GlobalSign Blog

17 Okt 2018

JA zu HTTPS, oder Geschäftsrisiken in Kauf nehmen

Ahnen Sie, was die Punkte der folgenden Aufzählung verbindet?

  • Eine News-Website aus dem Bereich Finanzen
  • Mehrere Tageszeitungen in Neuengland
  • Einen Förderer von Technologie-Auszeichnungen
  • Und, bis vor ein paar Wochen, die bekannte Website eines Online-Juweliers und die eines bekannten E-Commerce-Anbieters

Die Antwort: Google Chrome stufte nicht eine einzige dieser Seiten als sicher ein. Nicht gerade geschäftsfördernd.

Beispiel “Nicht sichere Seite” in Chrome v69. Quelle: badssl.com

Warnungen dieser Art sind definitiv geeignet Kunden zu frustrieren. Die große Mehrheit der Internetnutzer nutzt Chrome als Browser (zirka 60 % nach aktuellen Schätzungen).  Das obige Szenario ist also sicherlich eines, das ein erfolgreicher Online-Unternehmer vermeiden möchte.

Allerdings sind derzeit wohl tausende Seiten als “nicht sicher” gekennzeichnet. Was ist passiert? Warum werden derzeit so viele Seiten als unsicher eingestuft?

Ab Chrome v68 werden alle Seiten ohne HTTPS als „unsicher” markiert

Google hat es sich in den letzten Jahren auf die Fahnen geschrieben das gesamte Internet mit SSL/TLS (die Technologie hinter HTTPS) zu verschlüsseln. In der Vergangenheit wurden Websites, die SSL genutzthaben als „sicher“ markiert. Seit der Veröffentlichung von Chrome Version 68 hat Google das Ganze umgedreht. Jetzt werden Seiten, die SSL nicht nutzen als „unsicher“ markiert.

Quelle: Google

Diese Änderung wurde im Juli eingeführt. Mit der Veröffentlichung von Chrome 70 werden weitere Änderungen erwartet. Dann nämlich wird der Browser ein rotes „nicht sicher“ Label anzeigen, falls ein Benutzer Informationen (z.B. Benutzername/Passwort, Bankdaten, alle Arten von Informationen in Formularen) auf einer Seite eingibt, die nicht mit HTTPS verschlüsselt ist. Das macht hoffentlich mehr Benutzer darauf aufmerksam, dass sie dabei sind Informationen unverschlüsselt preiszugeben, und potenziell Gefahr laufen, dass sie abgefangen oder überwacht werden.

Quelle: Google

Warum HTTPS?

HTTPS ist eine sicherere Variante von HTTP. HTTPS sorgt für einen sicheren Informationsaustausch zwischen einer Webseite und dem Browser des Benutzers – und auch dafür, dass diese Informationen nicht verändert worden sind. Das gilt auch für die Informationen, die zwischen Browser und Server ausgetauscht werden.

So werden die Seiten eines Anbieters und die Benutzer dieser Seiten vor Dritten geschützt. Dritte, die Werbung mit Verlinkungen auf Schwachstellen zwischenschalten oder Angreifer, die Bilder, Cookies oder Skripte Ihrer Seite ausnutzen (z.B. um eine Malware einzufügen oder ähnliches).

Obwohl die Sicherheitsvorteile einleuchten zögern immer noch viele Betreiber auf ihren Seiten HTTPS einzuführen. Es bleibt zu hoffen, dass die Chrome-Änderungen endlich den nötigen Anschub geben, das zu ändern. Das bedeutet zwar einiges an Organisation und Aufwand dazu, aber ohne diesen entscheidenden Schritt werden die Besucherzahlen auf einer Seite einbrechen.

Wie Sie HTTPS auf Ihrer Seite installieren

Obwohl es weder teuer noch kompliziert ist, HTTPS auf einer Website zu installieren, ist es mit etwas Aufwand verbunden. Im Wesentlichen sind es vier Schritte:

Wichtig – die Seite muss über HTTPS gezeigt werden

Ein entscheidender Schritt beim Umstellen auf HTTPS ist es korrekte Server-seitige 301 Redirects zu haben. Das ist notwendig um Benutzer und Suchmaschinen auf die HTTPS-Version der Website zu leiten. In letzter Zeit ist uns häufig aufgefallen, dass Seiten, deren Einstellungen hier nicht korrekt sind, Benutzer immer noch auf die HTTP-Version schicken. Und die wird dann zwangsläufig als nicht sicher eingestuft. Gibt man zu Beginn der Webseitenadresse HTTPS manuell ein, erkennt man, dass die Seite SSL nutzt. Das wissen aber bei weitem nicht alle Benutzer. Besser ist es also eine Website komplett auf die HTTPS-Version umzuleiten. Sie sollten sichergehen, dass jede Seite SSL-gesichert ist, nicht nur Seiten die persönliche Informationen oder Bankdaten abfragen.

Es empfiehlt sich zusätzlich HSTS (HTTP Strict Transport Security) einzuführen, welches alle Verbindungen auf HTTPS zwingt. Auch dann, wenn Benutzer nur HTTP eingeben. HSTS verhindert Angriffe die als “SSL-Stripping” bekannt sind, eine Art Man-in-the-Middle-Angriff bei dem der Hacker Inhalte abfängt, die über eine HTTPS-Verbindung laufen sollten. Zertifikatswarnhinweise für Benutzer können auch nicht einfach durch Klicken entfernt werden. Mit HSTS können Benutzer sich nur mit Ihrer Seite verbinden, wenn ein gültiges, vertrauenswürdiges Zertifikat vorhanden ist; alle anderen Verbindungen werden blockiert ohne, dass man sich weiter auf die Seite durchklicken kann.

Mehr über HSTS und wie man es einführt lesen Sie hier – Was ist HSTS und wie  führen Sie es ein?

Verhindern Sie von Google als unsicher eingestuft zu werden. Wechseln Sie zu HTTPS!

Ihre Seite auf HTTPS umzustellen hat etliche Vorteile: Die Seite ist sicher und Kunden bleiben auf Ihrer Seite.

Weitere Informationen wie Sie SSL/TLS einführen und Ihre Seite aufrüsten finden Sie in einem ausführlichen Blog-Artikel mit zahlreichen Informationen und Tipps. Falls Sie spezifische Fragen zum Setup haben, kontaktieren Sie uns.

Artikel teilen