Das :torweg Agentur-Blog

Warum HTTPS für jede Website wichtig ist

Montag, 22. Oktober 2018 (Erlangen)

Warum HTTPS für jede Website wichtig ist

Jede Website sollte HTTPS nutzen. Wir erklären Ihnen warum und geben wertvolle Praxistipps für die Umsetzung. Im Gegensatz zu vielen Artikeln im Netz, möchten wir hier keine Verunsicherung verbreiten, sondern auch abseits von rechtlichen Vorgaben aufzeigen, warum Sie ihre Webseiten immer und ausschließlich per HTTPS ausliefern sollten.

Die Umstellung können Sie entweder selbst durchführen, oder Sie beauftragen Ihre Agentur mit den Änderungen. Sollten Sie Hilfe benötigen, können Sie auch mit uns Kontakt aufnehmen.

Was ist eigentlich HTTPS?

HTTPS steht für „Hypertext Transfer Protocol Secure“, also „sicheres Hypertext-Übertragungsprotokoll“, und ist eine Erweiterung von HTTP zur verschlüsselten Übertragung. Als Verschlüsselungsprotokoll wird heutzutage Transport Layer Security (TLS) eingesetzt. Technisch gesehen ist HTTPS eine zusätzliche Schicht zwischen TCP und HTTP.

Grund 1: Vertrauen

Die Browser-Hersteller warnen aus gutem Grund immer offensiver vor Websites ohne TLS-Verschlüsselung. Eine verschlüsselte Verbindung schützt die Daten Ihrer Besucher und sorgt dafür, dass die Inhalte auf dem Weg zum Benutzer nicht durch Dritte manipuliert werden können. Schaffen Sie vertrauen, indem Sie dafür sorgen, dass Browser Ihre Homepage nicht als unsicher markieren.

Grund 2: Suchmaschinen-Ranking (SEO)

Google empfiehlt bereits seit August 2014, Webinhalte nur noch mit HTTPS anzubieten. Im selben Blog-Post bestätigt Google, eine Verschlüsselung werde als positives Kriterium für das Ranking gewertet, wenn auch zu Beginn nicht als ein starkes. Die Auswirkungen sind mittlerweile (mehr als vier Jahre später) viel deutlicher zu spüren: Es finden sich kaum mehr Websites ohne HTTPS auf den ersten Ergebnisseiten.

Grund 3: Privatsphäre schützen

Ohne Verschlüsselung sind Daten, die über das Internet übertragen werden, für jeden mit Zugang zum entsprechenden Netz als Klartext lesbar. Eingaben Ihrer Benutzer oder deren Surfverhalten können einfach ausgespäht werden. Außerdem können unverschlüsselte Webseiten auf dem Weg zwischen Webserver und dem Besucher manipuliert werden.

Unsichere Verbindung via HTTP

Das ist kein theoretisches Problem, wie eine Lücke in Routern und Proxies eindrucksvoll beweist (Stand: Oktober 2018): Kriminelle nutzten die Sicherheitslücke aus und fügten Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Betroffen war unter anderem der in Bayern ansässige Provider TKN Deutschland.

Grund 4: Bei Abfrage von personen­bezogenen Daten unverzichtbar

Bereits wenn Sie auf Ihrer Website ein Kontaktformular anbieten oder anderweitig personenbezogene Daten einsammeln, ist eine adäquate Verschlüsselung vorgeschrieben!

Im Rahmen der Panikmache vor der DSGVO wurde auch immer wieder behauptet, dass ohnehin jede geschäftsmäßig betriebene Homepage Verschlüsselung bräuchte, um die IP-Adresse als personenbezogenes Datum zu schützen – das ist natürlich Blödsinn. Auch bei TLS-Verbindungen werden weder die IP-Adresse des Besuchers noch die IP-Adresse des Zielservers verschlüsselt!

Grund 5: Kein HTTP/2 ohne HTTPS

Zwar wurde die ursprüngliche geplante Option, das HTTP/2 standardmäßig TLS nutzt, nicht in den Standard übernommen. Aber mit Google, Mozilla, Apple, Opera und Microsoft haben quasi alle relevanten Browserhersteller angekündigt HTTP/2 ausschließlich via TLS zu unterstützen. Somit ist Verschlüsselung für HTTP/2 de facto als Standard zu betrachten.

Warum ist HTTP/2 für Sie wichtig? Es ist eine einfache Möglichkeit die Ladegeschwindigkeit Ihrer Website nachhaltig zu verbessern und der kommende Standard.

Grund 6: SSL-Zertifikate sind mittlerweile kostenfrei erhältlich

Die meisten Hosting-Provider bieten heutzutage kostenfreie SSL-Zertifikate im Rahmen ihrer Pakete an. Für selbst betreute Server können Sie mit Let’s Encrypt ebenfalls auf kostenlose Zertifikate zurückgreifen. Auch der Austausch der Zertifikate kann mit Let’s Encrpyt und dem ACME-Protokoll sehr einfach automatisiert werden. Mit ein bisschen Know-How ist die Einrichtung in wenigen Minuten erledigt. Hier hilft der Certbot der Electronic Frontier Foundation.

Grund 7: Alte Mythen stimmen nicht

HTTPS macht meine Webseiten langsamer

Wikipedia berichtet, dass die Umstellung von Google Mail (GMail) auf HTTPS bereits im Jahre 2010 kaum messbare Auswirkungen hatte (weniger als 1% zusätzliche Prozessorlast und weniger als 2% zusätzliches Datenvolumen). Für die Umstellung des großen Dienstes GMail auf HTTPS wurde keinerlei zusätzliche Hardware benötigt.

Die Argumentation auf HTTPS zu verzichten, um Rechen- und Netzwerk-Ressourcen zu sparen, stammt aus der Jahrtausendwende und ist schlicht nicht mehr haltbar.

Meine Webseite hat weder Formulare noch werden anderweitig Nutzerdaten gesammelt

Das spielt keine Rolle. HTTPS schützt weit mehr als nur Formulardaten. HTTPS sorgt dafür, dass URLs, Header und alle transferierten Inhalte vertraulich bleiben.

Auf meiner Homepage gibt es keinerlei sensible Inhalte

Mit dem Veröffentlichen einer Website übernimmt man auch Verantwortung. Wie bereits in Punkt 3 beschrieben, besteht bei nicht verschlüsselten Verbindungen die Gefahr, dass Inhalte auf dem Weg zum Empfänger verändert werden können. Das kam schon häufiger vor und kann so weit gehen, dass unterwegs Schadcode in die Seiten eingefügt wird. Davor möchten Sie Ihre Besucher doch schützen?

Meine Website wird per HTTP ausgeliefert, aber alle Formulare werden per HTTPS versendet

Dann können Sie es praktisch auch ganz lassen. Durch die unverschlüsselten Seiten hat ein Angreifer bereits alle Möglichkeiten Ihren Schutz auszuhebeln.

Verschlüsseln Sie immer die gesamte Website und leiten Sie alle HTTP-Anfragen auf HTTPS um.

Was sollte bei der Einrichtung von HTTPS beachtet werden?

Nutzen Sie Private Schlüssel mit einer Größe von 2048-Bit

Für nahezu alle Websites reicht die Sicherheit, die ein 2048-Bit RSA-Schlüssel bietet aus. Der RSA-Algorithmus hat breite Software-Unterstützung, was diese Form von Schlüsseln zu einer sicheren Wahl macht. Beachten Sie, dass RSA-Schlüssel nicht gut skalieren und größere Schlüssel, die Initiierung der Verbindung deutlich verlangsamen.

Verwenden Sie sichere HTTPS-Konfigurationen

Die manuelle Einrichtung einer sicheren Konfiguration kann mühsam und fehlerträchtig sein. Deshalb bietet Ihnen Mozilla einen SSL-Konfigurator, der passende Konfigurationen für die gängigen Webserver automatisch erstellt.

Aktivieren Sie Caching für öffentliche Inhalte explizit

Wenn die Kommunikation über HTTPS läuft, gehen Browser davon aus das sie vertraulich ist. Inhalte werden deshalb typischerweise nur im Arbeitsspeicher vorgehalten und stehen somit nach dem Schließen des Fensters nicht mehr zur Verfügung. Um das Caching zu fördern, sollten Sie öffentliche Ressourcen als öffentlich markieren. Mehr dazu in unserem Post „6 Tipps zum Beschleunigen der eigenen Website für (fast) jeden“.

Verwenden Sie Session Resumption

Session Resumption ist eine Optimierung, die es ermöglicht aufwendige kryptographische Operationen einzusparen und die Ergebnisse für eine gewisse Zeit wiederzuverwenden. Ein abgeschalteter oder falsch konfigurierter Session-Resumption-Mechanismus kann zu deutlichen Leistungseinbußen und/oder Sicherheitslücken führen.

Für den Apache-Webserver (2.4) können Sie für Debian/Ubuntu Session-Resumption wie folgt aktivieren:

SSLSessionCache         shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
SSLSessionCacheTimeout  120
# no session tickets, breaks forward secrecy
SSLSessionTickets       off

Für Nginx können Sie diese Einstellungen verwenden:

ssl_session_cache    shared:SSL:50m;		
ssl_session_timeout  2h;
# no session tickets, breaks forward secrecy
ssl_session_tickets  off;

Verwenden Sie OCSP-Stapling

OCSP-Stapling ist eine Erweiterung des Online Certificate Status Protocol (OCSP). OCSP ist ein Netzwerkprotokoll zum Überprüfen des Status eines Zertifikats.

Mit OCSP-Stapling wird vermieden, dass der Browser den Status direkt beim Aussteller des Zertifikats nachfragen muss. Dadurch werden zusätzliche Netzwerkverbindungen eingespart, und alles läuft schneller und zuverlässiger.

Diese Einstellung wird vom Mozilla-Tool mit vorgeschlagen.

Verschlüsseln Sie alles – wirklich alles

Verschlüsselung ist im Detail komplex und die Verwendung von unverschlüsselten und verschlüsselten Verbindung innerhalb einer Website birgt viele Fallstricke. Viele der Probleme können vermieden werden, wenn man genau weiß was man tut – oder Sie verschlüsseln einfach die gesamte Website (ohne Ausnahme).

Sichern Sie Cookies

Um die Sicherheit vollständig zu garantieren, sollten Sie auch bei einer komplett verschlüsselten Website darauf achten, dass sämtliche Cookies mit dem „Secure“-Flag gesetzt werden. Ansonsten gibt es immer noch Angriffsmöglichkeiten, mit denen die Cookie-Daten unter Umständen abgegriffen werden können.

Testen Sie Ihre Einstellungen

Sie können die HTTPS-Einstellungen Ihres Servers ganz einfach online überprüfen. Wir empfehlen den SSL-Test von Qualys.

Verwenden Sie HSTS

Wenn Sie alle vorangegangenen Punkte abgeschlossen haben, und der SSL-Test Sie mit einem „A“ oder „A+“ belohnt hat, wird es Zeit HSTS (HTTP Strict Transport Security) zu aktivieren.

Mit dieser Anweisung (ebenfalls in den Vorschlägen von Mozilla enthalten) teilen Sie Browsern mit, dass Ihre Website ausschließlich über HTTPS aufgerufen werden soll. Das erhöht die Sicherheit noch weiter.

Achtung: Führen Sie diesen Schritt erst durch, wenn die restliche HTTPS-Umstellung erfolgreich war und ausgiebig getestet wurde. Hat ein Browser einmal HSTS für Ihre Website gesehen, gibt es für die eingestellte Zeitspanne kein Zurück – der Browser wird die Seite nicht mehr per HTTP öffnen!

HTTPS ist erst der Anfang

Sie haben die Umstellung auf HTTPS geschafft? Super🎉

Holen Sie sich weitere Tipps zur Verbesserung Ihrer Sicherheitskonfiguration in Mozilla’s Observatory und vergessen Sie nicht Ihre Einstellungen in regelmäßigen Abständen zu prüfen.

Weiterführende Links

Feed abonnieren

Feed-Format auswählen:
Feed-URL:

Relaunch er­for­derlich?

Infor­mieren Sie sich in unserem White­paper „Unternehmens- & Marken-Web­sites neu ge­stalten“.

Archiv
2018
Jan
Feb
Mrz
Apr
Mai
Jun
Jul
Aug
SepOktNov
Dez
Erfahrungen & Bewertungen zu :torweg gmbh & co. kg
Artikel teilen