re-lounge
Nur gute Seiten

Ina Lindauer

Ina Lindauer

ist Frontend-Entwicklerin und in diesem Rahmen vor allem für die technische Umsetzung der Webseiten-Designs zuständig. Bevor es sie zum Frontend verschlug, arbeitete sie in vielen anderen Bereichen an der Erstellung gelungener Internetauftritte und hat so schon von SEO bis Backend-Programmierung überall mitgemischt. Wenn sie mal nicht in die Tasten haut, ist sie entweder beim Geschichten schreiben oder mit einem Buch gemütlich auf der Couch sitzend zu finden.



Alle Artikel von
Ina Lindauer bei Xing

Ina Lindauer
Von Ina Lindauer 7. März 2016
1 Star2 Stars3 Stars4 Stars5 Stars
4,405 Stimme(n)
Loading...
Die Frage, ob eine Webseite http oder https nutzen sollte, ist nicht neu. Doch spätestens seitdem Google Verschlüsselung als Rankingfaktor bekanntgegeben hat, wird die Verschlüsselung von Webseiten verstärkt diskutiert.

Was ist HTTPS überhaupt?

HTTPS wird häufig auch HTTP über TLS oder HTTP über SSL oder auch einfach HTTP Secure genannt. Vereinfacht kann man sagen, dass HTTPS ein verschlüsseltes HTTP ist. HTTPS definiert eine zusätzliche Schicht zwischen dem HTTP und dem TCP, dem Netzwerkprotokoll für Datenaustausch, die TLS (Tranport Layer Security). TLS ist der Nachfolger des besser bekannten SSL, welches seit Version 3.1. in TLS umbenannt wurde.

Kann man jetzt also behaupten, eine Webseite mit HTTPS ist sicher?

Leider nein.

Aber was man mit Gewissheit sagen kann ist, dass eine Webseite mit HTTP unsicher ist.

Welchen Nutzen hat HTTPS?

Wenn HTTPS nicht sicher ist, welchen Nutzen hat es dann?

HTTPS sichert die Übertragung von Informationen zwischen einem Browser und Web Server vor einer sogenannten „Man In The Middle“ attack. Das jedoch stellt nur einen kleinen Teil zum Sichern einer Webseite dar.

HTTPS schützt nicht vor Angreifern, die die Webseite, Web Server oder das Netzwerk hacken. Es verhindert nicht das Ausnutzen von Exploits, Brute Force Angriffe auf die Zugangssteuerung und es stellt auch nicht sicher, dass die Webseite jederzeit verfügbar ist, indem es DoS Angriffe abwehrt.

Aber indem es die Übertragung verschlüsselt schützt es die Privatsphäre der Webseitenbesucher. Es schützt die Integrität der Webseite, verhindert also Manipulation der Inhalte und es stellt die Authentizität sicher, indem über das Zertifikat nachgewiesen wird, dass die Webseite wirklich ist, wer sie zu sein vorgibt. Das erschwert zum Beispiel Phishing.

Weitere Vorteile hat HTTPS durch die bereits erwähnte positive Einflussnahme auf das Google Ranking. Google hat es nicht nur offiziell als Rankingfaktor bekannt gegeben (bisher das erste und einzige Mal, dass Google sich richtig konkret dazu äußert), sondern auch in Aussicht gestellt, dass dessen Gewichtung im Laufe der nächsten Jahre zunehmen wird.

 

Spiegel online

Außerdem stellen sich die Browser auf eine neue Markierung von Webseiten ein. Während in der Vergangenheit HTTPS Seiten z.B. durch ein Schlossicon oder Grünfärbung als „Sicher“ markiert werden, gehen Browser dazu über HTTPS als Normalzustand darzustellen, während HTTP Seiten als unsicher markiert werden.

Herder

Durch die positive Markierung bzw. die „nicht negative Markierung“ wird außerdem Vertrauen beim Besucher der Webseite erzeugt, was Conversions unterstützen und so ein Umsatztreiber sein kann.

Warum nutzen dann nicht alle HTTPS?

HTTPS hat auch einige Nachteile. Der Auffälligste ist, dass der Verbindungsaufbau zur Serverseite rechenintensiver ist und somit die Webseite geringfügig langsamer lädt.

Des Weiteren ist der Aufwand eine HTTPS Seite einzurichten etwas höher, da es nötig ist, ein passendes Zertifikat zu erwerben. Aktuell gibt es ein vielfältiges Angebot – von kostenlos bis überteuert, verschiedenste Erneuerungszyklen und Einrichtungsservices – welches ein genaues Hinsehen erforderlich macht.

Nicht zuletzt ist die Umstellung einer bereits bestehenden Seite komplizierter, da die URL an verschiedensten Stellen angepasst werden muss: interne Links, Sitemaps, social shares Migration, Redirections, Analytics Tools, Ressourcenaufrufe, robots.txt …

Was muss ich beim Erwerben eines Zertifikats beachten?

Bei der Auswahl des passenden SSL/TLS-Zertifikats muss auf jeden Fall die Qualität der Verschlüsselung beachtet werden. Der Verschlüsselungs-Key sollte mindestens 2048bit groß sein. Außerdem sollte die Zertifizierungsstelle dem Kunden helfen, das Zertifikat einzurichten und sicher zu halten. Damit das Zertifikat funktionieren kann, muss zunächst ein CSR (Certificate Signing Request) für den Server generiert werden, auf dem das Zertifikat später installiert wird. Die Domain muss validiert werden und schließlich wird das Zertifikat installiert.

Die Erneuerung des Zertifikats ist ein integraler Bestandteil und sollte automatisiert werden. Von Vorteil ist es dafür, wenn die Zertifizierungsstelle die das Zertifikat ausstellt, einen „global footprint“ hat und regelmäßig ihre Zertifikate auf Cross-Site scripting und SQL Injections testet.

Was hat http/2 mit https zu tun?

Seit Mai 2015 gibt es http/2, die Weiterentwicklung des bisher gebräuchlichen http/1, die inzwischen auch von den meisten modernen Browsern unterstützt wird. Aufgrund der Entwicklungen im Web war http/1 schon seit längerer Zeit nicht mehr zeitgemäß. Unter anderem ist es eigentlich dafür ausgelegt, Seiten mit wenigen externen Ressourcen zu laden. Doch die Anforderungen an eine moderne Webseite haben sich seitdem geändert. HTTP/2 bietet viele Vorteile gegenüber dem normalen HTTP:

Es beschleunigt den Ladeprozess indem es u. a. parallele Anfragen erstellt, mehrere Ressourcen gleichzeitig lädt, deren Laden priorisiert und komprimierte HTTP header unterstützt. Es erlaubt dem Server Inhalte, von denen er weiß, dass sie benötigt werden, zu „pushen“, statt wie bisher erst auf eine Anfrage des Clients zu warten.

Doch in Hinsicht des sicheren Webs ist der entscheidende Punkt die Unterstützung von Verschlüsselungen. Auch wenn der HTTP/2 Standard keine Verschlüsselung erfordert, haben viele Client-Implementationen (z.B. Firefox, Chrome) sich entschieden, dass sie HTTP/2 ausschließlich über TLS unterstützen, was Verschlüsselung de facto erforderlich macht.

Eine umfassende, gut verständliche Betrachtung von http/2, seiner Funktionsweise, Bedeutung und Entwicklung bietet Oreilly in seinem kostenlosen Ebook: http://chimera.labs.oreilly.com/books/1230000000545/ch12.html

Resümee

Jeder, der eine neue Webseite erstellt oder einen kompletten Relaunch einer bestehenden Webseite plant, sollte sich jetzt und in Zukunft die Frage stellen, ob diese Webseiten ohne den Einsatz von https sinnvoll und tragfähig sind. Während https in der Vergangenheit fast ausschließlich bei Shopseiten Verwendung fand, entwickelt sich dessen genereller Einsatz zu einem Trend, der in den nächsten Jahren dafür sorgt, dass ein Großteil der modernen Webseiten https verwenden wird.

Für die allgemeine Sicherheit des Internets ist ein möglichst flächendeckender Einsatz von https in jedem Fall eine Bereicherung und ein Schritt hin zu mehr Sicherheit im Netz.

Kommentar abgeben

*Pflichtfeld