Sicher ist sicher: Warum HTTPS für deine Website sinnvoll ist

Bislang waren sichere TLS-Verbindung für Websites nur dann obligatorisch, wenn personenbezogene beziehungsweise sensible Daten übertragen wurden. Das ist vor allem beim Online-Banking, aber auch bei E-Shops und sozialen Netzwerken der Fall. Doch dies soll sich ändern. Vor allem Google forciert mit seiner Initiative „HTTPS everywhere“ seit einigen Jahren die standardmäßige Verbreitung von sicheren Verbindungen für alle Websites.

castle-1461009_1280

Offene Funknetze

Für die meisten Websites gab es bislang kaum eine Notwendigkeit, diese per HTTPS auszuliefern. Nachrichtenseiten, Websites von Unternehmen und Organisationen kamen immer gut ohne verschlüsselte Übertragung aus. Und bei „einfachen“ Kontaktformularen war und ist es bislang üblich, diese unverschlüsselt zu übertragen. Dennoch muss sich jeder bei einer Übertragung ohne sichere Verbindung bewusst sein, dass die übertragenen Daten unverschlüsselt sind und von Dritten ausgelesen werden können – vor allem in offenen Funknetzen ist das problematisch.

Mit der wachsenden Bedeutung des mobilen Internets bewegen wir uns mit unseren Smartphones und Tablets immer häufiger in öffentlichen WLANs. Damit steigt auch die Gefahr, dass die Kommunikation zu den von dir besuchten Websites abgefangen wird. Daher ist es sinnvoll, grundsätzlich auf eine sichere HTTPS-Verbindung zu setzen, auch wenn keine sensiblen Daten übertragen werden – ganz im Sinne deiner Privatsphäre.

Google forciert HTTPS

So ist es vor allem Google mit seiner Initiative „HTTPS everywhere“ zu verdanken, dass sichere Verbindungen als Standard zunehmend eine größere Rolle spielen. Spätestens die Ankündigung Googles im Jahr 2014, HTTPS als Rankingfaktor einzuführen, hat für eine größere Aufmerksamkeit für das Thema gesorgt. Allerdings hat Google selbst erklärt, dass derzeit nur ein Prozent der weltweiten Suchanfragen von diesem Rankingfaktor betroffen seien. Aber der Konzern hat ebenso mitgeteilt, dass er HTTPS als Rankingfaktor jederzeit deutlich höher bewerten könnte, um den Wechsel von HTTP zu HTTPS anzuregen.

https-chrome
Warnhinweis bei HTTP-Verbindungen in Chrome

Darüber hinaus hat Google seinem Browser Chrome ein derzeit noch standardmäßig deaktiviertes „Feature“ verpasst, welches nicht sichere Websites – also solche, die nur per HTTP ausgegeben werden – mit einem rot durchgestrichenem Vorhängeschloss kennzeichnet. Schon jetzt kannst du über „chrome://flags“ dieses Feature aktivieren. Suche in den Einstellungen einfach nach „Nicht sicheren Ursprung als nicht sicher markieren“.

https-chrome-flag
Einstellungen für nicht sichere Verbindungen

Sollte Chrome diese Einstellung einmal standardmäßig aktivieren, würden alle einfachen HTTP-Verbindungen mit diesem Warnhinweis gekennzeichnet, während HTTPS-Verbindungen wie auch jetzt bereits mit einem grünen Vorhängeschloss gekennzeichnet würden. Besucher deiner Website könnten von dem Warnhinweis abgeschreckt werden und eine potenziell unsichere oder nicht vertrauenswürdige Website vermuten.

JavaScript-APIs nur für sichere Verbindungen

Die Kennzeichnung unsicherer Verbindungen ist jedoch nicht das einzige, was HTTP von HTTPS in deinem Browser unterscheidet. Moderne JavaScript-APIs, die beispielsweise den Zugriff auf Webcam und Mikrofon erlauben, lassen sich im Chrome und anderen Browsern ausschließlich per HTTPS ausführen.

https-chrome-kamerazugriff
Kamerazugriff nur per HTTPS möglich

Seit der Version 50 von Chrome ist es im Übrigen auch nicht mehr möglich, die Geolocation-API über eine unsichere Verbindung auszuführen. Konnte man den Standort eines Nutzers bislang über eine einfache HTTP-Verbindung auslesen, ist fortan zwingend HTTPS erforderlich.

Nicht auszuschließen ist, dass Google Chrome künftig weitere APIs nur in Kombination mit einer sicheren Verbindung ausführt. Angekündigt ist bereits, die Orientation- sowie die Fullscreen-API demnächst ebenfalls nur noch per HTTPS zuzulassen.

Kostenlose Zertifikate per „Let’s Encrypt“

Ein Grund gegen sichere Verbindungen war bislang für viele sicherlich der finanzielle Aspekt. Denn eine HTTPS-Verbindung gibt es nicht ohne Zertifikat. Und diese lassen sich Provider beziehungsweise die Aussteller solcher Zertifikate gut bezahlen. Mit der Initiative „Let’s Encrypt“ erstellst du dir jedoch ganz kostenfrei ein Zertifikat für deine Domains.

letsencrypt
Website von „Let’s Encrypt“

Und da die Zertifikate von „Let’s Encrypt“ mittlerweile von allen großen Browsers akzeptiert werden, besteht auch nicht die Gefahr, dass dein Browser einen Warnhinweis wegen eines unbekannten Ausstellers ausgibt. Die ersten Provider haben das Erstellen von „Let’s Encrypt“-Zertifikaten bereits in ihre Tarife übernommen, so dass du schnell und unkompliziert zu einer sicheren Verbindung für deine Website kommst. Hier bei Dr. Web haben wir bereits dazu geschrieben.

Fazit

Das Ranking bei Google mag noch keine große Rolle spielen, aber neue Sicherheitseinstellungen im Browser könnten schon bald dazu führen, dass kein Weg mehr an HTTPS vorbeiführt. Und dank „Let’s Encrypt“ gibt es eine kostenlose und – je nach Provider – einfache Möglichkeit, deine Website auch im Sinne des Datenschutzes deiner Besucher sicherer zu machen.

(dpe)

Denis Potschien ist seit 2005 freiberuflich als Kommunikationsdesigner tätig, seit Anfang 2010 im Kreativkonsulat in Iserlohn, einem Büro für Gestaltung und Kommunikation. Dort betreut er kleine und mittelständische Unternehmen ebenso wie kommunale Körperschaften und Organisationen aus Südwestfalen und dem Ruhrgebiet. Als Webdesigner und -entwickler gehören HTML5 und CSS3 zu seinen Kernthemen, weshalb er dazu 2013 ein Buch geschrieben hat. „Pure HTML5 und CSS3“ richtet sich an alle, die Vorkenntnisse haben, sich aber bisher mit HTML5 und CSS3 nicht oder nur am Rande beschäftigt haben.

Sortiert nach:   neueste | älteste | beste Bewertung
Jan Hornung
Gast
Hi Denis, guter und wichtiger Beitrag zum hoffentlich bald neuen Standard im Netz. Aus eigener Erfahrung können wir sagen, dass Let’s Encrypt insgesamt einen – unserer Meinung nach – positiven Effekt auf die Hoster hatte. Denn neben solchen, die die kostenlosen Zertifikate integriert haben (wie All-inkl., Strato oder auch RAIDBOXES) und die Einrichtung teils sehr einfach machen, gibt es noch das Modell, das 1und1 oder Mittwald zu favorisieren scheinen. Sie bieten kostenlose SSL Zertifikate als Teil ihrer Hostingpläne an. Diese stammen aber nicht von Let’s Encrypt, sondern von den jeweiligen Kooperationspartnern (z.B. Thawte). Das erfüllt denselben Zweck wie die Let’s… Read more »
wpDiscuz