GlobalSign Blog

23 Mär 2016

Der Aufstieg des verschlüsselten Webs

Wenn Sie nicht bereits von HTTP zu HTTPS gewechselt haben, ist jetzt ein guter Zeitpunkt, Ihre Website sicherer zu machen.

Wie beurteilen Browser die Verschlüsselung?

Google begünstigt seit geraumer Zeit die Verwendung von verschlüsselten Websites. Es wurde zuerst auf der Google I/O 2014 in einem Vortrag von Ilya Gregorik (Web Performance Engineer) und Pierre Far (Produktmanager) als sogenanntes 'HTTPS Everywhere' diskutiert. In dem Video erklären sie die Notwendigkeit der Verschlüsselung und fordern alle Websites auf, diese einzusetzen. Sie kündigten auch an, dass Google damit beginnt, Verschlüsselung als einen Ranking-Faktor zu betrachten.

Mozilla und Apple haben ebenfalls beide einen Schritt hin zur Begünstigung von Online-Verschlüsselung angedeutet.

Die US-Regierung hat nachgezogen, indem sie allen Behörden-Websites bis Ende 2016 Zeit gibt, ihre öffentlichen Websites verschlüsselt und sicherer zu machen. Die Ankündigung kam am 8. Juni 2015 aus dem Weißen Haus.

Aktuelle Meldungen darüber, dass Google HTTP-Websites mit einem roten Schloss brandmarkt, sind freilich Gerüchte. Der Google Ingenieur Chris Palmer schlug einige Änderungen an der Benutzeroberfläche vor, um deutlicher zu machen, dass jemand auf einer nicht sicheren Website surft. In dieser Phase diskutierten sie einfach nur verschiedene Ideen zur Änderung der Benutzeroberfläche und nichts weiter. Was wir wissen, ist, dass Google den Einsatz von Verschlüsselung begünstigt und das Bewusstsein für dieses Thema schärfen und Benutzer dazu schulen möchte. Ob nicht sichere Websites in Zukunft ein großes rotes Kreuz erhalten ist nicht bekannt.

Dreistufige digitale Zertifikate

SSL/TLS-Zertifikate bieten drei Sicherheits- und Identitätsstufen.

Ein Unternehmer sollte seine Daten verschlüsseln, um seine Kunden und persönlichen Daten zu schützen. Ein Kunde will die Identität des Unternehmers sehen, damit er eine fundierte Entscheidung treffen kann. Ein Unternehmer muss daher auch überlegen, wie sein Unternehmen von seinen potenziellen Kunden wahrgenommen werden soll und wie viel Vertrauen er von ihnen benötigt, damit sie ihre persönlichen Daten zur Verfügung stellen. Dies wird je nach Marke und Branche unterschiedlich sein.

Extended Validation (EV)

Ein EV SSL-Zertifikat bietet den höchsten Vertrauensgrad. Für eine E-Commerce- oder Finanz-Website ist ein EV SSL-Zertifikat eine gute Entscheidung. EV SSL-Zertifikate bieten die höchste Stufe der Identitätsverifizierung, die die bekannte "grüne Leiste" im Browser aktiviert und die Ihren Firmennamen anzeigt. Damit können Website-Besucher sofort die Identität des Website-Inhabers sehen, was sofortiges Vertrauen vermittelt. Sie können hier mehr über verschiedene Arten von Zertifikaten erfahren.

Green EV bar

Organization Validated (OV)

OV SSL-Zertifikate enthalten den Namen und Standort des Unternehmens, wodurch Website-Besucher eine fundierte Entscheidung über die Seite, die sie besuchen, treffen können. Eine Zertifizierungsstelle (CA) gewährleistet, dass die Person, die ein Zertifikat kauft, Inhaber der Domain ist, dass das Unternehmen ein registriertes Unternehmen ist und dass die Person autorisiert ist, ein Zertifikat für dieses Unternehmen zu beantragen. Wenn Ihr Unternehmen seine Identität für externe Kommunikation oder für Website-Besucher zur Verfügung stellen muss, passt diese Zertifikatoption sehr gut.

Domain Validated (DV)

Wenn Sie nur Verschlüsselung bieten möchten, aber Ihren Kunden nicht die Identität zeigen wollen, ist ein DV SSL-Zertifikat ausreichend. Dies kann über einen vollautomatisierten Prozess in wenigen Minuten mit unterschiedlichsten Domain-Validierungsmethoden bestellt werden. Während der angebotene Verschlüsselungsgrad bei jeder Art von SSL-Zertifikaten gleich ist, sind DV-SSL-Zertifikate nur domainvalidiert. Diese Zertifikate sind nicht mit einer Identitätssicherung ausgestattet. Aus diesem Grund wissen Website-Besucher nicht, mit wem sie kommunizieren.

Welches Zertifikat ist für mich am besten?

Momentan arbeiten Google und andere gängige Browser und Unternehmen daran, alle Webseiten zu Verschlüsselung zu bewegen. Aber es ist noch nicht viel geschehen, Unternehmen davon zu überzeugen, sich eine höhere Zertifikatstufe zu holen. Da DV SSL-Zertifikat nur den Nachweis beinhalten, dass Sie eine Domain besitzen, kann man diese viel billiger und schneller kaufen. Dies macht sie zur ersten Wahl für Unternehmen, die eine schnelle Lösung für ihre Website-Sicherheit suchen.

Wie bereits erwähnt, kommt es bei der Auswahl weniger darauf an, wie schnell oder wie billig Sie ein Zertifikat kaufen wollen, sondern vielmehr, wie Sicherheit sich auf Ihre Marke auswirkt, bzw. den Identitäts- und Vertrauenswert des Zertifikats für Ihre Kunden und Interessenten. Je nach Ihrer Website und Zielgruppe, sollten Sie das Zertifikat auswählen, das Ihre Anforderungen am besten erfüllt.

Andere Gründe, warum Ihre Website-Besucher eine heruntergestufte UI erhalten

Einfach nur ein SSL-Zertifikat zu haben ist nicht immer genug, um eine heruntergestufte UI (User Interface) zu entfernen, wie z.B. eine Warnmeldung. Hier sind ein paar andere Dinge, die Ihre Website-Besucher misstrauisch gegenüber Ihrer Website machen könnten:

  • Gemischte Inhalte - wenn Ihre Seite sicheren und unsicheren Inhalt enthält, sieht ein Benutzer eventuell immer noch eine Warnmeldung.
  • SHA-1 - wenn Ihre Site noch ein mit SHA-1 signiertes Zertifikat verwendet, erhalten Sie in den meisten Browsern einfach eine Standard-HTTP-UI.
  • Wenn die Kommunikation mit einem schwachen Verschlüsselungsalgorithmus oder einer veralteten SSL-Version (SSL-Versionen 1.0, 2.0 und 3.0 und jetzt auch TLS 1.0 werden abgewertet) gesichert ist, sehen Sie eine heruntergestufte UI.
  • Wenn das Zertifikat, dass Sie verwenden, nicht für Ihre Site konfiguriert ist. Wenn beispielsweise der Name auf dem Zertifikat nicht mit dem Namen auf Ihrer Webseite übereinstimmt, erhalten Sie eine Warnmeldung wie die, die Sie erhalten, wenn Sie auf den Link oben klicken.

Wie wirkt sich HTTPS auf das Ranking in Suchmaschinen aus?

In einem aktuellen Mozcast entfielen 25,9% der Top-Suchergebnisse auf HTTPS und diese Zahl steigt weiter.

Mit der zunehmenden Anzahl von Phishing und Man-in-the-Middle-Angriffen wird immer deutlicher, dass Online-Identitäten nachgewiesen und vertraut werden müssen, damit User online sicherere Erfahrungen machen. Ein Großteil hängt davon ab, Endanwender zu schulen, und Google weiß auch, dass sie durch Beeinflussung von Such-Rankings Unternehmer und Website-Administratoren auf dieses Thema aufmerksam machen können.

Woran erkenne ich, ob ich meine Verschlüsselung upgraden muss?

Generell sollten alle Websites ein gewisses Maß an Verschlüsselung aufweisen. Wenn Sie Daten von Ihren Website-Besuchern abfragen, wie z.B. Name, Adresse, Kartennummer usw., sind Sie für die Verwaltung dieser Daten verantwortlich. Damit sollten Sie auch für das Verschlüsseln Ihrer Website und der darüber erhaltenen Daten verantwortlich sein.

Sie können Ihre Website auch dem SSL Server Test unterziehen. Dieses Tool zeigt Ihnen genau, was Sie tun müssen, um die Topnote A für die Verschlüsselung zu erhalten.

SSL Server Test

Mit den Entwicklertools Ihres Browsers haben Sie eine weitere Möglichkeit, um zu überprüfen, ob Ihr SSL-Zertifikat nicht mehr aktuell ist. Google hat ein neues Security Panel in den Chrome Entwicklertools angekündigt, mit dem man den Status des SSL-Zertifikats, Verbindungsdaten einer Website und ob die Site gemischte HTTP und HTTPS Inhalte enthält, überprüfen kann. Dieses wurde in Chrome 48 eingeführt.

In diesem Security Panel der Entwicklertools können Sie den Status eines SSL-Zertifikats der Website überprüfen, die TLS-Verbindung und ob die Seite gemischte HTTP- und HTTPS-Inhalte hat.

Folgen Sie dem Beispiel von Google

Zusammenfassend kann man sagen: falls Ihre Website nicht bereits verschlüsselt ist, sollten Sie sofort eine CA kontaktieren, um sie mit einem geeigneten SSL-Zertifikat zu Verschlüsseln. Wenn Ihre Seite verschlüsselt ist, sollten Sie über ein Upgrade Ihres Zertifikats nachdenken, um Best Practices zu erfüllen und um dafür zu sorgen, dass sich Ihre Kunden bei Transaktionen mit Ihnen sicher fühlen.

GlobalSign ist seit 20 Jahren eine vertrauenswürdige Zertifizierungsstelle. Sie können noch heute mit uns in Kontakt treten und wir werden Ihnen helfen, die richtigen Verschlüsselungslösungen für Ihr Unternehmen zu finden.

Artikel teilen