HTTPS - TLS - SSL

Warum Seiten auf https umgestellt werden sollten.

posted by Mark Heuermann

am 26. Sep 2017

Immer wieder werde ich gefragt, ob eine Verschlüsselung, also HTTPS oder SSL, für die eigene Seite sein müsse. Kostet schließlich eine Menge Geld und ständig muss sich jemand darum kümmern, was ebenfalls Geld kostet. Hier meine Antwort: Ja-Nein-Jein.

Ja, ich empfehle jedem auch für die eigene Seite ein SSL-Zertifikat einzurichten oder einrichten zu lassen. Nein, dass kostet nicht eine Menge Geld. Es gibt Alternativen zu den teuren Zertifikaten. Jein, es muss sich nicht ständig jemand darum kümmern.

Aber kurz nochmal von vorne.

Was ist SSL?

“Transport Layer Security (TLS, englisch für Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die letzte Version des SSL-Protokolls war 3.0 und danach wurde es unter dem neuen Namen TLS, beginnend mit Version 1.0, weiterentwickelt und standardisiert.”

https://de.wikipedia.org/wiki/Transport_Layer_Security

Wofür ist SSL?

Im weiteren Verlauf im Wiki heißt es: “TLS-Verschlüsselung wird heute vor allem mit HTTPS eingesetzt.”

Was zeichnet also eine SSL- bzw. TLS- bzw. https-Verbindung aus? Im Groben bedeutet es, dass die Verbindung zwischen einem Webserver, also beispielsweise einer Homepage und dem anfragenden Gerät (Computer, Tablet oder Telefon) verschlüsselt abläuft. Somit soll verhindert werden, dass die hin- und hergeschickten Daten von unbefugten Dritten mitgelesen werden können.

Ja zu SSL-Verschlüsselung

Mittlerweile ist es auch aus SEO-Sicht äußerst wichtig ein Zertifikat und somit das HTTPS-Protokoll einzusetzen. Google hat dazu bereits 2014 eine Empfehlung ausgesprochen und Webseiten-Betreiber darauf aufmerksam gemacht, dass die Verschlüsselung ein Ranking-Faktor ist und somit die Sichtbarkeit, also das Ranking im Google-Index, einer Seite beeinflusst.

https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

Browser markieren Seiten ohne HTTPS als unsicher

Die einschlägigen Browserhersteller haben entschieden, Seiten, die nicht mittels HTTPS ausgeliefert werden als unsicher zu markieren. Das bedeutet also, dass Nutzer sich daran gewöhnen werden, die Qualität einer Seite auch daran zu messen, ob die Verbindung verschlüsselt ist, was sich z.B. als „geschlossenes Schloss“-Icon in der URL-Zeile niederschlägt (Chrome schreibt sogar explizit „Sicher“ dazu).

Zertifikat kaufen und einrichten

Es gibt verschiedenste Anbieter für SSL-Zertifikate. Hoster wie 1und1 oder Strato verkaufen Zertifikate zu einem monatlichen Preis ab 99 Cent. Die Einrichtung funktioniert in diesen Fällen in der Regel problemlos und wird von den jeweiligen Massenhostern übernommen.

Wir glauben an die Wichtigkeit der Verschlüsselung und bieten in unseren Hosting-Paketen eine Variante an, die kostenlos ist. Dazu nutzen wir Let’s Encrypt. Weitere Informationen dazu finden sich hier: https://letsencrypt.org/

Im Vorfeld sollte man allerdings nochmal prüfen, welches Art von Zertifikat man braucht. Es gibt verschiedene Stufen der Sicherheit. Es gibt einfache Zertifikate wie oben angedeutet, oder eben sehr sicher validierte Zertifikate, die ganze Organisationen überprüfen. Das ist dann der Fall, wenn die Adresszeile grün wird.

Im Groben gibt es folgende Zertifikate

Einfaches Zertifikat - Erstellt nach der sog. "Domain Validation". Dieses Zertifikat bietet kaum Schutz wie zum Beispiel vor Phishing. Die Seite bekommt kein grünes Schloss im Browser. https://en.wikipedia.org/wiki/Domain-validated_certificate

Ein sichereres Zertifikat wird nach der "Organisation Validation" aufgesetzt. Das Schloss im Browser wird grün.
https://www.leaderssl.de/articles/236-unterschied-zwischen-dv-und-ov-zertifikaten

Dann gibt es noch das Zertifikat mit der höchsten Sicherheitsstufe. Es wird nach "Extended Validation" aufgebaut. Es erscheint ein grünes Schloss und der Firmennamen bzw. Name der Organisation in der URL-Zeile des Browsers. Wir kennen das von unseren Banken.
https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat

Man hat also die Qual der Wahl. Wobei man zur Entscheidungsfindung ganz einfach sagen kann: Sobald Userdaten im Spiel sind, sollte ein Zertifikat nach "Organisation Validation" aufgesetzt werden. Das größte Vertrauen erweckt natürlich ein Zertifikat mit dem schon genannten grünen Schloss und dem Firmennamen.

Also, dann mal frohes Verschlüsseln! Bei Fragen, fragen! Wir helfen gerne weiter.

Weiterführende Links:

https://httpd.apache.org/docs/2.4/ssl/ssl_intro.html

https://www.softed.de/blog/wie-funktioniert-https/

data-url="https://epunks.de/blog/artikel/https-tls-ssl-45.html" data-services="["facebook","twitter","xing","googleplus","linkedin","info"]"