GlobalSign Blog

24 Okt 2017

SSL-Shaming: Kunden kämpfen gegen schlechte Praktiken

Ihre Kunden haben genug. Sie wollen sich beim Besuch Ihrer Website sicher fühlen, einen Kaufvorgang abwickeln, mit dem sie das, was sie wollen, schnell und effizient bekommen und sie wollen dies alles tun, in dem Wissen, dass ihre Daten sicher und geschützt vor den neugierigen Augen der Hacker sind. Sind Sie sicher, dass Sie ihnen das alles bieten?

Passen Sie auf! Vielleicht sind Sie überzeugt, dass Sie ihnen alles bieten und plötzlich finden Sie heraus, dass Sie ein weiteres Opfer von SSL-Shaming sind!

Mit dem Update der Browser-Benutzeroberflächen (UIs), erhalten Käufer plötzlich überall Browserfehler und Warnmeldungen, die darauf hinweisen, dass ihre Verbindungen nicht geheim oder ihre Daten nicht sicher sind. Diese Warnungen halten sie davon ab, Transaktionen auf Ihrer Website abzuschließen. Sie haben gerade einen Kunden verloren!

Käufer sind tatsächlich so enttäuscht, dass Sie Ihren Unmut zum Beispiel auf Twitter teilen. Das soziale Netzwerk für Beschwerden, wenn man nicht bekommt, was man haben will.

Diese Praxis ist auch unter 'SSL-Shaming' bekannt und ist ein wachsender Trend auf Twitter.

Nehmen Sie das Problem nicht auf die leichte Schulter - egal, ob Sie ein kleines oder großes Unternehmen sind - wenn Sie keine HTTPS-Website haben oder Ihr SSL-Zertifikat nicht richtig konfiguriert ist - Ihre Kunden erfahren es ... und Sie riskieren es Kunden zu verlieren.

Hinweis: Ja, wir wissen, dass SSL-Protokolle veraltet sind und TLS der zu verwendende technisch genaue Begriff ist. Aber die Meisten sind vertrauter mit SSL. Deshalb verwenden wir es hier der Einfachheit halber (mehr dazu hier).

Schämen Sie sich. Noch immer kein HTTPS?

Sie haben also Ihre Website immer noch nicht auf HTTPS umgestellt? Schämen Sie sich!

Wenn Ihr Unternehmen bisher noch nicht HTTPS nutzt, gilt auch hier, besser spät als nie. Google hat gerade auf der Google IO Conference angekündigt, dass sie bereits in Chrome 62 eine neue Benutzeroberfläche veröffentlichen wollen, die Nicht-HTTPS-Websites als "nicht sicher" markiert.

google io conference https

not secure UI google chrome

Quelle: https://www.youtube.com/watch?v=GoXgl9r0Kjk&feature=youtu.be

Stellen Sie sich das Misstrauen Ihrer Kunden vor, wenn sie Ihre Website besuchen und ihnen eine Warnmeldung wie diese angezeigt wird. Oder stellen Sie es sich lieber nicht vor. Lesen Sie einige Tweets von Kunden, die sich bereits an Twitter gewendet haben, um Unternehmen wegen fehlender Verschlüsselung anzuschwärzen.

Das Shaming wird nur noch schlimmer, wenn Google Chromes UI updatet.

ssl shaming

Wie diese Nachricht, fordern SSL-Shaming Nachrichten Unternehmen klar und einfach auf, ihre Website zu sichern. Wenn Sie eines der seltenen und sehr ungezogenen Unternehmen sind, die versuchen, ohne SSL durchzukommen, werden auch Sie irgendwann entdeckt.

Ein weiteres schlechtes Beispiel ist es, SSL nicht zu verwenden und Ihre Kunden zu bitten 'trotzdem fortzufahren'. Dies ist nicht der erste Versuch Kunden, die auf SSL-Zertifikatfehler stoßen, zu raten diese zu ignorieren. Wenn dies Ihr Ansatz ist: Sie sollten sich wirklich schämen!

ssl shaming

Schämen Sie sich. Schlechte Konfiguration?

Einfach nur ein SSL-Zertifikat zu installieren reicht nicht aus. Sie müssen auch sicherstellen, dass Ihr Server richtig konfiguriert ist. Sonst könnten Ihre Kunden immer noch Fehlermeldungen auf Ihrer Website sehen.

Das ist nicht ganz so schlimm wie gar kein SSL zu haben. Aber es macht immer noch den Eindruck, als ob Sie sich nicht genug um Ihre Website kümmern oder dass Ihr IT-Team nicht sorgfältig arbeitet. Obwohl das vielleicht nicht wahr ist, sieht es für diese Leute sicherlich so aus …

ssl shaming

Zwischenzertifikate sind Teil Ihrer Vertrauenskette und müssen auch auf Ihren Servern richtig installiert sein. Hier finden Sie mehr Infos für GlobalSign Kunden.

ssl shaming

SSL-/TLS-Verschlüsselungsmethoden in Ihrer Serverkonfiguration müssen verwaltet und an Best Practices angepasst werden. Heutzutage sind alle SSL-Protokolle veraltet und Ihr Server sollte nur TLS 1.1, 1.2 und 1.3 akzeptieren. Sie können mit dem GlobalSigns SSL Checker Tool herausfinden, ob Ihr Server richtig konfiguriert ist.

Schämen Sie sich. Abgelaufene Zertifikate?

Haben Sie vergessen, Ihr Zertifikat zu erneuern? Ganz schön unartig! Sie wollen doch nicht, dass Kunden denken, Sie wären nachlässig? Sie sollten Erinnerungen 90, 30, 10, 7, 3 und 1 Tag(e) vor dem Auslaufen des Zertifikats für alle zuständigen Mitarbeiter einrichten. Lieber zu viele als zu wenige Erinnerungen!

GlobalSign sendet im Rahmen unseres Serviceangebots allen Kunden Erinnerungen. Angenommen, Sie haben uns eine gültige E-Mail-Adresse gegeben, die von einem zuständigen Mitarbeiter ist und der rechtzeitig die Erneuerung einleitet, dann sollten Sie niemals diese Warnungen erhalten.

Eine weitere Option, wenn Sie mehrere Zertifikate verwalten, besteht darin, eine Zertifikat-Management-Plattform wie GlobalSigns Managed PKI zu nutzen. Damit erhalten Sie alles auf einen Blick: zum Beispiel alle bevorstehenden Abläufe und Sie können Zertifikate mit einem Klick erneuern.

Genauso wie eine schlechte Konfiguration, lässt Sie ein abgelaufenes Zertifikat aussehen. Es lässt vermuten, dass Ihr IT-Team nicht zuverlässig ist oder dass Ihr Unternehmen den Überblick verliert.

ssl expired

Schämen Sie sich. Kein EV?

Etwas, das viele Unternehmen noch nicht wissen, ist, dass es SSL-Zertifikate in drei Formen gibt. Obwohl alle drei Stufen die Kommunikation zwischen Server und Client verschlüsseln, unterscheiden sie sich in Bezug darauf, wie viele Identitätsinformationen im Zertifikat enthalten sind und wie sie in Browsern angezeigt werden.

  • Domain Validated (DV) – Es wird nur die administrative Kontrolle der Domain überprüft. Hacker können ganz einfach an ein DV gelangen und es auf einer Phishing-Website nutzen. Man hat keine Möglichkeit zu erfahren, wer hinter der Website steht.
  • Organization Validation (OV) – Die Identität des Unternehmens wird überprüft und in das Zertifikat eingefügt. Es wird aber keine zusätzliche Browser-UI angezeigt.
  • Extended Validation (EV) – Es erfolgt eine strenge Identitätsprüfung des Unternehmens und Browser zeigen den Unternehmensnamen in der URL an.

Wenn Sie wirklich möchten, dass Ihre Kunden darauf vertrauen, dass Sie die Person sind, als die Sie sich ausgeben, ist EV die beste Wahl, da Ihr verifizierter Name prominent angezeigt wird. Wenn Sie Informationen zur Zahlung per Kreditkarte und personenbezogene Daten mit einem DV-Zertifikat akzeptieren, können Ihre Kunden nicht sicher sein, dass sie wirklich Ihnen diese Informationen geben und nicht jemand anderem.

Lesen Sie diesen Blog zu Identität in SSL für weitere Informationen.

Es sieht so aus, als wenn dieses Unternehmen Lehrgeld zahlen musste …

ev ssl certificate shaming

Ihre Kunden fordern korrektes SSL

Also geben Sie es ihnen! Kunden sind das Wichtigste für ein Unternehmen, nicht wahr? Wenn Sie das wirklich glauben, müssen Sie sicherstellen, dass Sie ihnen die beste Erfahrung bieten, wenn sie Ihre Website besuchen. Bringen Sie also Ihre SSL-Praktiken in Form, investieren Sie dort, wo es nötig ist, und lernen Sie aus Ihrem vergangenen SSL-Fauxpas. Seien Sie stolz darauf, dass Sie Best Practices für sicheres Browsen befolgen und Ihren Kunden Vertrauen bieten, wenn sie mit Ihnen Geschäfte machen.

Artikel teilen