2264350

Warum Sie Ihre Webseite auf HTTPS umstellen sollten

04.05.2017 | 14:00 Uhr |

Immer mehr Webseiten werden aktuell auf die Transportverschlüsselung HTTPS umgestellt. Doch warum macht man das und welche Vor- und Nachteile ergeben sich aus diesem Schritt?

Bevor wir uns dem Für und Wider der Maßnahme widmen, werfen wir einen Blick auf den Begriff selbst.

Das Verschlüsselungsprotokoll SSL

Das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) wurde von Netscape entwickelt - inzwischen gibt es das Nachfolgeprotokoll Transport Layer Security (TSL). TSL ist sicherer und fortschrittlicher, wird aber weithin als SSL bezeichnet. Wenn man also heute von SSL spricht, ist meist das moderne TSL-Protokoll gemeint und nicht die veraltete Fassung, die mittlerweile erhebliche Sicherheitsrisiken birgt.

Hypertext Transfer Protocol Secure (HTTPS) bezeichnet die Verwendung des Hypertext Transfer Protocol über SSL oder TSL.

Wir benutzen im Folgenden SSL als übergeordneten Begriff, da er im Sprachgebrauch am weitesten verbreitet ist.

So funktioniert es

SSL sorgt dafür, dass die Kommunikation zwischen dem Browser (also dem Nutzer) und dem Anbieter (beispielsweise Internet-Shops) gesichert abläuft und Daten nicht von Dritten abgegriffen werden können. Dazu wird ein Zertifizierungsprozess genutzt, der vertrauenswürdige Quellen kennzeichnen soll. Die Nutzung von SSL setzt demzufolge ein Zertifikat voraus, das einen Schlüssel enthält. Diese Schlüssel werden von autorisierten Zertifizierungsstellen (CA) vergeben, nach dem sie den Server und den Domain-Inhaber auf ihre Identität hin prüfen.

Dadurch soll eine hohe Vertrauenswürdigkeit zugesichert werden, doch ganz aktuell zeigen sich Schwächen im System.

Einer der größten Zertifizierer, Symantec, hat die Kontrolle über seine Zertifizierungsinfrastruktur verloren und mutmaßlich einer hohen Zahl von zweifelhaften Anbietern SSL-Zertifikate ausgestellt. Google plant nun, das Unternehmen abzustrafen, indem es die von Symantec ausgestellten Zertifikate für ungültig erklärt. Der Skandal dürfte langfristig zu strengeren und besseren Kontrollen führen, doch aktuell sind Symantec und dessen Marken Thawte, Verisign und Geotrust betroffen.

Lassen Sie sich davon jedoch nicht beirren.

Das sichere Hypertext-Übertragungsprotokoll HTTPS

Im Gegensatz zu HTTP-Seiten bieten ordentlich zertifizierte HTTPS-Seiten nämlich weiterhin eine deutlich erhöhte Sicherheit. Verbindungen sind verschlüsselt, wodurch Phishing und Manipulationen unwahrscheinlicher werden. Die Identität von Verkäufern ist für die Kunden zudem nachvollziehbar und überprüfbar.

Quasi abhörsicher und vor Manipulationen geschützt: Eine Webseite mit HTTPS
Vergrößern Quasi abhörsicher und vor Manipulationen geschützt: Eine Webseite mit HTTPS

Das bedeutet: Die Verbindung zwischen Webseiten-Betreiber und Browser ist im Gegensatz zu HTTP quasi abhörsicher, und die Sicherheit ist durch das in der Adresszeile eingeblendete Schloss für den Kunden auch sehr einfach zu erkennen. Genauere Informationen zu den Abstufungen dieser Schlösser folgen weiter unten im Text.

Doch zunächst sei die Frage erlaubt: Warum ziehen gerade jetzt so viele Webseiten auf HTTPS um, und lohnt sich der Umstieg für Sie ebenfalls?

Aus rechtlicher Sicht und aus der Perspektive der Suchmaschinenoptimierung gilt es einige Dinge zu beachten.

SSL-Zertifikate

Wie bereits erwähnt, existieren offizielle Vergabestellen für SSL-Zertifikate. Sie überprüfen die Identität der Webseiten und verbürgen sich für die Richtigkeit der Angaben. Die Zertifikate werden auf dem Server abgelegt und aufgerufen, sobald ein Nutzer die Webseite besucht. Dabei unterscheidet man folgende Arten von Zertifikaten:

Domain-Validierung (DV)

Hierbei handelt es sich um Zertifikate mit niedriger Sicherheit. Die Vergabestellen (CA) prüfen nur, ob der Antragsteller auch der Domain-Inhaber ist. Die restlichen Informationen zum Unternehmen werden nicht verifiziert. Daraus können sich durchaus Risiken entwickeln, doch dafür wird das Zertifikat schnell herausgegeben. Anwenden sollte man es lediglich auf Seiten, die kein erhöhtes Betrugsrisiko erwarten lassen.

Inhaber-Validierung (OV)

Die nächsthöhere Sicherheitsstufe umfasst Prüfungen der Unternehmensinformationen wie Rechtsformen und Eintragungen ins Handelsregister. Der Validierungsprozess ist jedoch ein längerer und kostet den Antragsteller mehr Geld. Angewendet werden sollte die OV auf Seiten, die Transaktionen anbieten, welche jedoch keine sensiblen Daten voraussetzen.

Visualisiert werden OV und DV durch ein grünes Sicherheitsschloss in der Suchleiste.

Extended Validation (EV)

Die sicherste Authentifizierung erweitert die Schritte der OV nochmals um strengere Vorgaben und wird zudem nur von autorisierten Zertifizierungsstellen vergeben. Selbstverständlich sind hier die Kosten für den Antragsteller nochmals höher, allerdings ist diese Form der Zertifizierung unbedingt auf Webseiten anzuwenden, die mit sensiblen Daten der Nutzer operieren. Eine Gesetzesgrundlage dafür besteht seit 2015. Die EV wird durch ein grünes Sicherheitsschloss visualisiert, bei welchem zusätzlich die Adressleiste teilweise grün hinterlegt ist.

Wichtig: Webseiten, die kein SSL-Zertifikat besitzen, haben kein Schloss. Je nach Browser kann aber auch eine Warnmeldung erscheinen, die ein durchgestrichenes Schloss zeigt oder ein Schloss mit einem gelben Warndreieck. Letzteres deutet auf ein fehlerhaftes SSL-Zertifikat hin.

Bei nicht zertifizierten und damit nicht gesicherten Seiten erscheint meist ein Warnhinweis
Vergrößern Bei nicht zertifizierten und damit nicht gesicherten Seiten erscheint meist ein Warnhinweis

Der rechtliche Faktor

Die Browser-Verschlüsselung ist nicht zuletzt aus rechtlicher Sicht ein Thema, mit dem sich Webseiten-Betreiber auseinandersetzen sollten. Seit August 2015 gilt das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“. Es erweitert das Telemediengesetz um weitere Sicherheitsvorgaben. So sind Dienstanbieter (und damit eben auch Betreiber von Webseiten) verpflichtet, die Daten der Nutzer entsprechend des „aktuellen technischen Stands“ zu schützen. Gesetzlich ist die Verschlüsselung der Webseite nicht bindend, wird jedoch ausdrücklich nahegelegt. Diese Vorschrift gilt für Telemedien und damit primär für Webseiten, Foren, Shops und andere gewerbliche Plattformen. Auch Werbeflächen und Affiliate-Links fallen unter diese Regelungen.

Das Gesetz beschränkt den Einsatz zwar durch den Hinweis, dass die technische und wirtschaftliche Zumutbarkeit gewährleistet sein muss, doch faktisch sind die Kosten für die Implementierung von SSL meist vergleichsweise niedrig. Bei den meisten Web-Hostern sind SSL-Zertifikate für ca. fünf Euro pro Monat zu erwerben. Und eine kostenlose Variante gibt es mit dem Zertifikat Let’s Encrypt.

Auf die Unzumutbarkeit der Kosten kann man sich nur in seltenen Fällen erfolgreich berufen. Sollte Ihre Seite einen Relaunch erfahren oder neu aufgesetzt werden, scheidet diese Argumentation ohnehin komplett aus.

Bußgelder bis zu 50.000 Euro

Aufgrund der Formulierung, dass die Vorkehrungen den „Stand der Technik“ berücksichtigen müssen, besteht jedoch eine Auslegungsmöglichkeit. Besagter „Stand der Technik“ ist nicht näher definiert, und bevor es keine genauen Regelungen gibt, die ihn eingrenzen, darf dieser durchaus recht frei gedeutet werden.

In der Realität steigt die Zahl der Webseiten, die HTTPS nutzen, jedoch rapide an, was HTTPS in naher Zukunft als einen Quasi-Standard wahrscheinlich werden lässt.

Weniger schwammig wird es, wenn Sie personenbezogene Nutzerdaten sammeln. Sollte dies unverschlüsselt geschehen, können Datenschutzbehörden zahlreiche Maßnahmen einleiten, die von Untersagungsverfügungen bis zu hohen Geldstrafen (bis zu 50.000 Euro) reichen.

In der Realität sind drakonische Strafen (noch) recht selten. Ein theoretisches Risiko besteht zwar durch die Möglichkeit, von Konkurrenten kostenpflichtig abgemahnt zu werden, doch tatsächlich ist die Wahrscheinlichkeit äußerst gering. Einerseits muss die mahnende Partei bei fehlgeschlagener Durchsetzung die Kosten für die Abmahnung selbst tragen, andererseits muss sie mit Gegenabmahnungen rechnen. Da ein perfekter Datenschutz grundsätzlich kaum durchsetzbar ist und immer die Möglichkeit besteht, hier selbst Schaden zu nehmen, sehen die meisten Unternehmen von derartigen Schritten ab.

SSL als Rankingfaktor

Die rechtliche Komponente ist jedoch nur eine Seite der Medaille. HTTPS wird auch im Suchmaschinen-Ranking von Google künftig eine immer wichtigere Rolle spielen. Seit 2011 verschlüsselt Google seine eigenen Services wie die Suche oder Docs per SSL – seit 2012 muss sich der Nutzer dazu nicht einmal mehr anmelden. Das eigene Credo, dass Sicherheit im Netz oberste Priorität habe, wiederholt das Unternehmen gebetsmühlenartig. Dabei ist es egal, ob es um Banking, e-Commerce oder soziale Netzwerke geht.

In einem Blogpost von 2014 hatte Google bereits unmissverständlich klargemacht, dass man „alle Webseiten-Betreiber ermutigt, von HTTP auf HTTPS zu wechseln, um die Sicherheit aller im Web zu gewährleisten.“ Im Klartext heißt diese Aussage nichts anderes, als dass Ihre SEO-Maßnahmen Googles neuen Fokus auf HTTPS einbeziehen sollten. Seit Sommer 2014 befindet sich SSL-Verschlüsselung offiziell auf der Liste der Ranking-Faktoren, und inzwischen hat sich herausgestellt, dass sich eine Umstellung tatsächlich positiv auf die Indexierung auswirken kann. Dadurch, dass Webseiten-Betreiber immer noch sehr zaghaft auf die Verschlüsselung umsteigen, besteht aktuell auch noch die Möglichkeit, sich in diesem Punkt gegenüber der Konkurrenz abzusetzen.

Zudem erhöht die Nutzung von verschlüsselten Verbindungen das Vertrauen der Nutzer, die die Seite daraufhin tendenziell häufiger aufrufen und geringere Absprungraten erzeugen als bei HTTP-Seiten. Auch das wirkt sich positiv auf das Ranking aus.

Schließlich erhöhen Sie als Seiten-Betreiber auch die Qualität der eigenen Datenbasis, denn Nutzer, die von einer verschlüsselten Seite auf eine unverschlüsselte Seite springen, sorgen dafür, dass der Referrer verlorengeht. Google Analytics vermerkt dies dann als direkten Seitenaufruf. Verhindert wird dies, wenn von verschlüsselter zu verschlüsselter Seite gewechselt wird: Der Referrer geht in diesem Fall nicht verloren.

Nachteile von HTTPS

Es gibt jedoch auch eine Kehrseite, die den Umstieg von HTTP auf HTTPS nicht immer zu einem No-Brainer machen.

Die Zertifikate verursachen Zusatzkosten, die sich bei steigendem Traffic ebenfalls erhöhen. Während dieser Faktor für die meisten Betreiber inzwischen zu vernachlässigen ist, gibt es noch einige weitere Hürden. Beispielsweise ist es bei HTTPS-Verbindungen nicht möglich, Daten im Cache abzulegen – eine Zwischenspeicherung von häufig aufgerufenen Inhalten (ISP-Caching) ist ausgeschlossen. Dazu kommen weitere, möglicherweise problematische Faktoren:

Performance-Probleme

Auch die Performance leidet ein wenig unter der Verschlüsselung, denn der Server muss für das Ver- und Entschlüsseln der Daten erhöhten Rechenaufwand betreiben. Moderne Server sind hiervon nicht betroffen, doch bei privaten und älteren Servern ist eine Beeinträchtigung durchaus zu erwarten.

Fallende Einnahmen

Ein gewichtiger Nachteil nach einer Umstellung auf verschlüsselte Seiten sind sinkende Werbe-Einnahmen. Anzeigen auf HTTPS-Seiten bringen erfahrungsgemäß bis zu 35 Prozent weniger Umsatz. Der Revenue Per Mille (RPM) fällt aufgrund der Tatsache, dass viele Webseiten-Betreiber – und damit auch oft Publisher von Werbung – noch auf unverschlüsselte Methoden setzen. Eine verschlüsselte Seite wird seitens des Browsers aber nur dann als sicher eingestuft, wenn alle externen Elemente, etwa Bannerwerbung, ebenfalls verschlüsselt geladen werden.

Da einige Werber diese Kriterien nicht erfüllen, können sie auch keine Werbeflächen auf HTTPS-Seiten nutzen. Das Resultat sind ein geringerer Konkurrenzkampf und damit sinkende Einnahmen für die Anbieter von Werbeflächen.

Technischer Aufwand

Das SSL-Zertifikat selbst ist schnell eingerichtet. Hosting-Anbieter können die Verschlüsselung inzwischen quasi auf Knopfdruck anbieten. Doch die Arbeit für den Webseiten-Betreiber liegt an anderer Stelle versteckt. Sie müssen sicherstellen, dass alle internen Links auf HTTPS umgestellt werden und Redirects nutzen, um duplicated content zu vermeiden.

Ein weiteres Problem liegt in der Existenz virtueller Hosts. Vor allem kleinere Webseiten werden über von Web-Hosting-Providern angebotene virtuelle Hosts betrieben. Das Problem: Eine hohe Anzahl von Seiten mit identischer IP liegt dabei auf einem physikalischen Server, was nur über HTTP möglich ist. HTTPS über SSL beherrscht dies nicht. TSL ist in der Lage, dieses Problem zu lösen, ist jedoch noch nicht so weit verbreitet wie das Vorgängerprotokoll.

So gelingt der Umzug

Sollten Sie sich entscheiden, auf HTTPS umzusteigen, empfiehlt es sich, einige Tipps zu beherzigen.

Google Search Console

Beispielsweise sollten in der Google Search Console, gleich nach der Umstellung auf die Verschlüsselung, die HTTPS-Fassung der Webseite und eine neue Property eingerichtet werden.

Erstellen Sie zudem die Sitemap neu und reichen Sie sie bei Google Search Console ein. Sollte in der Search Console eine Disavow-Datei verwendet werden, empfiehlt es sich, diese - ebenso wie alle anderen Einstellungen - in den neuen HTTPS-Account zu transferieren.

Einheitlichkeit

Kümmern Sie sich darum, dass alle internen und externen Quellen über HTTPS laden. Sollten irgendwelche Bilder, Scripte oder anderes nicht über Verschlüsselung geladen werden, sehen die Nutzer Warnungen im Browser, die die Vertrauenswürdigkeit der Seite in Frage stellen.

Aktualität

Nutzen Sie keine veralteten Zertifikate, sondern moderne Versionen mit 2.048-Bit-Verschlüsselung.

Redirects

Richten Sie die Datei robots.txt über HTTPS ein und nutzen Sie relative Links, um Redirects zu eliminieren. Alte URLs sollten über einen 301-Redirect auf die verschlüsselte Fassung der Seite geleitet werden. Stellen Sie zudem sicher, Canonical Tags in die SSL-Fassung zu ändern und führen Sie HTTP Strict Transport Security (HSTS) ein. Darüber werden verschlüsselte Verbindungen vor Umgehung der Verschlüsselung und Downgrade-Angriffen geschützt.

Stellen Sie außerdem sicher, dass Suchmaschinen-Bots die HTTPS-Seite crawlen dürfen.

Datendurchsatz

Wie bereits erwähnt, bedeuten Verschlüsselungen mehr Datendurchsatz. Deshalb sollten Sie im Zweifelsfall Ihre Ressourcen anpassen. Zudem wird auch jedes CSS- oder Javascript-Element über eine HTTPS-Verbindung aufgerufen, was ebenfalls erhöhten Zeitaufwand bedeutet.

Fazit: Der Umstieg lohnt sich

Noch ist es keine Pflicht, auf HTTPS umzusatteln, doch spricht wenig dagegen. Und das Wenige sind keine wirklichen Hürden. Lassen Sie sich von den Nachteilen also nicht abschrecken.

Im Gegenteil: Die Fülle an Vorteilen lohnt eine baldige Umstellung. Allein ein gesteigertes Nutzervertrauen ist die Mühe bereits wert, denn Datensicherheit wird in Zukunft noch relevanter werden als bisher. Lediglich Webseiten-Betreiber, die stark von Werbe-Einnahmen abhängen, haben gute Argumente, um den Wechsel auf die lange Bank zu schieben. Alle anderen sollten zeitnah umsatteln.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2264350