Darum solltest du deine Homepage auf HTTPS umstellen

Die Transportverschlüsselung HTTPS ist in aller Munde, doch abgesehen davon, dass den meisten Webseiteninhabern klar sein dürfte, dass es sich dabei um ein sicherheitsrelevantes Element handelt, herrscht oftmals noch große Unklarheit darüber, was eine Umstellung auf die Verschlüsselung bedeutet. Im Folgenden werden die Vor- und Nachteile einer Umstellung auf HTTPS aufgezählt und beleuchtet.

Hinweis: Wenn du dir jetzt deine eigene Homepage erstellst, musst du dir über den Umstieg auf HTTPS keine Gedanken zu machen. Alle Webseiten sind bereits sicher verschlüsselt.

Der Begriff SSL

SSL steht für Secure Sockets Layer, ein Verschlüsselungsprotokoll, welches ursprünglich von Netscape entwickelt wurde. Es ist mittlerweile veraltet und angreifbar, weshalb auf das Nachfolgeprotokoll Transport Layer Security, oder kurz TLS, zurückgegriffen wird. Dieses bietet ein deutlich höheres Maß an Sicherheit, wird jedoch weiterhin als SSL bezeichnet. Nicht zu verwechseln mit beiden ist das Hypertext Transfer Protocol Secure, kurz HTTPS. Dieses bezeichnet den Einsatz von HTTP über Secure Sockets Layer oder Transport Layer Security. Da der Begriff SSL weiter verbreitet ist und sich inzwischen etabliert hat, soll TLS im Folgenden ebenfalls mit dem Begriff SSL benannt werden.

So funktioniert die Verschlüsselung

Die Termini sind nun klar, doch wie läuft der Verschlüsselungsprozess genau ab? SSL codiert die Daten derart, dass eine Kommunikation zwischen dem Nutzer und den jeweiligen Anbietern nicht „angezapft“ werden kann. Die Daten, welche zwischen dem Browser und beispielsweise einem Verkaufsportal ausgetauscht werden, sind also vor dem Zugriff unberechtigter Personen geschützt. Um diesen Schutz zu gewährleisten, greift man auf ein Zertifikat zurück, welches einen Schlüssel erhält. Ein solches Zertifikat kann vom Anbieter bei eigens eingerichteten Zertifizierungsstellen (CA) angefragt werden. Die CA prüfen dann die Anfrage und geben grünes Licht, wenn der Anbieter seriös ist.

Der Umstieg auf HTTPS

Wie bereits erklärt, ist bei zertifizierten HTTPS-Webseiten ein deutlich erhöhter Schutz vor Datenangriffen gewährleistet, als bei ordinären HTTP-Websites. Dadurch wird sowohl gefährliches Phishing als auch andere Eingriffe in die Datenprivatsphäre der User unwahrscheinlicher. Das Zertifikat sorgt zudem für eine eindeutige Identifizierung der Anbieter und macht deren Identität für den Kunden überprüfbar. Damit besteht gewissermaßen eine „abhörresistente“ Verbindung, die über ein Schloss in der Adresszeile visualisiert wird. Die Gründe, warum du nun ebenfalls auf HTTPS umsteigen solltest, sind vielfältig.

Die Wahl des richtigen Zertifikats

Die CA, also die Vergabestellen für SSL-Zertifikate, nehmen Anträge entgegen und überprüfen diese, bevor Zertifikate an den jeweiligen Anbieter herausgegeben werden. Die CA bürgen für die Wahrhaftigkeit der Angaben der Antragsteller. Ist das Zertifikat vergeben, wird es auf dem Server abgelegt und in dem Moment aufgerufen, in dem ein User die entsprechende Webseite aufruft. Insgesamt werden drei verschiedene Zertifikate unterschieden. Grundsätzlich bestehen die Unterschiede in den verschiedenen Sicherheitsstufen der Zertifikate.

Domain-Validierung (DV) – Visualisierung durch grünes Schloss in der Suchleiste

Das Zertifikat mit der geringsten Sicherheit, bei dem die CA lediglich prüfen, ob es sich bei dem Antragsteller auch um den Inhaber der Domain handelt. Alle weiteren Informationen zum Unternehmen werden keinerlei Prüfung unterzogen. Das ist nicht unriskant, doch der große Vorteil für die Antragsteller besteht darin, dass die Domain-Validierung den kürzesten Zertifizierungsprozess durchläuft. Wende diese Art der Validierung nur an, wenn du eine Seite betreibst, bei der mit keinem erhöhten Betrugsrisiko zu rechnen ist. Die DV wird durch ein grünes Schloss in der Suchleiste visualisiert.

Inhaber-Validierung (OV)

Die OV wird ebenfalls durch ein grünes Schloss in der Suchleiste kenntlich gemacht. Hierbei wird bereits ein wenig tiefer in die Materie eingestiegen und die Informationen des Antragstellers genauer durchleuchtet. Dazu gehören Informationen zum Unternehmen, wie beispielsweise die Rechtsform. Es dauert dafür aber auch länger, bis grünes Licht gegeben wird und darüber hinaus ist die Inhaber-Validierung wenig überraschend auch ein wenig teurer als die reine Domain-Validierung. Sie wird vor allem bei Seiten angewandt, bei denen Transaktionen durchgeführt werden, die jedoch keine Bereitstellung sensibler Daten vom Nutzer verlangen.

Extended-Validation (EV)

Sie wird durch grünes Schloss visualisiert, bei dem die Adressleiste ebenfalls grün hinterlegt ist. Die Maßnahmen der Inhaber-Validierung werden bei der Extended-Validation nochmals erweitert. So wird die EV lediglich von autorisierten Zertifizierungsstellen ausgegeben und stellt zudem die kostspieligste aller Validierungen dar. Dennoch sollte sie dringend beantragt werden, sofern eine Webseite betrieben wird, welche mit sensiblen Nutzerdaten operiert.

Webseiten ohne SSL-Zertifikat

Ohne SSL-Zertifikat sind Webseiten nicht nur unsicherer, das erhöhte Risiko wird den Nutzern auch durch ein fehlendes Schloss in der Adressleiste sichtbar gemacht, oder gar mit einer Warnmeldung in der Adressleiste visualisiert, welche ein durchgestrichenes Schloss oder ein Schloss mit einem Warndreieck aufzeigt.

Ranking, Recht und Bußgelder: Besser jetzt umsteigen!

Als Webseitenbetreiber mag man einen Umstieg auf verschlüsselte Verbindungen scheuen, da er einen Zusatzaufwand bedeutet, doch das Versäumnis könnte im schlimmsten Fall schwere Konsequenzen nach sich ziehen. So ist seit 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ in Kraft, welches das Telemediengesetz erweitert. Dadurch sind Webseitenbetreiber in der Pflicht, die Daten ihrer Nutzer zu schützen und zwar entsprechend des „aktuellen technischen Stands.“

Die vage Formulierung mag eine Spielraum suggerieren. Weitere Vorgaben schränken zudem ein, dass die Umstellung technisch und wirtschaftlich zumutbar sein muss, doch dies ist inzwischen in den allermeisten Fällen gegeben. Andersherum könnte es hingegen tatsächlich teuer werden: Solltest du personenbezogene Nutzerdaten sammeln und diese nicht verschlüsseln, so können Geldstrafen bis zu 50.000 Euro oder Untersagungsverfügungen drohen. Zwar werden derart harte Strafen aktuell noch nicht verhängt, doch rein theoretisch besteht die Gefahr und sollte deshalb möglichst vermieden werden – erst recht, da die Kosten für den Umstieg auf HTTPS immer vernachlässigbarer werden.

Google nimmt die Sicherheit im Netz ernst

Spätestens beim Thema Suchmaschinenranking gehen HTTPS-Verweigerern meist die Argumente aus. Seit 2011 verschlüsselt Google die eigenen Dienste und Online-Services, inzwischen sogar ohne Anmeldung und seit 2014 sind SSL-Verschlüsselungen auf der Liste der Ranking-Faktoren des Suchmaschinenriesen. Ein Wechsel zu HTTPS kann sich also begünstigend auf deine Platzierung in den Google-Ergebnisen auswirken. Daneben vertrauen dir deine Nutzer eher, wenn das grüne Schloss in der Browserleiste aufleuchtet. Und nicht zuletzt kannst du dadurch auch die Qualität deiner eigenen Daten erhöhen, denn wechselt ein Nutzer von einer verschlüsselten Seite auf eine weitere verschlüsselte Seite, so geht der Referrer nicht verloren. Sollte er von einer verschlüsselten auf eine unverschlüsselte Seite wechseln – in diesem Beispiel auf deine – dann ist der Referrer weg.

Mögliche Nachteile von HTTPS

In einigen Fällen könnte ein Umstieg aber doch noch zu Problemen führen. Beginnen wir mit den offensichtlichen Hürden für kleine Webseitenbetreiber, die besonders aufs Geld achten müssen. Zertifikate verursachen zusätzliche Kosten, die sich bei steigendem Traffic zudem erhöhen. Ein weiterer Nachteil: Bei SSL-Verbindungen ist es nicht möglich, Daten im Cache abzulegen und die Performance kann unter der Verschlüsselung leiden, da der Server einen erhöhten Rechenaufwand für die Encryption und Decryption betreiben muss. Moderne Server haben diese Probleme nicht, doch ältere Server könnten durchaus unter „Schluckauf“ leiden.

Technischer Aufwand & Umsatzeinbußen

Während das Zertifikat für Webseitenbetreiber selbst keinen großen Aufwand bedeutet, stellt die Umstellung der internen Links auf HTTPS und entsprechende Redirects gegen doppelte Inhalte einen nicht zu unterschätzenden Arbeitsaufwand dar. Einige Betreiber scheuen aus diesen Beweggründen den Schritt zu HTTPS zurückschrecken.

Zudem haben Seiten, bei denen ein Großteil der Einnahmen aus Werbung stammt, Umsatzrückgänge zu befürchten. Anzeigen auf HTTPS-Seiten erzielen weniger Einnahmen – teilweise gehen die Umsätze um ein Drittel zurück. Dies erklärt sich dadurch, dass Werbepublisher häufig noch auf unverschlüsselte Verbindungen setzen und verschlüsselte Seiten nur dann als sicher gewertet werden, wenn alle Elemente von außerhalb ebenfalls verschlüsselt geladen werden. Sollten beispielsweise Werbebanner diese Kriterien nicht erfüllen, so können sie nicht um Werbefläche auf Ihrer verschlüsselten Seite bieten. Weniger Wettbewerb bedeutet in diesem Fall niedrigere Preise und damit auch sinkende Einnahmen für dich als Webseitenbetreiber.

Probleme mit virtuellen Hosts

Kleine Webseiten, die über Web Hosting Provider agieren, werden häufig über virtuelle Hosts betrieben. Dies hat den Nachteil, dass eine Vielzahl an Seiten mit gleicher IP auf einem physikalischen Server abgelegt sind. Das funktioniert lediglich über HTTP oder aber über das noch nicht sehr weit verbreitete HTTPS mit TLS. Seiten, die den Vorgänger SSL verwenden, sind dazu nicht in der Lage.

Den Umstieg leicht gemacht

Mit den folgenden Tipps klappt der Switch auf HTTPS leichter. Beachte die Ratschläge und vermeide dadurch häufige Fehler und Unachtsamkeiten!

Google Search Console

Fertige die Sitemap neu an und reiche Sie sie bei Google Search Console ein. Findet sich in der Search Konsole ein disavow-File, solltest du diese, ebenso wie alle anderen Einstellungen, in den neuen HTTPS-Account transferieren.

Aus einem Guss

Sämtliche internen und externen Quellen müssen über HTTPS laden. Für Bilder, Scripte und andere Inhalte, die nicht über Verschlüsselung geladen werden, sehen die Nutzer Warnungen im Browser, welche die Vertrauenswürdigkeit der Seite in Frage stellen.

Bleibe am Puls der Zeit

Greife nach Möglichkeit nicht auf veraltete Zertifikate zurück, sondern nutze moderne Versionen, mit sicherer 2.048-Bit-Verschlüsselung.

Redirects

Die robots.txt-Datei sollte über HTTPS eingerichtet sein und relative Links genutzt werden, um Redirects zu vermeiden. Alte URLs können über einen 301-Redirect einfach auf die verschlüsselte Fassung der Seite umgeleitet werden.

Canonical Tags sollten in die SSL-Version der Seite geändert werden. Nutze außerdem HTTP Strikt Transport Security (HSTS). Das garantiert, dass verschlüsselte Verbindungen vor einer Aushebelung der Verschlüsselung geschützt werden. Zudem sollten Suchmaschinenbots die HTTPS-Seite crawlen dürfen.

Datendurchsatz

Prüfe deine Ressourcen! Verschlüsselung bedeutet mehr Rechenaufwand. Sorge deshalb dringend für die passenden Rahmenbedingungen, um ein komfortables Erlebnis für den Nutzer zu garantieren.

Fazit: Umsteigen lohnt sich!

Außer für klamme Seitenbetreiber gibt es kaum Ausreden, sich vor einer Umstellung auf HTTPS zu drücken. Die rechtlichen Vorteile und die Pros hinsichtlich Nutzerfreundlichkeit und Suchmaschinenoptimierung sind ein klares Signal, jetzt auf Verschlüsselung umzuschwenken. Und eines solltest du nicht vergessen: Der Fortschritt wird diesen Trend nur verstärken und je früher du auf den Zug aufspringst, desto sicherer bist du unterwegs.