHP-Quellcode anpassen. Suchen Sie dazu nach allen PHP-Dateien, in denen die Zeichenfolgen „curl_setopt“ und „TLSv1“ vorkommen, und kommentieren diese in einem Text-Editor mittels vorangestelltem // aus. Sie können die betroffenen Dateien mit den entsprechenden Stellen im Quellcode über folgenden SSH-Befehl ermitteln:

find . -name "*.php" -exec grep "curl_setopt(.*TLSv1" {} \; -print

Einrichtung von CAA-Records im Kundenmenü

Ab sofort lassen sich im DNS-Bereich des Kundenmenüs Einträge mit dem Typ „CAA“ (Certification Authority Authorization) anlegen. Sie dienen der Überprüfung, ob eine bestimmte Zertifizierungsstelle (z.B. Comodo oder Let’s Encrypt) ein SSL-Zertifikat für die jeweilige Domain ausstellen darf. Die Prüfung wird seit September 2017 von allen Zertifizierungsstellen bei der Neuausstellung und Verlängerung von Zertifikaten durchgeführt.

Existieren für eine Domain keine CAA-Einträge, kann jede Zertifizierungsstelle ein Zertifikat für die Domain ausstellen. Wenn CAA-Einträge existieren, darf nur die angegebene Zertifizierungsstelle ein Zertifikat ausstellen. Auf diese Weise wird die missbräuchliche Ausstellung von Zertifikaten deutlich erschwert.

Mehr Informationen und Beispiele zur Nutzung von CAA-Records finden Sie unserem FAQ-Artikel: Was sind CAA-Einträge und wie funktionieren sie?

Preiserhöhung von .ph-Domains ab 01.04.2018 (aktualisiert)

Die Registrierungsstelle für .ph-Domains hat angekündigt, die Preise für .ph-Domains ab dem 01.04.2018 mehr als zu verdoppeln. Die Preiserhöhung gilt dabei nur für ausländische Registrare; inländische Registrare bezahlen weiterhin den bisherigen Preis.

Ziel der Preiserhöhung ist nach Angaben der Registrierungsstelle eine Förderung der lokalen Internet-Community in den Philippinen. Die zusätzlichen Einnahmen sollen genutzt werden, um Bildungsprojekte vor Ort zu unterstützen.

Wir kommen leider nicht umhin, die Preiserhöhung an unsere Kunden weiterzugeben. Ab dem 01.04.2018 kostet die Registrierung, Übernahme oder Verlängerung von .ph-Domains (auch .com.ph) statt bisher 45,- Euro pro Jahr (ohne Mengenrabatte) künftig 99,- Euro pro Jahr inkl. 19% Mehrwertsteuer.

Noch bis zum 30.03.2018 ist es möglich, .ph-Domains zum alten Preis vorzeitig um bis zu 9 Jahre zu verlängern. Kunden, die davon Gebrauch machen wollen, informieren uns bitte kurzfristig per E-Mail.

Update vom 15.02.2018: Die Registrierungsstelle hat die Preiserhöhung vom 01.03.2018 auf den 01.04.2018 verschoben. Wir haben diesen Artikel daher aktualisiert.

Informationen zu den Sicherheitslücken Meltdown und Spectre

Seit einigen Tagen wird in den Medien verstärkt über schwere Sicherheitslücken in häufig genutzten CPUs für PCs, Smartphones und Tablets berichtet.

Die Meltdown genannte Sicherheitslücke ermöglicht das Auslesen des gesamten Arbeitsspeichers, die Spectre genannte Sicherheitslücke ermöglicht das Auslesen des Arbeitsspeichers eines Prozesses. Beide Sicherheitslücken erfordern die Ausführung von speziellem Schadcode, Angreifer könnten so Zugriff auf vertrauliche Daten wie Passwörter oder E-Mails erhalten.

Auswirkungen auf unsere Dienste

Da ein Angreifer zur Ausnutzung dieser Sicherheitslücken eigenen Schadcode ausführen muss, lassen sich beide Sicherheitslücken theoretisch auf unseren Webservern ausnutzen, andere Dienste wie E-Mail oder MySQL sind jedoch nicht betroffen.

Meltdown

Die Meltdown-Sicherheitslücke kann auf unseren Webservern nicht ausgenutzt werden, da sie nur Intel-CPUs betrifft, die wir gegenwärtig nicht für Webserver einsetzen.

Spectre

Die Spectre-Sicherheitslücke kann zumindest in einer Variante auf unseren Webservern ausgenutzt werden (bounds check bypass, CVE-2017-5753), es können dadurch aber nur eigene Benutzerprozesse angegriffen werden, jedoch keine Systemdienste oder Prozesse von anderen Webserver-Benutzern. Die Ausnutzung dieser Sicherheitslücke durch einen Angreifer setzt voraus, dass dieser über eine anderweitige Sicherheitslücke in einer Web-Anwendung (z.B.  veraltete Installationen eines Content-Management-Systems) oder ausgespähte Zugangsdaten eigenen Code auf dem Webserver ausführen kann. In diesem Fall hat ein Angreifer jedoch ohnehin Zugriff auf sämtliche Daten eines Webserver-Benutzers, daher tritt durch Spectre keine zusätzliche Verschlimmerung ein.

Eine zumindest theoretisch möglicher Angriff betrifft Kunden, die PHP-FPM nutzen. Dort könnte unter Umständen auf den im Arbeitsspeicher hinterlegten OpCode-Cache von PHP-FPM, der von mehreren Webserver-Benutzern geteilt wird, zugegriffen werden. Ein solcher Angriff wäre jedoch – sofern überhaupt möglich – sehr komplex, da der betroffene Speicherbereich nicht direkt ausgelesen wird, sondern durch einen sogenannten Seitenkanal Rückschlüsse auf den Speicherinhalt gezogen werden. Auf einem Webserver, wo ständig viele gleichzeitige Prozesse laufen, ist dieser Angriff sehr fehleranfällig, so dass wir momentan von einem relativ geringen Risiko ausgehen.

Die Spectre-Sicherheitslücke lässt sich jedoch auch über JavaScript-Schadcode im Web-Browser ausnutzen, daher sollten Sie die von Ihnen genutzten Web-Browser aktualisieren und die aktuellen Systemupdates für Ihre Smartphones und Tablets installieren.

Update (12.1.)

Es ist momentan noch immer unklar, inwiefern Spectre eine relevantes Sicherheitsrisiko für unsere Webserver darstellt. Die bisher bekannten erfolgreichen Angriffe mittels Spectre stellen auf unseren Systemen keine Gefahr da, es könnten jedoch zukünftig neue Angriffe entwickelt werden, die dann auch unsere Webserver betreffen.

Um die Spectre-Sicherheitslücke zu schließen, sind Microcode-Updates für die CPUs sowie Kernel-Updates für das Betriebssystem erforderlich. Diese Updates sind momentan noch nicht für alle von uns genutzten CPU-Typen verfügbar, sie werden voraussichtlich gegen Ende Januar bereitstehen.