Warum HTTPS für jede Website sinnvoll ist

23. Januar 2015 von Martin Wiederkehr Veröffentlicht unter *Unternehmens-News*, Hosting/Zusatzdienste, Know-how/Tipps&Tricks

Die Annahme ist weit verbreitet, dass HTTPS nur bei Webseiten mit Logins oder sensiblen Daten sinnvoll ist. Warum soll ein Blog verschlüsselt übertragen werden, obwohl der Inhalt sowieso von jedem gelesen werden darf? Einerseits wird durch die Verschlüsselung ebenfalls der Zugriff auf die Administrationsoberfläche (TYPO3 Backend, WordPress Admin, usw.) verschlüsselt, andererseits stellt HTTPS nicht nur die Verschlüsselung von Inhalten sicher sondern garantiert auch die Echtheit der übertragenen Daten. Sprich: Es wird gewährleistet, dass beim Besucher auch die Daten ankommen, welche der Server wirklich abgeschickt hat.

Dass Inhalte während der Übertragung manipuliert werden, kommt dabei häufiger als vermutet vor. Beispielsweise sind Netzbetreiber bekannt, welche zusätzliche Cookies in die Übertragung einschleusen, um das Nutzerverhalten zu untersuchen. Oder es wird in öffentlichen WLANs, wie sie häufig in Cafés vorkommen, Malware in die Übertragung eingefügt. Auch freie Proxys welche häufig zum Einsatz kommen, um den User zu anonymisieren, sind eine potenzielle Gefahrenquelle (blog.haschek.at/post/fd9bc).

Derartige Manipulationen von Daten sind nur möglich weil gewöhnliche Verbindungen im Netz die Echtheit der übertragenen Daten nicht gewährleisten. Durch HTTPS weiss der Nutzer, dass die Daten, die er empfängt, auch wirklich vom angegebenen Server stammen.

Speziell im Shop-Bereich bietet sich durch ein erweitertes Zertifikat die Möglichkeit einer zusätzlich Validierung der Vertrauenswürdigkeit (www.snowflake.ch/hosting-betrieb/sicherheitszertifikate/). Zusätzlich geht Google bereits einen Schritt weiter und wertet HTTPS Seiten in der Suche höher als unverschlüsselte Seiten, auch SEO technisch macht eine Verschlüsselung Sinn.

Entgegen der landläufigen Meinung kann der Performancefaktor beim Einsatz von https ignoriert werden. Die geringe zusätzliche Latenz (wenn überhaupt messbar im Millisekundenbereich) sowie die zusätzlichen Serverressourcen für die Verschlüsselung können getrost vernachlässigt werden. Gemäss Aussagen von Google musste für die komplette Umstellung auf HTTPS beim Maildienst Gmail keinerlei zusätzliche Hardware angeschafft werden.

Es wird bereits bei Browserherstellern wie Google diskutiert unverschlüsselte Websites grundsätzlich als unsicher zu markieren. Die Entwicklung bei verschlüsselten Websites wird also in jedem Fall in die Richtung standardmässiger Verschlüsselung gehen. Warum also nicht der Entwicklung einen Schritt voraus sein?

Gibt es in diesem Fall überhaupt noch Gründe, welche gegen eine standardmässige Verschlüsselung der Übertragung sprechen? Jein: Leider gibt es immer noch Werbeanbieter, welche ihre Werbebanner nicht per HTTPS anbieten. Diese verhindert, dass eine Seite mit diesen Werbebannern ebenfalls verschlüsselt wird. Hierbei müsste also im Vorfeld geklärt werden, ob Ihr Werbeanbieter bereits HTTPS unterstützt. Jedoch ist zu empfehlen, dass man in diesem Fall eine Zusammenarbeit sowieso überdenken sollte.

* vgl. http://www.golem.de/news/netzverschluesselung-mythen-ueber-https-1412-111188.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

3 Gedanken zu “Warum HTTPS für jede Website sinnvoll ist

  1. Danke für die knackige Zusammenstellung der Pro und Contra zum Thema SSL.

    Ein wichtiges Thema ist meiner Meinung nach auch der Preis: Bei einem günstig Hosting für einige Franken pro Monat sind die Kosten für ein SSL Zertifikat vergleichsweise hoch.

    Wird snowflake kostenlose Zertifikate von https://www.letsencrypt.org/ unterstützen?

    • Hallo Adrian, Zertifkate von letsencrypt.org werden unterstützt.
      Die Installation / Wartung erfolgt derzeit aber „nach Aufwand“.
      Mit der neuen Hosting Generation 2015 kann dies der Kunde aber zukünftig „eigenhändig“. Für „vorab Infos“ stehe ich dir gerne zur Verfügung.

  2. Ein Problem von SSL ist aber immer noch, dass Verweise (Links) zu anderen Seiten (keine Werbeanbieter, sondern einfach informative Websites), die kein SSL verwenden, nicht mehr funktionieren. Das ist für mich ein wichtiges Argument, um noch nicht auf SSL umzusteigen.
    Heinz