HTTPS Zertifikat für Webseiten
SSL Zertifikate
"Ab Oktober 2017 erscheint in Chrome (Version 62) die Warnung "NICHT SICHER", wenn Nutzer auf einer HTTP-Seite Text in ein Formular eingeben oder eine HTTP-Seite im Inkognitomodus besuchen. (...) Damit die Benachrichtigung "Nicht sicher" nicht erscheint, wenn Chrome-Nutzer Ihre Website besuchen, erfassen Sie Nutzereingabedaten immer auf über HTTPS bereitgestellten Seiten."
Diese Meldung versendet Google an alle WebseiteninhaberInnen, deren Webseite kein HTTPS - Zertifikat besitzt. Außerdem wird der Inhaberin oder dem Inhaber angezeigt, welche Formulare der Webseite von der Sicherheitswarnung betroffen sind. Das heißt, dass Google Chrome ab Oktober alle Webseiten ohne HTTPs Zertifikat als unsicher einstufen wird - dazu gehört auch eine Warnung an alle BenutzerInnen.
So funktionierts
Umstellung auf HTTPS
„Unter den folgenden URLs auf Ihrer Website befinden sich Texteingabefelder wie < input type=“text“ > oder < input type=“email“ >. Diese lösen die neue Chrome-Warnung aus. Anhand der Beispiele sehen Sie, wo die Warnungen angezeigt werden, und können so entsprechende Maßnahmen zum Schutz der Nutzerdaten ergreifen. Diese Liste ist nicht vollständig.“
Derzeit wird bei HTTP Seiten nur eine Information (siehe Abbildung 1) in der Browserleiste angezeigt, welche BenutzerInnen vor der Eingabe von Daten warnt. Diese erscheint jedoch erst, wenn die Nutzerin oder der Nutzer (siehe Abbildung 2) auf den Informationsbutton in der Browserleiste klickt. Bei HTTPS-zertifizierten Seiten hingegen erscheint ein grünes Sicherheitsschloss (siehe Abbildung 3).
Fachbegriffe verstehen
Was bedeuten HTTPS und SSL/TLS?
Hyper Text Transfer Protocol Secure (HTTPS) ist ein Internetprotokoll, mithilfe dessen BenutzerInnen gesichert auf Webseiten zugreifen können. Dies bedeutet, dass die Integrität und die Vertraulichkeit der Daten bei der Vermittlung zwischen Browser und Server, also Computer und Webseite geschützt wird. Oft findet man im Zusammenhang mit HTTPS auch den Begriff SSL. Dieser steht für Secure Sockets Layer. SSL, beziehungsweise die Weiterentwicklung TLS (Transport Layer Security) ist für den verschlüsselten Transport der Daten zwischen Browser und Server zuständig. SSL/TLS sorgt für Sicherheit auf drei Ebenen:
Verschlüsselung
Um die Daten vor Angriffen zu schützen, werden sie verschlüsselt übermittelt. Dies funktioniert mit einem gemeinsamen Sitzungsschlüssel. Gibt die Benutzerin oder der Benutzer einer Webseite also seine persönlichen Daten wie Name, Adresse und Bankdaten an, werden diese verschlüsselt an den Server weitergegeben. So können die Daten nicht abgefangen werden und auch die Aktivität der Nutzerin oder des Nutzers über mehrere Seiten hinweg kann nicht verfolgt werden.
Authentifizierung
Hier wird sichergestellt, dass die richtige Person mit der Webseite kommuniziert. Im Gegensatz zur Verschlüsselung wird hier kein gemeinsamer Schlüssel verwendet, sondern Browser und Server verwenden unterschiedliche Schlüsselpaare. So kann Angriffen vorgebeugt werden. Beispiel für einen Angriff wäre, wenn sich eine fremde Person zwischen NutzerIn und Webseite schaltet und sich als die jeweilige Nutzerin oder Nutzer ausgibt. So kann sie die Daten abfangen oder sogar modifiziert weitergeben.
Datenintegrität
Es wird sichergestellt, dass die Daten während der Übertragung nicht modifiziert werden. Datenintegrität bedeutet also, dass diese vollständig bleiben und genau so ankommen, wie sie versendet wurden.
Wir beantworten deine Fragen
Warum ist eine Umstellung auf HTTPS wichtig?
SEO
Neben der Sicherheitswarnung von Google und dem damit verbundenen Vertrauen der NutzerInnen gibt es aber noch weitere Gründe für eine Umstellung auf HTTPS. Das Zertifikat bekommt einen immer wichtiger werdenden Stellenwert in der Suchmaschinenoptimierung (SEO). Bereits seit 2014 ist HTTPS bei Google als Rankingfaktor etabliert.
Search Tool Anbieter
2015 führte der SEO-Tool-Anbieter Searchmetrics einen Vergleich der SEO Sichtbarkeit zwischen HTTP und HTTPS durch. Ergebnis war, dass der Unterschied der SEO-Performance zwischen HTTP und HTTPS seit der Ankündigung von Google, dass HTTPS als Rankingfaktor fungiert signifikant gestiegen ist.
DSGVO
Auch für die Datenschutz-Grundverordnung der EU, welche seit 2016 in Kraft trat und ab Mai 2018 anzuwenden ist, ist eine Umstellung auf HTTPS wichtig. Die Verordnung regelt die Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Werden Datenanwendungen nicht an die neue Rechtslage angepasst, drohen den Inhabern hohe Geldstrafen.
Hinzugekommen zur Grundverordnung ist Art. 32, die Sicherheit der Verarbeitung: so müssen BetreiberInnen einer Webseite technische und organisatorische Maßnahmen treffen, um die Sicherheit der Verarbeitung zu gewährleisten.
Dazu gehört "die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."
Wie oben bereits erklärt, sorgt SSL/TLS für die Verschlüsselung und Integrität der Daten - ein weiteres Argument also auf HTTPS umzustellen.
Du bist unsicher, welche weiteren Anpassungen für deine Webseite im Rahmen der neuen DSGVO nötig sind? Nutze unsere Checkliste als Orientierungshilfe.
Zur DSGVO Website Checkliste!
Wie funktioniert die Umstellung?
Nachdem wir erklärt haben, was HTTPS ist und auf die Gründe für eine Umstellung auf HTTPS eingegangen sind, zeigen wir Ihnen nun in 3 Schritten, wie genau die Umstellung funktioniert. Eine umfangreiche Erklärung finden Sie außerdem auf movingtohttps.com
Erstens
Vor der Umstellung
Zunächst sollte das SSL-Zertifikat ausgewählt werden. Hier wird zwischen drei Zertifikaten unterschieden:
Domain Validation (DV): Dieser Service ist bereits kostenlos erhältlich. Die Verschlüsselung ist genauso sicher, wie OV oder EV (siehe unten). Ein weiterer Vorteil ist, dass das Zertifikat in wenigen Minuten ausgestellt wird. Jedoch fordern die kostenlosen Services dazu auf, jede Subdomain einzeln einzureichen - bei vielen Subdomains ist hier der Aufwand etwas hoch.
Organization Validation (OV): Hier wird die Organisation, welche die Webseite betreibt, im Zertifikat angezeigt. Allerdings müssen OVs gekauft werden und auch die Ausstellung des Zertifikats dauert meherere Tage.
Extended Validation (EV): Bei diesem Zertifikat wird die Organiation sowohl im Zertifikat als auch bereits in der Browserleiste angezeigt. Das Zertifikat ist das teuerste der drei und es kann bis zu einer Woche dauern bis es ausgestellt wird.
TIPP: Kostenlose SSL-Zertifikate sind über den Service Let's Encrypt erhältlich
Bei vielen Hosting Paketen von SIWA ist bereits ein SSL Zertifikat im Angeboten enthalten - hier lohnt es sich nachzufragen! Sollte es nicht vorhanden sein, lässt sicht der Dienst um wenige Euro pro Monat jederzeit aktivieren. Außerdem sollte, falls vorhanden, die Umstellung zunächst auf einer Testseite stattfinden. Sicherheitshalber sollte man sich ein paar Stunden Zeit für die Umstellung einräumen, auch wenn diese meist sehr schnell vonstatten geht. Außerdem sollten alle Mitarbeiter, welche mit der Webseite arbeiten, über die Umstellung informiert werden. Auch wenn es externe Links auf die eigene Webseite gibt, sollten die Betreiber der Webseite informieren und die Verlinkungen entsprechend ändern.
Um Änderungen am Webseiten-Traffic festzustellen, sollte die Webseite mit Google Analytics verknüpft werden - so kann festgestellt werden, ob die Seite zwischenzeitliche Einbußen hinsichtlich Traffic und im SEO Ranking erhält. Auch die Google Search Console ist ein hilfreiches Tool für die SEO-Optimierung.
Zweitens
Die Umstellung
Vor der Installation sollte die Webseite-Betreiberin oder der Webseite-Betreiber, falls nicht bereits geschehen, das Zertifikat besorgen. Die jeweiligen AnbieterInnen führen dich durch den Prozess. Falls ein anderer Service als Let's Encrypt in Anspruch genommen wird, muss ein Private Key und ein Certificate Signing Request auf dem Webserver generiert werden. Auf Digicert gibt es weitere Informationen dazu.
Nun kommt es zur Installation des Zertifikats: Mithilfe des Configuration Generator von Mozilla werden die entsprechenden Konfigurationen für die Server config files erstellt. Anschließend müssen die Zertifikate in die im config angegebenen Stellen geladen werden.
Drittens
Der Test
Jetzt wird es spannend: der Check des Zertifikats steht an. Öffne die HTTPS-Version deiner Webseite im Browser. Wenn sich die Seite problemlos öffnen lässt, hast du alles richtig gemacht.
Falls nicht, erscheint eine Fehlermeldung - diese gibt Hinweise darauf, wie der Fehler behoben werden kann.
Häufige Fehlerquellen
Wir haben für dich eine Übersicht mit den häufigsten Fehlerquellen bei der HTTPS-Implementierung zusammengestellt. Die komplette Übersicht findest du auf t3n.
Gemischte Inhalte
JavaScript Dateien und Bilder, Links werden oft über HTTP statt HTTPS geladen. Dies kann zu Angriffen oder fehlerhaften Darstellungen führen und das Sicherheitsschloss erscheint nicht in Grün, sondern in Grau. Mit einigen Tools, wie dem HTTPS Checker kann die Webseite auf gemischte Inhalte überprüft werden.
Interne HTTP Links
Um sicherzugehen, das alle internen Links, Bilder etc. auf HTTPS-Seiten verweisen, sollten unbedingt Redirects eingerichtet werden.
Formulare
Jede Seite, auf der BenutzerInnen Informationen eingibt, sollte unbedingt über HTTPS gesichert sein. Insbesondere bei Passwortabfragen muss darauf geachtet werden.
Du möchtest noch weitere Informationen zur HTTPS Umstellung oder benötigst jemanden zur Umsetzung? Wir helfen gerne weiter!