HTTPS was ist denn des?
Sagt euch der Begriff HTTPS irgendwas?
Habt ihr schon mal gehört, dass eine Internetseite SSL-verschlüsselt sei?
Wenn ihr beide Fragen mit „NEIN“ beantworten könnt, ist das nicht weiter schlimm, lest einfach weiter.
Wenn eure Antwort „JA, das ist teuer“ lautet, dann möchten wir euch heute mitteilen, dass das nicht mehr so ist.
Und was ist jetzt HTTPS?
Wenn ihr Firefox benutzt, dann ist euch sicherlich schon einmal das rot durchgestrichene Schloss oben in der URL-Zeile aufgefallen. Wenn ihr auf dieses Schloss drückt, bekommt ihr die folgende Meldung:
Gut, das rote Schloss ist nicht sehr auffällig, deutlicher wird Firefox, wenn er ein Login-Formular entdeckt, in das ihr vermutlich eure persönlichen, sehr geheimen Zugangsdaten eingeben wollt:
Bisher hat das aber noch nichts mit HTTPS zu tun oder?
Genau richtig, auf der oben gezeigten Testseite ist kein HTTPS aktiviert. Seiten mit https://meineseite.de werden vom Firefox durch ein grünes Schloss in der URL-Zeile gekennzeichnet. Auch zu diesem gibt es ein passendes Meldungsfenster:
Ist Firefox also eine Mimose?
Nein, alle wichtigen Browser sind in den letzten ein bis zwei Jahren dazu übergegangen, die Nutzer darüber zu informieren, ob sie sich auf einer sicheren oder auf einer nicht sicheren Internetseite befinden.
Sicher bedeutet, dass die gesamte Kommunikation zwischen eurem Browser und der Internetseite verschlüsselt wird. Dazu fordert der Browser zunächst ein sogenanntes SSL-Zertifikat der Internetseite an. Dabei handelt es sich im Prinzip um den Schlüssel, mit dem der Browser die Daten, die zur Internetseite gesendet werden, verschlüsseln kann und mit denen er die verschlüsselten Anworten wieder entschlüsselt.
Der Nutzer erhält dadurch den Vorteil, dass seine Kommunikation mit der Internetseite nicht durch Dritte mitgelesen werden kann. Es wird also verhindert, dass potentielle Hacker z.B. an eure Zugangsdaten kommen und damit ihr Unwesen treiben können. Aber natürlich hat auch die Internetseite selbst ein berechtigtes Interesse, sich vor Hackerangriffen zu schützen und daher den Datenverkehr zu verschlüsseln.
OK, die Verschlüsselung der Datenübertragung erscheint mir berechtigt, aber warum sind die Browserhersteller erst jetzt darauf gekommen, die Nutzer über fehlende Verschlüsselung zu informieren?
Dafür gibt es mehrere Gründe:
- Als das Internet entstanden ist, durften im Prinizip nur wenige Universitäten mitspielen – für private Anwender war der Internetzugang schlichtweg zu teuer oder sogar technisch unerreichbar. Daher gab es auch noch nicht so viele Hacker wie heute.
- Als das Internet entstanden ist, und auch noch sehr viel später, waren die Rechner noch nicht so schnell wie heute. Ver- und Entschlüsselung sind aber extrem ressourcenaufwendig.
- Der wichtigste Grund in der jüngeren Vergangenheit dürfte aber sein, dass die Verschlüsselung alleine noch nicht für eine sichere Verbindung reicht. Vielmehr muss auch sichergestellt werden, dass die verschlüsselten Inhalte wirklich von dem Absender kommen, der er behauptet zu sein. Um das zu gewährleisten, bestätigen verschiedene Zertifizierungsstellen die Echtheit eines SSL-Zertifikats. Und diese Bestätigung lassen sich die Zertifizierungsstellen gut bezahlen. Für viele Websitebetreiber ist das einfach zu teuer.
- Weil so ein geprüftes Zertifikat sehr teuer ist, haben einige Website-Betreiber, die trotzdem Wert auf eine sichere Verbindung gelegt haben, einfach ein ungeprüftes Zertifikat zur Verfügung gestellt. Die Verbindung war dadurch sicher, bis sich ein fremder Dritter mit einem gefälschten Zertifikat als der echte Websitebetreiber ausgegeben hat. Daher haben die Browser-Hersteller dies immer schon als unsicher markiert, übrigens sehr viel auffälliger als mit dem kleinen rot gestrichenen Schloss.
- „So kann es nicht weitergehen“ haben sich Ende 2015 verschiedene große Player im Internet gedacht und zusammen das vollständig kostenlose Let’s Encrypt-Zertifikat entwickelt. Hierdurch werden die Daten einerseits verschlüsselt, andererseits wird aber auch die Echtheit des Zertifikats bestätigt.
Und da es jetzt seit zwei Jahren das kostenlose Let’s Encrypt gibt, dass die Nutzerdaten vor unberechtigten Zugriffen schützen kann, wollen auch alle Mitentwickler, dass es genutzt wird.
Deshalb zeigen die Browser an, ob ihr eine verschlüsselte Seite besucht oder nicht …
… und – wichtig! – deshalb ist auch Google dazu übergegangen verschlüsselte Seiten in den Suchergebnissen zu bevorzugen.
Was hat das mit mir zu tun?
Wenn ihr keine eigene Website betreibt, dann wisst ihr jetzt zumindest, was das kleine Schloss in eurem Browser bedeutet.
Wenn ihr aber eine Website habt, dann solltet ihr euch fragen, ob auf eurer Seite das grüne Schloss sichtbar ist oder das rote.
Wenn ihr das grüne Schloss seht ist alles gut, aber wenn da ein rotes Schloss ist, dann möchten wir euch empfehlen, eure Seite auf HTTPS umzustellen, denn:
- Google & Co. werden eure Seite wahrscheinlich weder heute noch morgen schlechter ranken als bisher, aber früher oder später werdet ihr einen Effekt erkennen.
- Es macht keinen guten Eindruck auf eure Kunden, wenn die Browser ihnen ständig mitteilen, dass sie auf unsicheren Seiten surfen.
Wir helfen euch gerne bei der Umstellung eurer Seiten auf HTTPS, sprecht uns einfach an:
Telefon 0 25 02/2 21 30 90
E-Mail kontakt@361gradmedien.de
Kommentare
Kategorisiert in: Informatik
Dieser Artikel wurde verfasst von Tom-Patrick Kummann