Website auf HTTPS umstellen
In letzter Zeit erreichen mich recht häufig Mails von Auftraggebern mit der Frage, ob eine Umstellung ihrer Website auf HTTPS Sinn macht. Die kurze Antwort: Es macht! In diesem Artikel möchte ich ein paar immer wiederkehrende Fragen zur Verschlüsselung mit HTTPS beantworten.
HTTPS (Hypertext Transfer Protocol Secure) ist, wie Sie vielleicht schon gehört haben, die verschlüsselte Alternative zu HTTP (Hypertext Transfer Protocol) – dem Standardprotokoll für die Übertragung von Hypertext (Webseiten) im World Wide Web. Dabei tauschen Webserver und Client (der Browser) zu Beginn der Übertragung einen geheimen Schlüssel aus und verwenden diesen anschließend zur Übertragung der Daten in beide Richtungen.
Wofür ist die Verschlüsselung gut?
Die Nutzung eines geheimen Schlüssels bei der Übertragung der Daten hat drei wichtige Ziele:
- Vertraulichkeit
Die übertragenen Daten sind auf dem Transportweg zwischen Client und Server nicht durch Dritte einsehbar. - Integrität
Die übertragenen Daten können von Dritten auf dem Transport nicht verändert werden. - Authentizität
Sender und Empfänger von Daten, Client und Server, können sich eindeutig gegenseitig identifizieren,
Es geht also nicht nur darum, Daten während der Übertragung vor fremden Blicken zu schützen sondern auch darum, Daten zuverlässig und fälschungssicher zu übertragen. So genannte „Man-in-the-middle-Angriffe”, also Angriffe bei denen Dritte Daten auf dem Kommunikationsweg verändern, sollen damit ebenso unterbunden werden wie das Abhören persönlicher Daten oder Passwörter.
Was bringt das für meine Website?
Im Kontext Ihrer Website dient die Verschlüsselung, neben der oben genannten Integrität und Authentizität, der geschützten Übertragung persönlicher Daten der Nutzer Ihrer Website – beispielsweise bei der Verwendung eines Kontaktformulars.
Sofern Sie ein Content Management System (CMS) im Einsatz haben, bewirkt die Verschlüsselung zudem dass Ihr Nutzername und Passwort beim Login in das CMS nicht im Netzwerkverkehr eingesehen werden können. Somit können Sie Änderungen an Ihrer Website z.B. auch in einem öffentlichen WLAN eines Cafés vornehmen ohne Bedenken um den Schutz Ihrer Zugangsdaten zu haben – mit HTTP (ohne S) ein durchaus gefährliches Szenario.
Für Online-Shops ist HTTPS ohnehin obligatorisch und ein fehlen von Verschlüsselung auch ein Ausschlusskriterium für das Google Merchant Center oder ähnliche Vertriebswege.
Durch eine Novelle des Telemediengesetztes müssen zudem Websites welche z.B. über ein Kontaktformular Nutzerdaten erheben, dafür sorgen dass die Informationen durch „die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens” geschützt sind (siehe § 13 Abs. 7 TMG). In kommenden Versionen gängiger Browser wird der Nutzer bei Nutzung eines nicht mittels HTTPS gesicherten Formulares gewarnt – was vermutlich keinen guten Eindruck beim Besucher Ihrer Website hinterlässt.
Darüber hinaus bevorzugen inzwischen auch Suchmaschinen Websites die mit HTTPS gesichert sind gegenüber unsicheren HTTP-Websites. Somit kann eine Umstellung auf HTTPS auch das Ranking Ihrer Website in den Suchergebnissen verbessern und Ihnen ein Vorteil gegenüber den noch ungeschützten Websites Ihrer Mitbewerbers verschaffen.
Was brauche ich dazu und was kostet das?
Um Websites via HTTPS zu schützen, bedarf es einem gültigen und anerkannten SSL-Zertifikat auf Ihrem Webserver. Nahezu alle Hoster bieten solche SSL-Zertifikate als Zusatzoption an und – was noch viel besser ist – mittlerweile auch oft kostenlos: Spätestens seit dem Aufkommen von „Let's Encrypt”, einer seit 2015 bestehenden Zertifizierungsstelle die kostenlose SSL-Zertifikate ausgibt, bieten viele Hoster (beispielsweise all-inkl.com, 1und1 und Strato) ebenfalls kostenlose Zertifikate in ihren Webhosting-Paketen an. Entweder eben von „Let's Encrypt” direkt oder von anderen anerkannten Zertifizierungsstellen. Noch vor wenigen Jahren übliche hohe jährliche Gebühren für SSL-Zertifikate sind somit heute in vielen Fällen vom Tisch.
Jedoch ist eine Umstellung auf HTTPS nicht ganz kostenlos. Denn während das SSL-Zertifikat in der Regel mit wenigen Klicks bestellt und eingerichtet ist, bedürfen die notwendigen Änderungen an Ihrer Website doch ein paar Handgriffe mehr: Um eine Website sicher via HTTPS an den Browser auszuliefern, müssen auch alle auf den einzelnen Seiten eingebundenen Ressourcen (z.B. Bilder, Videos, Google-Karten, Stylessheets und Javascripte) mittels HTTPS aufgerufen werden. Dazu sind je nach Art der Website – statisch oder mittels CMS – Änderungen an den einzelnen Seiten, den verwendeten Templates, den Konfigurationsdateien und den Datenbankinhalten nötig. Außerdem sollten mittels Serverregeln Umleitungen (s.g. 301-Redirects) von den alten HTTP-URLs auf die neuen mit HTTPS eingerichtet werden. Und vor den Änderungen sollte natürlich noch ein umfassendes Backup der Website angelegt werden. Für alle Fälle.
Wie lange diese Maßnahmen im Einzelfall dauern, ist allerdings sehr stark abhängig von der Konfiguration des eingesetzten Servers (Ihrem Hoster), dem eingesetzten CMS und auch von der Größe der Website. Von wenigen Minuten bis mehrere Stunden ist hier alles möglich.
Bei den meisten Projekten in denen ich die Umstellung auf HTTPS vorgenommen habe, war das Thema in ein bis zwei Stunden erledigt. Allerdings hatte ich auch ein paar wenige Ausnahmen dabei, bei denen es länger dauerte bis alles wieder richtig rund lief – verursacht durch eine ungewöhnliche Serverkonfiguration, veraltete Software oder immens große Datenbanken von mehreren hundert Megabyte (deren Bearbeitung dann entsprechend zäh verlief). Lassen Sie uns einfach unverbindlich darüber sprechen.
Gib es Unterschiede zwischen den kostenlosen und kostenpflichtigen Zertifikaten?
Angeboten werden häufig drei verschiedene Arten von SSL-Zertifikaten, welche sich in Sachen Verschlüsselungssicherheit nicht unterscheiden. Bei allen Zertifikatstypen erhält man das kleine Schloss in der Adresszeile des Browsers, welches zeigt: Diese Seite ist sicher. Vielmehr unterscheiden sich die Typen in der – sagen wir mal – gefühlten Sicherheit:
- CLASS-1-Zertifkate (Domain Validated)
Hier wird für die Herausgabe des Zertifikats lediglich geprüft, ob Sie Inhaber der Domain sind. In der Regel geschieht dies durch den Klick auf einen Bestätigungslink in einer E-Mail die an eine @ihre-website-Adresse gesendet wird. Die kostenlosen Zertifikate der Hoster sind meistens CLASS-1-Zertifikate. - CLASS-2-Zertifikat
Hier wird zusätzlich die Identität der Firma oder Person überprüft. Diese Daten werden dann zusätzlich im ausgestellten Zertifikat hinterlegt und sind für Jedermann einsehbar (z.B. per Doppelklick auf das Schloss-Symbol im Browser). CLASS-2-Zertifikate sind nicht kostenlos. - Extended-Validation-Zertifikat
Diese Zertifikate erhält man nur unter strengen Bedingungen und nach eingehender Prüfung durch die Zertifizierungsstelle. Als Mehrwert erhält man dann eine grün eingefärbte Adresszeile – Sie kennen das vor Allem aus dem Online-Banking. Diese Zertifikate sind deutlich teurer als CLASS-2-Zertifikate.
Für die allermeisten Unternehmens-Websites reicht ein CLASS-1-Zertifikat in der Regel völlig aus. Damit sind die Daten Ihrer Nutzer hinsichtlich Vertraulichkeit, Integrität und Authentizität hinreichend geschützt. Diese CLASS-1-Zertifikate bekommen Sie wie oben beschrieben inzwischen oft kostenfrei von Ihrem Hoster. Wer einen Online-Shop oder gar ein Finanzunternehmen betreibt, kann auch (deutlich) tiefer in die Tasche greifen und ein höherwertiges Zertifikat erwerben – auf die Verschlüsselung selbst hat das jedoch keinen Einfluß.
Ich hoffe ich konnte in diesem Artikel einige Ihrer Fragen beantworten.
Nein? Dann schreiben Sie mir eine Mail oder rufen Sie an – ich beantworte gern Ihre offen gebliebenen Fragen im persönlichen Dialog und freue mich darauf von Ihnen zu lesen oder zu hören.
Mit besten Grüßen
André Herdling