Zum Inhalt springen

Jede Website braucht HTTPS

Robert Harm setzt sich seit Jahren dafür ein, dass Webseiten nur noch gesichert über HTTPS erreichbar sind. Warum? Das könnt ihr in folgendem Text von ihm lesen.

Danke, dass du „Nur ein Blog“ für die Veröffentlichung nutzt.

Aber jetzt ist Robert dran…

Robert Harm: Jede Website braucht HTTPS

Leider herrscht heutzutage noch oft die falsche Meinung vor, dass HTTPS nur für sensible Inhalte wie zB Netbanking erforderlich wäre. Dabei bietet HTTPS viele Vorteile, bei denen ich mir schwer vorstellen kann, dass Website-BetreiberInnen, BloggerInnen,… darauf verzichten möchten.

Sicherstellung der Privatsphäre der WebseitenbesucherInnen

Durch HTTPS sind die Details der aufgerufenen URLs bzw. die auf der Website verwendeten Suchbegriffe oder sonstige Formulareingaben nur noch für den/die BetreiberIn bzw. den/die BesucherIn sichtbar.

Alle anderen am Übertragungsweg beteiligten Personen (Provider, Behörden etc) sehen dann nur noch, dass die Website aufgerufen wurde, ohne weitere Details. In Zeiten von Big Data und Ausbau von Massenüberwachungssystemen ist es mir persönlich ein Dorn im Auge, dass Metadaten zu Artikeln/Seiten, die mich auf einer Website interessieren, nicht besser geschützt werden. Auch bei datenschutzmäßig sensibleren Bereichen (Gesundheitswebseiten/foren, Nachrichtenseiten, Verwaltungsinformationen etc.) gibt es noch viel Handlungsbedarf.

Sicherstellung der (technischen) Integrität der Inhalte

Durch die Verschlüsselung wird sichergestellt, dass die Daten/Inhalte unverfälscht beim Empfänger ankommen. In Zeiten, in denen z.B. WLAN-Provider ungefragt Werbung in Seiten „implantieren“ (AT&T Hotspots: Now with Advertising Injection), ist es wohl für niemanden der/die eine Website betreibt wünschenswert, wenn fremde Werbungen auf der Seite angezeigt werden. Unabhängig davon, dass eine Änderung der Inhalte zu Irritationen bei den LeserInnen führen kann und mißverständlich auf den/die InhaberIn der Website zurückfallen kann.

Sicherstellung der Authentizität des Absenders

Man-in-the-middle-Attacken, bei dem sich eine dritte Partei als die eigene Website ausgibt, sind durch HTTPS ausgeschlossen.

Verbesserung der Suchergebnisse bei Google

Google wertet HTTPS mittlerweile als ranking signal, d.h. Seiten mit HTTPS sind für Google glaubwürdiger und werden daher höher geranked. Siehe hierzu der Artikel im Google Webmaster Central Blog: HTTPS as a ranking signal

Verbesserung der Sicherheit für das eigene Content Management System

Falls jemand im Backend – für den Login zum Content Management System – kein HTTPS verwendet, würde ich dringend empfehlen, es auch hier einzuführen. Ist nämlich kein HTTPS vorhanden, können die Logindaten leicht erfasst werden. Ein Aufruf des Backend über ein WLAN in einem Cafe und alle im selben WLAN-befindlichen Personen können auf einfache Art und Weise mitlesen. Wie leicht dies geht, zeigt folgendes Video von Martin Leyrer.

Technologie

Aktuelle Webserver ermöglichen durch sogenanntes Multiplexing wesentliche Geschwindigkeitsvorteile beim Aufruf von Webseiten. Ressourcen können parallel statt nacheinander geladen werden. Allerdings ist dafür die Verwendung von HTTPS erforderlich. Weitere Infos auf HttpWatch: A Simple Performance Comparison of HTTPS, SPDY and HTTP/2

Kennzeichnung als unsichere Webseite ab Chrome 62

Ab Chrome Version 62 werden Webseiten mit Formularen, bei denen die Dateneingabe ungesichert über http erfolgt, als unsicher gekennzeichnet:

Siehe Text im Blogartikel

Google plant eventuell sogar noch einen Schritt weiterzugehen und in höheren Chrome Versionen eine generelle Warnung für alle Webseiten im Browser anzuzeigen, die über http abgerufen werden:

Eventually, we plan to show the “Not secure” warning for all HTTP pages, even outside Incognito mode

Mehr Infos

Darüber hinaus gibt es noch weitere Gründe, die meiner Meinung nach sehr für die Verwendung von HTTPS sprechen. Eine gute Zusammenfassung findet sich im Artikel 10 Reasons To Use HTTPS von Guy Podjarny.
Technische best practices und Konfigurationsbeispiele für eine mögliche Umsetzung finden sich bspw. bei BetterCrypto.org.

HTTPS jetzt

HTTPS ist keine Geheimwissenschaft. Viele Hostprovider bieten entsprechende Zertifikate – vielfach oft auch schon kostenlose letsencrypt Zertifikate. Die Umstellung des eigenen Blogs, des Content Management Systems, geht meist auch recht einfach vonstatten bzw. existieren bei den meist genutzten Systemen gute Anleitungen.
Daher gibt es viele gute Gründe für HTTPS und keinen, nicht schon heute die eigene Seite umzustellen.


Robert Harm lebt in Wien und beschäftigt sich u.a. intensiv mit den Themen Open Data, IT-Security & Privacy, Netzpolitik sowie WordPress.

4 Kommentare

Schreibe einen Kommentar zu Dr. Ronald Petrlic Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert