Was genau bedeutet eigentlich HTTPS?
HTTPS („HyperText Transfer Protocol Secure“) steht für eine verschlüsselte
Datenübertragung, die zwischen dem
Webserver und dem genutzten
Browser genutzt wird. Bei einer Homepage, die über
HTTP erreicht wird, mithin also das S für "
Secure" fehlt,
besteht für Personen desselben Netzwerkes die Möglichkeit, die übertragenen Daten mitzulesen.
Was im vertrauensvollen
Heimnetzwerk noch unproblematisch sein kann, entpuppt
sich als Datenfalle an öffentlichen Plätzen. Immer mehr Einrichtungen gewährleisten ihren
Nutzern einen freien
WLAN-Zugang zu ihrem Netzwerk. Dabei werden nicht selten
hochsensible Daten innerhalb des Netzwerkes verarbeitet. Es sind vor allem
Internetbetrüger sowie
Hacker, die die veraltete
Technik für ihre eigenen Zwecke missbrauchen möchten. Sie versuchen die
übertragenen Daten als Klartext abzufangen, um die notwendigen Informationen über den User zu
erhalten. Genau aus diesem Grund ist der Einsatz von verschlüsselten Verbindungen unerlässlich.
Der Konzern
Google belohnt die fleißige Arbeit der Umstellung mit einem
positiven Einfluss auf das
Ranking der eigenen Homepage. Der Unterschied
zwischen
HTTPS und
HTTP besteht folglich darin, dass bei
Letzterem das
Verschlüsselungsprotokoll SSL/TLS fehlt. Die Bezeichnung
SSL steht für "
Secure Sockets Layer" und ist genau genommen
heute schon wieder veraltet. Abgelöst wurde das Protokoll von
TLS
("
Transport Layer Security"). Ziel ist es, die Cyberkriminalität, beispielsweise
durch Pishing, wirksam zu bekämpfen,
indem die Identität einer Homepage geprüft wird.
Wie erkenne ich die sichere Internetverbindung per HTTPS?
Wird eine
Website via
HTTPS geschützt, kannst Du diesen Zusatz
in der Regel bereits in der Adresszeile ablesen. Darüber hinaus wird die
Verschlüsselung durch ein grünes Schloss signalisiert, das sich links daneben
befindet. Solltest Du nunmehr auf einer Internetseite landen, bei der noch keine Verschlüsselung
eingesetzt wird, sollte Dich der
Browser darauf aufmerksam machen. Diese Seiten
werden zunehmend als unsicher gelistet und markiert. Darüber hinaus werden Warnhinweise
ausgesprochen. Die genaue URL kann regelmäßig auch bei
Suchanfragen bereits
eingesehen werden. Bei einer
Suchmaschinenanfrage werden die Ergebnisse mit der
vollständigen Adresse einer Homepage angezeigt. Weiterhin gibt es auch vermehrt
Browser-Plugins von Antivirensoftware, die zusätzlich durch den Einsatz von
optischen Hinweisen auf die Sicherheit aufmerksam machen.
Ist die Umstellung auf HTTPS für alle Seitenbetreiber verpflichtend?
Sicherlich spricht es für den
Betreiber einer
Homepage, wenn
neben seiner Adresszeile das grüne Schloss signalisiert, dass er seinem Nutzer die bestmögliche
Sicherheit nach dem Stand der Technik bieten möchte. Das Bundesministerium für Verbraucherschutz
hat im Januar 2016 bereits eine Empfehlung ausgesprochen, dass Webseitenbetreiber eine sichere
Verbindung auf Grundlage von
HTTPS einrichten sollen. Betroffen sind vor allem
solche Seiten, bei denen über ein Kontaktformular personenbezogene Daten an den Anbieter
übermittelt werden können.
Online-Shops,
Online-Banking oder
andere
Internetseiten, die den direkten Kontakt über ein Kontaktformular
ermöglichen, sind hier insbesondere angesprochen. Dasselbe gilt aber auch für den
Anbieter eines
Newsletters, da dieser über die Eingabe der
persönlichen E-Mail-Adresse abonniert wird. Die
Umstellung auf HTTPS ist zwar
keine Pflicht. Sie kann allerdings vor Konsequenzen bewahren, und ist vor allem für diejenigen
Betreiber, die personenbezogene Daten ermitteln, dringend zu empfehlen.
Wer haftet bei abgefangenen Daten aus einem Kontaktformular?
Wenn es sich um
keine gesetzliche Pflicht handelt, eine
HTTPS Verschlüsselung zu nutzen, stellt sich die Frage der Haftbarkeit, wenn
personenbezogene Daten eines Nutzers von einem Dritten unberechtigterweise abgefangen werden.
Das Gesetz sieht in § 13 Abs. 7 TMG (Telemediengesetz) ausdrücklich vor, dass der Betreiber
einer Homepage sicherstellen muss, dass die Übertragung von personenbezogenen Daten
verschlüsselt wird. Muss der
Homepagebesucher seine persönlichen Daten an den
Webserver senden, um das Angebot überhaupt nutzen zu können, sollte der Betreiber eine
HTTPS Verschlüsselung nutzen. Es werden bereits einige kostenfreie Zertifikate
angeboten. Der Vorteil einer Umstellung liegt demnach nicht nur darin, dass das
Ranking bei
Google positiv ausfällt. Nach § 16 Abs. 2 Nr. 3
TMG handelt es sich bei einem Verstoß gegen § 13 Abs. 7 TMG um eine Ordnungswidrigkeit. Die
Landesämter für Datenschutz haben bereits entsprechende Warnungen an die Betreiber verschickt.
Grundsätzlich wird ein Verstoß mit einer Geldbuße von bis zu 50.000 € geahndet. Wird das
Kontaktformular eines Betreibers tausendfach genutzt, kann die Geldbuße eine Summe erreichen,
die nicht nur die Existenz der Homepage zerstört.
Wie können Betreiber einer Homepage das Zertifikat erhalten?
Um sich gegen derartige finanzielle Belastungen zu schützen, ist ein
SSL/TSL Zertifikat unerlässlich. Eine Vielzahl von Anbietern offeriert diese
Möglichkeit bereits. Der einfachste Weg besteht darin, das Zertifikat über den eigenen
Hostinganbieter zu beziehen. Es gibt allerdings auch Zwischenhändler sowie
Zertifizierungsstellen, bei denen ein Siegel erworben werden kann. Der Erwerb setzt allerdings
voraus, dass die Identität des Erwerbers zunächst umfassend geprüft wird. In der Praxis haben
sich drei unterschiedliche Validierungsverfahren durchgesetzt. Bei kleinen
Internetseiten, bei denen Blogger tätig werden oder der Nutzer über ein
Kontaktformular mit den Verantwortlichen in Kontakt treten kann, bieten sich
domain-validierte Zertifikate an. Nachdem der Antrag gestellt worden ist, wird
kurzerhand geprüft, ob die Nutzungsrechte tatsächlich beim Antragsteller liegen. Um den
Überprüfungsvorgang zu
schützen, wird dem
Nutzungsrechte Inhaber eine E-Mail zugestellt, damit dieser seine Identität
bestätigen kann. Derartige Angebote kosten etwa 20 € jährlich. Werden über eine Homepage
allerdings Transaktionen durchgeführt, sollte ein anderes Validierungsverfahren bevorzugt
werden. Für diese Betreiber bietet sich das inhaber-validierte Zertifikat an. Damit die
sensiblen Daten der Nutzer geschützt werden, ist es ein
umfangreicheres Verfahren, um die
Sicherheit zu gewährleisten.
Geprüft werden bei dieser Methode sowohl der Eintrag im Handelsregister als auch die notwendigen
Unternehmensinformationen. Dieser hohe Grad an Sicherheit hat allerdings auch seinen jährlichen
Preis, der ungefähr bei 180 € liegt. Die sicherste Authentifizierungsstufe ist das
extended-validierte Zertifikat. Sollten über die Internetseite besonders sensible Daten erhoben
werden, insbesondere Kreditkarteninformationen, sollte dieses Zertifikat beantragt werden. Es
gibt allerdings nur wenige spezielle Vergabestellen. Insbesondere die Informationen über das
Unternehmen werden sehr umfassend geprüft. Als höchste Authentifizierungsstufe hat es auch den
höchsten Preis. Die verantwortlichen
Internetbetreiber müssen etwa 720 €
jährlich an Kosten für diese Dienstleistung einplanen.
Die kostenfreie Möglichkeit des Validierungsprozesses:
Neben den
kostenpflichtigen Angeboten gibt es auch einige
Möglichkeiten, um das
HTTPS-Zertifikat ohne Ausgaben zu
erhalten. Bei der Wahl sollte vorab ein Anbieter gewählt werden, der bei allen Browsern als
sogenannte vertrauenswürdige Zertifizierungsstelle gelistet wird. Der erste
Ansprechpartner sollte daher immer der eigene Webhosting-Anbieter sein.
Solltest Du daher planen, in Zukunft eine eigene
Homepage zu betreiben, auf der
ein Kontaktformular genutzt werden kann oder sensible Daten anderweitig gesammelt werden, ist es
ratsam, schon bei der Auswahl Deines
Webhosting-Anbieters darauf zu achten. Bei
bereits bestehenden Angeboten kann ein Wechsel unter Umständen die beste Alternative sein.
Ansonsten sollte darauf geachtet werden, dass anderweitig bezogene Zertifikate kostengünstig und
einfach einbezogen werden können. Das ideale Zertifikat hängt unmittelbar mit zwei
verschiedenartigen Funktionen zusammen, die mit den
SSL-Zertifikaten einhergehen. Dies ist auf der einen Seite die
Identitätsprüfung und auf der anderen Seite die Verschlüsselung. Keinesfalls kann bestätigt
werden, dass ein kostenfreies Zertifikat besser oder schlechter verschlüsselt als die zu
bezahlende Alternative. In aller Regel ist für den Betreiber einer normalen Internetseite die
kostenfreie Variante eine vollkommen ausreichende Möglichkeit, um dem Nutzer die zu erwartende
Sicherheit zu bieten.
Die großen Internetgiganten unserer Zeit, wie zum Beispiel
Automattic, Facebook, Google oder Mozilla, unterstützen die Zertifizierungsstelle Let´s Encrypt,
die ihr Angebot kostenfrei zur Verfügung stellt. Einige
Webhosting-Anbieter,
exemplarisch All-Inkl., haben ihr Angebot bereits dahingehend vereinfacht, dass die eigene
Homepage durch wenige Klicks mit einem entsprechenden Zertifikat dieses Anbieters versehen
werden kann. Eine solche Kooperation bildet selbstverständlich den Idealfall. Bei der
überwiegenden Anzahl der
Webhosting-Anbieter hat sich demgegenüber bewährt,
dass wenigstens ein
kostenfreies Zertifikat dem
Hosting-Paket zugehört. Für den Nutzer ist hingegen nicht nur entscheidend,
dass seine Daten verschlüsselt übertragen werden. Vielmehr möchte er auch darüber informiert
werden, ob hinter der genutzten Homepage, über die er nunmehr seine
Konto Informationen preisgeben soll, auch tatsächlich der ausgewiesene
Betreiber steht. Das Problem ist, dass bei einfachen Validierungsverfahren
keine genaue
Identitätsprüfung vorgenommen wird. Es wird lediglich eine E-Mail
bestätigt. Banken oder Webshops sollten daher einen
umfassenden
Validierungscheck über sich ergehen lassen. Bevor ein
Zertifikat überhaupt ausgestellt werden kann, wird die Identität genau
überprüft. Derartige Informationen können über das Informationssymbol direkt im Browser
abgerufen werden. Oftmals wird auch der Name des Betroffenen Unternehmens neben der Adressleiste
publiziert.
Die Umstellung von HTTP auf HTTPS:
Manuell kann ein Zertifikat nur dann eingebunden werden, wenn Du den vollen
Zugriff auf den
verwendeten Server hast. In der Regel haben
die Betreiber allerdings ein
Webhosting-Paket gebucht, sodass dieser Schritt
vom Anbieter übernommen wird. Nachdem das
HTTPS-Zertifikat installiert worden
ist, solltest Du unbedingt einige
Besonderheiten beachten,
damit Fehler von vornherein vermieden werden.
a. Eine
korrekte Weiterleitung auf der Homepage einrichten
Ein sogenannter
301-Redirect ermöglicht die
saubere Umstellung auf
HTTPS. Durch diesen Einsatz soll verhindert werden, dass sowohl die
HTTP- als auch die HTTPS-Seite von
Suchmaschinen wie Google als zwei eigenständige Internetseiten gewertet werden.
In diese Umleitungsfunktion sollten nicht nur die Startseite der Homepage eingebunden werden.
Vielmehr ist es empfehlenswert, dass alle Unterseiten in das Umleitungssystem integriert werden.
Eine
301-Redirect-Umleitung kann über einen Eintrag erfolgen, der an der
.htaccess-Datei vorgenommen wird. Voraussetzung ist dafür, dass ein Apache-Server genutzt wird.
Mit dem folgenden Eintrag kann die
Verschlüsselungstechnik HTTPS für alle
Seiten eingerichtet werden:
RewriteEngine On
RewriteBase /
RewriteCond
%{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .*
https://%{SERVER_NAME}%{REQUEST_URI}
[R=301,L]
Sollte demgegenüber kein Apache-Server zum Einsatz kommen, kann der
301-Redirect über PHP implementiert werden. Dazu ist folgende Eingabe
notwendig:
<?php
if
(isset($_SERVER["HTTPS"])===FALSE || empty($_SERVER["HTTPS"])===TRUE) {
header("Location:
https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
exit();
}
b.
Unsichere Inhalte sollten unbedingt vermieden werden:
Optisch zeigt sich die
HTTPS Verschlüsselung in der Adresszeile des Browsers durch das grüne Schloss.
Obwohl die Seite vollständig via
HTTPS umgewandelt worden ist, erscheint
plötzlich ein Warndreieck. Der Grund liegt oftmals darin, dass Mixed Content verwendet worden
ist. Sämtliche Ressourcen, die auf der Homepage genutzt werden, insbesondere Bilder, Videos, JS,
CSS oder Webfonds sollten unbedingt per
HTTPS übertragen werden. Das gilt für
externe sowie interne Ressourcen gleichermaßen. Es besteht daher kein Unterschied zwischen einem
implementierten YouTube Video oder dem integrierten Google Maps Script. Die Übertragung kann
einige Zeit in Anspruch nehmen, vor allem wenn die Homepage sehr komplex ist oder auf eine
unsaubere Programmierung zurückgeführt werden kann. In diesem Fall sind die einzelnen Dateien
sowie die Datenbank umfassend zu bearbeiten.
c. Die
Indexierung der Homepage erleichtern:
Während des
Umstellungsprozesses kann sich herausstellen, dass die robots.txt-Datei das Crawling der
einzelnen
HTTPS-Internetseiten blockiert. Die Folge ist, dass die Seiten von
der
Suchmaschine Google nicht indexiert werden, obwohl sie auf
HTTPS umgestellt worden sind. Das ist besonders bitter, weil das Google-Ranking
entsprechend darunter leidet. In dem Robots-Meta-Tag sollte der Wert "noindex" unbedingt
vermieden werden, damit die Seiten ordnungsgemäß und korrekt indexiert werden können.
d.
Die richtige Einbindung der XML-Sitemap:
Nachdem die Homepage erfolgreich auf
HTTPS umgestellt worden ist, darf sich der Betreiber leider noch nicht
verdientermaßen zurücklehnen. Denn die URL muss nunmehr inklusive
HTTPS durch
den Einsatz von
Google Webmastertools in die Search Console der Suchmaschine
eingefügt werden. Es ist ratsam, dass die XML-Sitemap ebenfalls neuerlich eingereicht wird.
Sollte der Betreiber eine Seite sowohl via
HTTP als auch via
HTTPS zur Verfügung stellen, wobei die Seiten den identischen Inhalt haben,
bevorzugt Google nach eigenem bekunden die
HTTPS-Variante. Es ist dennoch
ratsam, sämtliche Seiten mithilfe der Google Search Console zu bearbeiten, insbesondere wenn
nicht alle Internetseiten über das Verbindungssystem
HTTPS verstellt
werden.
e.
Die Besonderheit des
Rankings während der Umzugsphase:
Jede
Internetseite lebt von ihrem Ranking bei Suchmaschinen. Je erfolgreicher eine Domain
positioniert werden kann, desto erfolgreicher wird in der Regel auch der Besucherzulauf sein.
Durch die
Umstellung auf HTTPS wird an der Website allerdings eine sehr große
Veränderung vorgenommen. Bevor diese nunmehr praktisch umgesetzt wird, solltest Du wissen, dass
es beim Ranking durchaus zu Schwankungen kommen kann. Wie bei jedem größeren Umzug,
beispielsweise auch bei einem Wohnungswechsel, bedarf es einer gewissen Eingewöhnungszeit.
Kurzfristige Rankingverluste kommen sicherlich vor. Der
Konzern Google hat
allerdings mitgeteilt, dass sich derartige Verluste bei einer solchen Änderung nicht verhindern
lassen.
f. Keine
abgelaufenen Zertifikate
nutzen:
Bei dem Einsatz eines
SSL-Zertifikat solltest Du stets
darauf achten, dass dieses nicht abgelaufen oder ungültig geworden ist. Denn der Besucher Deiner
Webseite würde darüber benachrichtigt werden, dass er eine unsichere Verbindung eingeht. Die
Intention, die Du mit dem Zertifikat verfolgst, steht diesem Unsicherheitsfaktor eindeutig
entgegen. Das von Dir
erworbene Zertifikat verfehlt somit seinen ursprünglich
gedachten Nutzen. Du solltest daher regelmäßig die Gültigkeitsdauer Deines Zertifikat prüfen und
gegebenenfalls ein neues Zertifikat einbinden. Im Idealfall bietet der
Webhosting-Anbieter die automatische Verlängerung bereits in seinem Paket mit
an. Andernfalls solltest Du die Kontrolle regelmäßig manuell durchführen.
Die
Beeinflussung des
Google-Rankings durch die
Umstellung auf HTTPS:
Wie bereits zuvor erwähnt, kann durch die
Umstellung auf HTTPS das Ranking Deiner Internetseite
kurzfristig durcheinandergebracht werden. Dabei handelt es sich allerdings nur
um eine zeitlich befristete Schwankung innerhalb der einzelnen Suchmaschinen. Langfristig
gesehen Macht sich die Umwandlung hingegen bezahlt.
Google bewertet solche Internetseiten bereits seit 2014 als
positiv, die eine
HTTPS-Verbindung nutzen. Sicherlich dürfen
keine überragenden Veränderungen innerhalb des Rankingverhältnisses erwartet werden. Allerdings
hat sich der Suchmaschinengigant bereits offengehalten, ob er die Umwandlung in Zukunft noch
stärker gewichten möchte. Das Phänomen der Vergangenheit, dass
HTTPS-Umleitungen mehr Ladezeit in Anspruch genommen haben, konnte mittlerweile
behoben werden.
Die
Checkliste für Deinen
HTTPS-Umzug:
Falls Du den
HTTPS-Umzug in Zukunft
planst, soll Dir die nachfolgende Liste beim Abhaken der einzelnen Schritte behilflich sein.
Folgende Arbeiten solltest Du unbedingt beachten:
- Sowohl für die Startseite als
auch für die Unterseiten wird ein 301-Redirect eingerichtet.
- Die Canonical-Links werden
entweder hinzugefügt oder angepasst.
- Es findet eine Aktualisierung der Google Search
Console statt.
- Die XML-Sitemap wird ebenfalls aktualisiert.
- Google Analytics oder
andere Webstatistik-Tools werden angepasst, ebenso wie interne und externe Verlinkungen.
-
Videos, Bilder, JS und CSS werden noch einmal geprüft, um gegebenenfalls umgestellt zu
werden.
- Es findet letztlich eine Anpassung der URLs in den einzelnen Werbeprogrammen
statt.
Sollte der
HTTPS-Umzug bei Dir nicht wie gewünscht
funktionieren, kann Seobility möglicherweise Abhilfe schaffen. Damit kannst Du etwaige
Unstimmigkeiten analysieren, um diese im Anschluss zu optimieren. Bei der Weiterleitung von
HTTP auf HTTPS werden die einzelnen Verfahrensschritte genau unter die Lupe
genommen, um Dich auf mögliche Fehler hinzuweisen.