https – wofür ist das gut?

https beschreibt das HyperText Transfer Protocol Secure und wird in der Adresszeile Ihres Browsers zusammen mit dem Symbol eines kleinen Vorhängeschlosses angezeigt, wenn eine Website mit einem Sicherheitszertifikat ausgestattet ist. Aber wofür ist das eigentlich gut?

Bei unverschlüsselten Verbindungen über das ungesicherte HyperText Protocol (http) werden Inhalte von Webseiten im Klartext übertragen. Damit kann z.B. jeder, der Zugriff auf das gleiche W-LAN hat (z.B. im Café, der Bahn oder einem Hotel) mitlesen, was Sie gerade lesen.

Beim Abruf ohnehin frei zugänglicher Informationen mag das noch unverfänglich sein, wobei hier immerhin die Gefahr besteht, dass jemand aus Ihrem Surfverhalten falsche Rückschlüsse zieht: Sie interessieren sich auffällig für Luxusartikel und hochwertigen Schmuck? Das passt so gar nicht zu Ihrer letzten Steuererklärung? Ein Schelm, wer Böses dabei denkt.

Noch kritischer wird es, wenn Sie persönliche Daten übermitteln. Bei der Registrierung für einen Wareneinkauf im Internet müssen Sie in der Regel Name, Adresse, Geburtsdatum, Bankverbindung und ein möglichst kniffeliges Passwort hinterlegen, damit niemand Ihr neu eingerichtetes Kundenkonto missbrauchen kann. Wo ist aber der Schutz, wenn genau diese Daten von jedem mitgelesen werden können?

Bei einer verschlüsselten Internetverbindung (https) werden alle Informationen zwischen Ihrem Browser und der Webseite mit einem auf dem Webserver hinterlegten Sicherheits-Zertifikat verschlüsselt. Zwar kann ein möglicher Angreifer Ihren Datentransfer in einem öffentlichen W-LAN immer noch aufzeichnen, er kann dann aber nur noch die von Ihnen eingegebenen Webadressen lesen – alles andere wird mit komplexen Algorithmen vom Webserver unlesbar gemacht und erst in Ihrem Browser wieder in lesbaren Klartext umgewandelt. An die Bankverbindung oder das Passwort, das Sie für Ihre Online-Bestellung angegeben haben, kommt also niemand mehr heran.

Wieso 60 € im Jahr ausgeben, wenn man nur ein Kontakt-Formular hat?

Vielleicht fragen Sie sich nun, wieso dann nicht alle Webseiten automatisch verschlüsselt übertragen werden? Häufig spielen hier die Kosten eine Rolle: Der Betreiber einer Website muss ein Sicherheits-Zertifikat beauftragen, damit eine verschlüsselte Übertragung überhaupt möglich ist. Während ein einfaches SSL-Zertifikat für eine einzige Domain beim Web Host domainFactory bereits ab 1,99 € erhältlich ist, kostet ein vergleichbares Zertifikat bei Strato schon 4,90 € im Monat.

Hier stellt sich für Inhaber kleiner und mittelständischer Betriebe die Frage, ob sich diese Ausgabe lohnt, wenn auf der Firmenwebsite nur ein einfaches Kontaktformular angeboten wird.

Allerdings hilft hier zur Entscheidungsfindung ein Wechsel der Perspektive: Für den Besucher der Website stellt sich die Frage, ob man unterwegs, in der Bahn oder am Flughafen – also im öffentlichen W-LAN – ein Formular ausfüllen soll, in dem immerhin persönliche Absenderangaben und eine Nachricht stehen.

Wird das Kontaktformular verwendet, um neues Geschäft zu generieren, führt umgekehrt ein im Zweifelsfall nicht abgesandtes Kontaktformular ggf. zu Geschäftseinbußen. Die Kosten für ein Sicherheits-Zertifikat können sich also schnell amortisieren.

Let’s Encrypt – Kostenlose Sicherheits-Zertifikate für jeden

Dank einer neuen Initiative, die bereits von vielen namhaften Web Hosting-Firmen unterstützt wird, könnte sich das Kosten-Argument bald erübrigen. Let’s Encrypt bietet kostenlose Sicherheits-Zertifikate für jeden. Die Erstellung funktioniert automatisch, erfordert aber, dass der eigene Web Host eine passende Installationsroutine zur Verfügung stellt. Erfreulicherweise gibt es zunehmen Anbieter, die kostenlose Zertifikate von Let’s Encrypt anbieten. Nach Recherchen des Fachmagazins Golem wird es mit der Umstellung aber „wohl noch etwas dauern“, bis alle Web Hosts kostenlose Zertifikate anbieten.

Die Umstellung auf https ist nicht ganz trivial

Ein weiterer Aspekt ist die technische Hürde. Vielen Website-Betreibern ist die Beauftragung eines Sicherheits-Zertifikats und die damit verbundenen Änderungen an der Einstellung der Website bereits zu kompliziert.

Für eine Umstellung einer WordPress-Website auf eine neue Webadresse mit https müssen nicht nur die Einstellungen im Back End geändert werden. Da in WordPress alle Mediendateien (aus gutem Grund) mit einer absoluten Webadresse eingebunden werden, müssen auch alle Einträge in der Datenbank korrigiert werden. Diese Änderung setzt zwingend ein Backup der Datenbank voraus. Außerdem muss geprüft werden, ob Plugins ggf. auf Scripte oder Webfonts mit unverschlüsseltem http einbinden, da Browser gemischte Inhalte aus verschlüsselten und unverschlüsselten Quellen aus Sicherheitsgründen ablehnen; die Webseiten werden dann nicht bzw. fehlerhaft angezeigt. Hier ist unter Umständen zusätzlicher Aufwand für den Austausch des Plugins oder die Programmierung ergänzender Funktionen denkbar.

Interessanter Nebeneffekt: ein besseres Suchmaschinen-Ranking

Trotzdem sollte man über eine Umstellung auf verschlüsselte Verbindungen nachdenken. Der Suchmaschinenanbieter Google hat bereits 2014 angekündigt, dass verschlüsselt übertragene Webseiten generell als professioneller eingestuft werden und eine Verschlüsselung als Argument für ein besseres Suchmaschinen-Ranking herangezogen wird.

Bei der von Microsoft betriebenen Suchmaschine BING spielt allerdings https bisher noch keine Rolle. Dies könnte sich aber ändern, wenn z.B. der von Google herausgegebene Internet-Browser Chrome künftig ausnahmslos alle Webseiten, die unverschlüsselt übertragen werden, als sicherheitskritisch bewertet. Das Sicherheits-Team von Google hat gerade erst alle anderen Browser-Hersteller aufgefordert, künftig unverschlüsselten Informationen deutlich als unsicher zu kennzeichnen.

Fazit: Jetzt auf https umstellen!

Die Kosten für eine sichere Datenübertragung sind jetzt schon überschaubar, könnten aber Dank der Initiative Let’s Encrypt demnächst ganz wegfallen.

Bisher wirkt sich die Verschlüssellung „nur“ im Suchmaschinen-Ranking von Google aus, aber der Druck auf andere Suchmaschinen-Anbieter wächst, wenn demnächst unverschlüsselte Übertragungen im Browser dokumentiert werden.

Für technisch weniger versierte Anwender ist die Umstellung ggf. noch ein Hindernis. Hier unterstütze ich Sie als Dienstleister gerne. Sprechen Sie mich an.