Die Änderungen, die wir in der Nacht von Montag auf Dienstag an unserer Webseite vorgenommen haben, sind wohl offensichtlich. Die gesamte Webseite inklusive unserer Angebote wurde überarbeitet und in einen neuen Look transformiert. Zusätzlich wird unsere Cloud ein halbes Jahr nach ihrer Einführung erstmals öffentlich beworben.

Die größte Änderung – neben dem Facelift –  ist sicher die Umstrukturierung der Webhosting-Pakete, die zu einigen Nachfragen geführt hat. Seit der Einführung des Premium-Pakets ist unser Kundenstamm stetig gewachsen. Wir haben viele neue Kunden und ihre Bedürfnisse kennengelernt und ein besonderes Problem mit dem Premium-Paket festgestellt. Die Einschätzung der Ressourcen, die eine Webseite benötigt, und die Realität liegen häufig weit auseinander. Dass Kunden schätzen, sie würden mehr Traffic erzeugen, als sie wirklich tun, ist weniger das Problem. Schwieriger sind die Power-User, die z.B. auf einem 12-Core-Server durchgehend 6 Cores mit PHP-Prozessen belegen und von denen auffallend viele nur den Mindestbetrag von 2 € zahlen. Das ist einerseits eine nachvollziehbare Ansicht – wir haben das Angebot so gestaltet – andererseits nutzt es die anderen Kunden aus, die wenig Leistung benötigen und den „fremden Leistungshunger“ zahlen müssen.

Dabei handelt es sich auch nicht um ein Problem, dass sich alleine technisch lösen lässt. Wir haben begonnen, die – für alle Kunden extrem hoch eingestellten – Limits des Premium-Pakets aufgrund dieser Power-User etwas zu drosseln, um die Qualität des Webhosting für andere Kunden zu verbessern. Das wurde wiederum von den Power-Usern nicht besonders gut angenommen. Wir mussten uns einiges dafür anhören.

Schlussendlich haben wir uns dann zu entschieden, die Angebot anders zu strukturieren, weil das Problem nicht der Ressourcenverbrauch der Kunden ist, sondern das Angebot. Das Premium-Paket hat zwar einen schönen idealistischen Anspruch, funktioniert in der Praxis aber nicht, weil die Power-User ihren Leistungsbedarf nicht abschätzen können oder vielleicht sogar bewusst unser Angebot wählen, da sie das Preis-Leistungsverhältnis sonst nirgendwo auf dem Webhosting-Markt bekommen. Unsere neuen Pakete sind hingegen viel besser auf die verschiedenen Kundenprofile abgestimmt. Wir haben sogar noch eine Schippe daraufgelegt und kräftig am Spitzen-Paket „Excellence“ gearbeitet. In diesem Paket haben wir mit PHP-FPM, Apache 2.4 auf Event-Basis und Hosting in unserer Cloud eine unschlagbare Performance erreicht, die von den Kunden, die dorthin gewechselt sind, kräftig gelobt wird.

Das wirft natürlich die Frage auf, was mit den bestehenden Premium-Paketen passiert und ob wir weiterhin Prepaid-Webhosting anbieten. Die Antworten sind einfach: an bestehenden Verträgen ändert sich nichts. Premium-Verträge laufen ganz normal weiter und können weiterhin geändert werden. An laufenden Verträgen ändert sich also nichts, außer Du als Kunde wirst aktiv und wechselst auf ein neues Paket. Zudem bieten wir weiterhin Prepaid-Hosting an. Bei den Webhosting-Paketen kann zwischen 12 Monaten und 1 Monat Laufzeit gewählt werden, beide Laufzeiten enthalten auch Inklusiv-Domains. Die Pakete für 1 Monat sind speziell für Prepaid-Hosting gedacht und können jederzeit gekündigt werden.

In den nächsten Tagen werden wir wieder den kostenlosen Testzeitraum für Webhosting-Pakete anbieten, damit man sich unverbindlich ein Bild von der neuen Produktpalette machen kann. Bevor dieser Blog-Post noch länger wird: ich beantworte gerne Fragen zu unserer Änderung hier in den Kommentaren oder per Support-Ticket (support@lima-city.de oder per Ticket-System).

Vielen Dank an Lennart für die Konzeption, die Geduld und Liebe zum Detail und alles, was zum neuen Corporate Design gehört, an Alex für das Coden der Templates, an Simon für das Abwickeln des Tagesgeschäfts während ich in die finale Relaunch-Phase abgetaucht bin, an alle Kunden die uns gut zugeredet und kritisiert haben, an alle Probe-Leser, Tester und Fragen-Steller, Testimonial-Schreiber und Open-Source-Coder. Ihr seid die Besten!

In letzter Zeit haben wir häufig Anfragen zu Whois Privacy bzw. Whois Proxies bekommen. Diese Dienste verstecken den Domain-Inhaber im WHOIS und schützen so vor allem vor Spam und Werbung.

Heute haben wir im Warenkorb die Option zur Buchung von Whois Privacy bei der Neubestellung von .com- und .net-Domains hinzugefügt. Aufgrund organisatorischer Schwierigkeiten ist es leider nicht (so einfach) möglich, für bestehende Domains Whois Privacy hinzuzubuchen.

Wir beobachten, wie sich das Feld von Whois Privacy weiter verhält. Grundsätzlich dürfte diese Option spätestens mit Beginn der EU-DSGVO (EU-Datenschutz-Grundverordnung) erledigen. Nach der EU-DSGVO dürfen die Registries die Daten der Domain-Inhaber theoretisch nicht mehr verarbeiten, damit wäre das WHOIS faktisch tot. Die EU-DSGVO ist ab dem 25. Mai 2018 anwendbar

Wie so gut wie jeder andere IT-Dienstleister sind auch wir gezwungen, in Kürze umfangreiche Sicherheitsupdates an quasi allen von uns betriebenen IT-Systemen einzuspielen. Wir erwarten derzeit noch die Veröffentlichung der nötigen Patches ab.

Auf unserer Status-Seite haben wir bereits Wartungsarbeiten angekündigt: http://www.lima-status.de/incidents/kjmf016v5nvj – wir werden den Zeitraum anpassen, sobald weitere Informationen zur Verfügung stehen.

Informationen zu den Sicherheitslücken:

Spectre

Meltdown

Ich hätte gerne die bereits am 21. November erwähnten Neuigkeiten verkündet, aber wie so häufig verzögert sich das. Die Weihnachtszeit ist hektisch und Projekte gehen selten so schnell voran wie man es sich wünscht.

Daher verschieben wir zwei größere Neuerungen, an unserem Webhosting-Angebot und an unserer Webseite, auf Anfang Januar. Den Rest diesen Jahres werden wir dann mit Bugfixes und Verbesserungen verbringen. Bis dahin gibt es nur als Sneak Preview einen Blick durch die Wolken auf die Bremer Skyline…

Gestern wurde das neue PHP 7.2 veröffentlicht. Die neue Version steht unseren Premium-Kunden seit einigen Stunden unter „PHP-Versionen“ in der Verwaltung bereit.

Das Changelog mit allen Änderungen für PHP 7.2 ist auf der Seite von php.net zu finden.

Hinweis: Derzeit gibt es noch keinen ionCube Loader für PHP 7.2, aus diesem Grund ist diese Extension nicht installiert.

PHP 7.0 und 7.1 sind bereits seit längerem freigegeben, wir haben allerdings aus technischen Gründen beide Versionen noch nicht im produktiven Einsatz. Die Einführung von PHP 7.0 und 7.1 haben wir zum Anlass genommen, unser PHP-Setup deutlich zu verbessern und die Vorteile der moderneren Architektur von PHP-FPM (fast process manager) zu nutzen.

Neben der  Möglichkeit, flexibel die PHP-Versionen zu ändern (ab Freitag sind 5.6, 7.0 und 7.1 wählbar) verbessert PHP-FPM auch die Ladezeiten, in dem der Opcode (der kompilierte PHP-Code) zwischen den Seitenaufrufen im RAM gehalten wird. Bei komplexeren Anwendungen wie WordPress, Joomla, Magento oder Typo sind hier ganz erhebliche Verbesserungen der Ladezeiten messbar. Wir werden PHP-FPM aus technischen Gründen nur für den Premium-Webspace anbieten.

Um das Update einzuspielen werden Wartungsarbeiten in der Nacht von Donnerstag, 23.11., auf Freitag, den 24.11., durchgeführt (siehe Status-Seite). Im Laufe des Freitags werden wir dann nach abschließenden Tests die Auswahl der PHP-Versionen über die Verwaltung freigeben. Änderungen auf Kundenseite sind nicht notwendig, alle nötigen Änderungen werden von lima-city vorgenommen!

Zwei Detail-Änderungen ergeben sich durch den Wechsel der PHP-Architektur:

• es ist nicht mehr möglich, PHP-Einstellungen per .htaccess-Datei vorzunehmen. Stattdessen wird eine INI-Datei dafür bereitgestellt (.user.ini), in der diese Konfiguration vorgenommen wird. Alle Einstellungen, die in .htaccess-Dateien existieren, werden von uns automatisch in das neue Format übertragen.
• das Ein- und Ausschalten von Fehlermeldungen über die Verwaltung ist nicht mehr möglich, die Einstellung muss dann ebenfalls über eine .user.ini gesetzt werden

Beide Einstellungen werden wir über Verbesserungen in der Verwaltung steuerbar machen, so dass ein manuelles Ändern von Dateien auf dem Webspace nicht mehr nötig ist.

Diese technischen Änderungen sind übrigens Grundlage für weitere spannende Änderungen, die wir in den nächsten 14 Tagen veröffentlichen, also: stay tuned 🙂

Update: Den Switcher für PHP-Versionen in der Verwaltung werden wir erst am Montag freischalten.

Die heute bekannte gewordene Sicherheitslücke Optionsbleed ist auf unserem Webhosting übrigens bereits gefixt. Da wir schon länger auf Basis des Ubuntu-Pakets einen Apache mit eigenen Patches kompilieren war es kein Problem, den Patch einzuspielen, noch bevor Ubuntu oder Debian das Sicherheitsupdate veröffentlicht…

Ende letzten Jahres hat die Certificate Authority (CA) StartCom für einiges an Furore gesorgt, als diverse Verstöße gegen die Richtlinien bekannt wurden, nach denen eine CA Zertifikate ausstellen darf. Diverse Browser-Hersteller (Chrome, Firefox) und Betriebssysteme (iOS, Mac-Plattform) haben daraufhin StartCom und WoSign das Vertrauen entzogen. Von Startcom ausgestellte Zertifikate wurden teilweise nicht mehr akzeptiert oder nur noch mit bestimmten Bedingungen (z.B. nur, wenn sie vor einem bestimmten Datum ausgestellt wurden).

Auch wir haben Zertifikate von StartCom eingesetzt, um unsere kostenlosen Subdomains wie meinbenutzername.lima-city.de mit SSL-Zertifikaten zu versorgen.  Nun wurde immer deutlicher, dass die absolute Deadline, an dem die Zertifikate auch in den bisherigen Sonderfällen nicht mehr akzeptiert werden, bald erreicht wird und demnächst immer mehr Browser diese Verbindungen als „nicht sicher“ einstufen würden. Der erste Gedanke geht in dem Fall natürlich in Richtung von Let’s Encrypt, denn immerhin werden auch schon alle Kunden-Domains und aufgeschaltete Domains inklusive aller Subdomains vollautomatisch via Let’s Encrypt mit SSL-Zertifikaten ausgestattet. Wir können also unsere bisherige Infrastruktur zum Ausstellen von Zertifikaten mit Let’s Encrypt weiter nutzen und haben keine Kosten durch teuer gekaufte Wildcard-Zertifikate-

Es stellte sich aber schon im letzten Jahr schnell heraus, dass Let’s Encrypt ohne weiteres nicht die Lösung sein kann. Das Problem dabei, alle Subdomains unter lima-city.de und den anderen Domains (12hp.de, 12hp.at,  usw.) mit SSL-Zertifikaten auszustatten, liegt in den Limits von Let’s Encrypt, die es gleich auf mehrere Arten verbieten, viele Subdomains unter einer Domain anzulegen:

• es lassen sich nur 20 Zertifikate pro Woche für eine Domain ausstellen. Das heißt, wir hätten maximal 20x pro Woche neue Zertifikate ausstellen können. Rein rechnerisch könnten wir alle 8,5 Stunden ein neues Zertifikat ausstellen, neue Registrierungen müssten so lange auf ein Zertifikat warten. Das alleine ist schon sehr unangenehm.
• es sind maximal 100 Subdomains pro Zertifikat erlaubt. Rein rechnerisch lassen sich also 2.000 Subdomains einer Domain mit einem Zertifikat schützen. Das ist eindeutig zu wenig, wir liegen in einer Größenordnung von hunderttausenden Subdomains für lima-city.de.

Unglücklicherweise stellt Let’s Encrypt (bisher) keine Wildcard-Zertifikate aus, so dass es nur noch die Lösung gibt, die Rate Limits irgendwie zu umgehen. Let’s Encrypt stellt genau für solche „Anträge“ ein Formular zur Verfügung, was aber leider gänzlich im Sande verlief. Aber es gab noch eine weitere Lösung: die Public Suffix List.

Die Public Suffix List ist eine Liste von Domains, die von diversen Programmen, Firmen und Prozessen dazu genutzt wird, zu bestimmen auf welchem „Level“ eine Domain sich befindet, also was der „öffentliche“ Teil einer Domain ist. Beispielsweise bei .de-Domains ist klar, dass a.de und b.de nicht zusammen gehören – „de“ ist ein „öffentliches Suffix“. Bei a.co.uk und b.co.uk ist der öffentliche Teil analog „co.uk“. Es gibt auch „private“ Suffixe, wie z.B. dyndns.org, denn unter dyndns.org kann jeder eine eigene Subdomain registrieren.

Es stellte sich also heraus, dass auch Let’s Encrypt die Public Suffix List verwendet, um die Limits zu prüfen. Wenn also lima-city.de ein Public Suffix ist, dann gilt das Limit mit 2.000 Subdomains nicht für lima-city.de, sondern für jede einzelne Subdomain wie mustermann.lima-city.de – und da wir nur mustermann.lima-city.de und vielleicht noch www.mustermann.lima-city.de schützen wollen, reicht das Limit von 2.000 Subdomains gut aus. Gesagt, getan: wir haben unsere Domains in die Public Suffix List aufnehmen lassen (das dauerte einige Wochen), Let’s Encrypt hat nach ein paar weiteren Wochen die Änderungen der Public Suffix List übernommen und siehe da, unser System stellt nun fleißig neue Zertifikate für die Subdomains aus, so dass der Großteil der Subdomains nun mit Zertifikaten von Let’s Encrypt geschützt sind. Das StartCom-Zertifikat ist nur noch ein Fallback, falls bisher kein Zertifikat von Let’s Encrypt ausgestellt wurde. Wir sagen also derzeit für hunderttausende Adressen „Bye, Bye, StartCom!“ und „Hallo Let’s Encrypt“.

Es ist übrigens wahrscheinlich, dass wir die Verwaltung von Let’s Encrypt-Zertifikaten demnächst ganz aus der Verwaltung entfernen. Inzwischen werden alle Adressen, die auf unseren Systemen gehostet sind, automatisch mit Zertifikaten versorgt. Es ist schlicht nicht mehr nötig, selbst Zertifikate zu verwalten, da unser System diese ganze Arbeit vollständig und transparent übernimmt. SSL und der verschlüsselte Transport von Daten sollte nämlich Standard sein und keine Arbeit und Mühe erfordern.

Wir haben gerade 100 € für die Verfassungsklage von Digitalcourage e.V. gegen die Bundesregierung wegen des Staatstrojaners gespendet.

Der Verfassungstrojaner ist eine Schadsoftware, welche die Polizei und Geheimdienste auf den Computern von Verdächtigen installiert, beispielsweise in dem sie filmreif in die Wohnungen von Verdächtigen einbricht oder den Computer hackt. Einer der wichtigsten Punkte ist, dass dabei Sicherheitslücken ausgenutzt werden, die nur aus einem Grund nicht geschlossen werden: damit Geheimdienste und die Polizei besser Computer hacken kann. Wir schwächen also potenziell die IT-Sicherheit auf der gesamten Welt – und auch unsere eigene, man denke nur an Atomkraftwerke –  nur damit die Polizei und der Geheimdienst besser seine Bürger hacken kann.

Ein prominenter Fall dazu waren in letzter Zeit die Erpressungstrojaner „Petya“, „WannaCry“ und „NotPetya“, von denen weite Teile der deutschen Unternehmen massiv betroffen waren und der Millionen- bis Milliardenschäden verursachte. Der Trojaner nutzte Sicherheitslücken aus, welche die NSA genau aus dem gleichen Grund nicht an Microsoft meldete: um sie selber ausnutzen zu können. Wir müssen uns also fragen, ob wir auch direkt oder indirekt für solche Katastrophen durch staatliche Akteure verantwortlich sein wollen. Wir von lima-city denken, dass wir das nicht möchten. Die Sicherheit unserer Kundendaten und von allen IT-Systemen, egal ob in der Produktionsstraße von einem Industrieunternehmen, im Atomkraftwerk oder nur am Fahrkartenautomaten, ist uns wichtig, deshalb müssen wir uns im Notfall, auch und gerade für unsere Kunden, gegen den Staat wehren, sofern er die falsche Richtung einschlägt.

Deshalb appellieren wir an alle, ebenfalls einen kleinen Beitrag zur Klage von Digitalcourage e.V. zu leisten, damit es eine unabhängige Prüfung durch das Bundesverfassungsgericht geben kann. Danke!

Wir bekommen zwar einiges an Lob, aber ganz besonders schön war heute das Lob, dass unsere Seite auch mit Screenreadern gut funktioniert („für blinde Menschen zu 99% bedienbar“). Screenreader bzw. assistive Technologien helfen u.a. blinden Menschen, sich im Internet zurechtzufinden.

Es lohnt sich also, dass wir ARIA-Attribute setzen und sauberes Markup schreiben 🙂