Skip to main content

Überall HTTPS

Veröffentlicht in Blog.

Standardphrasen wie "Ihre Persönlichkeitsrechte haben höchste Priorität, und Firma XYZ bemüht sich nach besten Kräften, diese Rechte zu schützen" werden oft in das Impressum übernommen, ohne dass sich Seitenersteller weitere Gedanken darüber machen. Dieser Behauptung wird man nicht gerecht, wenn die Seite bspw. kein Sicherheitszertifikat verwendet. Für Angreifer die sich zum Beispiel im gleichen WLAN befinden, ist es möglich Passwörter die über ein Log-in Modul eingeben werden oder Datensätze die über ein Formular übermittelt werden abzufangen und im Klartext mitzulesen. Umso erschreckender die Tatsache, dass viele Agenturen dieser Tatsache wenig Vertrauen schenken, bei einigen Seitenbetreibern kaum Sicherheitsvorkehrungen getroffen werden und auch größere Seiten kein TLS-Zertifikat nutzen.

Wir haben uns dazu entschlossen kein Kundenprojekt zu realisieren, ohne dafür zu sorgen, dass das TLS-Protokoll zwingend für jede Seite (URL) zur Anwendung kommt und http-Anfragen in https-Anfragen umgewandelt werden. Sei es nun von der einfachen "Ich-und-mein-Hund-Seite" bis hin zum komplexen Webshop.

Wann macht der Aufruf über https Sinn?

Ein Sicherheitszertifikat macht dann Sinn, sobald Benutzerdaten über ein Formular übermittelt werden. Das kann ein Log-In Modul zur Frontend-Verwaltung eines CMS sein, oder ein Kontakt-, Anfrage- oder Buchungsformular. Sie sollten deshalb stehts nach dem Sperr-Symbol in der Adressleiste ihres Browsers Ausschau halten, insbesondere bevor Sie Passwörter oder andere private Informationen in eine Website eingeben. Aber auch aus Sicht von Suchmaschinenoptimierung bringt die Implementierung des TLS Protokoll Vorteile mit sich. Seiten die über https aufrufbar sind, werden besser in den Suchmaschinen gelistet. Außerdem schafft das grüne Schloss-Symbol in der Adressleiste des Browsers zusätzliches Vertrauen beim Seitenbesucher. In naher Zukunft (Ende des Jahres 2017) werden die Meldungen 'Dies ist eine unsichere Verbindung' von den gängigen Browsern noch weiter verschärft und zwar immer dann wenn der Besucher die Möglichkeit zur unverschlüsselten Dateneingabe hat.

Mit der Zunahme von Cryptowährungen, werden auch Rechenleistungen von Serverfarmen für Cryptoconimining missbraucht (Cryptojacking). Eine aktuelle Seite und Verschlüsselung mit TLS Zertifkaten beim Verbindungsaufbau tragen zum Schutz vor Missbrauch der Webseite für solche Fremdzwecke bei.

„Eine Seite die nicht über HTTPS lädt ist nicht mehr zeitgemäß und schreckt Seitenbesucher zurück.“
Valentin Zischg