HTTPS ist ein Begriff, der immer wieder im Zusammenhang mit Internet-Sicherheit genannt wird. Doch was bedeutet HTTPS eigentlich und wie funktioniert es?
In diesem Glossar werden wir einige der wichtigsten Begriffe und Konzepte im Zusammenhang mit HTTPS erklären, damit Sie ein besseres Verständnis davon bekommen, wie diese Verschlüsselungstechnologie die Sicherheit Ihrer Online-Kommunikation gewährleistet.
Hypertext Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP, dem wichtigsten Protokoll für die Übertragung von Daten zwischen einem Webbrowser und einer Website. HTTPS ist verschlüsselt, um die Sicherheit der Datenübertragung zu erhöhen.
Dies ist besonders wichtig, wenn Benutzende sensible Daten übertragen, z. B. wenn sie sich bei einem Bankkonto, einem E-Mail-Dienst oder einer Krankenkasse anmelden.
Jede Webseite, insbesondere solche, die Anmeldedaten erfordern, sollte HTTPS verwenden. In modernen Webbrowsern wie Chrome sind Websites, die kein HTTPS verwenden, anders gekennzeichnet als solche, die es tun.
Achten Sie auf ein Vorhängeschloss in der URL-Leiste, um zu signalisieren, dass die Webseite sicher ist. Webbrowser nehmen HTTPS ernst: Google Chrome und andere Browser kennzeichnen alle nicht-HTTPS-gesicherten Websites als nicht sicher.
HTTPS verwendet ein Verschlüsselungsprotokoll, um Kommunikation zu verschlüsseln. Das Protokoll heisst Transport Layer Security (TLS), obwohl es früher als Secure Sockets Layer (SSL) bekannt war. Dieses Protokoll sichert die Kommunikation, indem es eine sogenannte asymmetrische Public-Key-Infrastruktur verwendet.
Dieser Typ von Sicherheitssystem verwendet zwei unterschiedliche Schlüssel, um die Kommunikation zwischen zwei Parteien zu verschlüsseln:
Dieser Schlüssel wird von Besitzenden einer Webseite kontrolliert und er bleibt, wie Lesende vermuten werden, privat. Dieser Schlüssel befindet sich auf einem Webserver und wird verwendet, um Informationen zu entschlüsseln, die vom öffentlichen Schlüssel verschlüsselt wurden.
Dieser Schlüssel steht allen zur Verfügung, die auf sichere Weise mit dem Server interagieren möchten. Informationen, die vom öffentlichen Schlüssel verschlüsselt wurden, können nur vom privaten Schlüssel entschlüsselt werden.
HTTPS verhindert, dass die Informationen von Websites in einer Weise übertragen werden, die von jedem, der im Netzwerk schnüffelt, leicht eingesehen werden kann. Wenn Informationen über reguläres HTTP gesendet werden, werden sie in Datenpakete zerlegt, die mit kostenloser Software leicht «abgehört» werden können.
Dies macht die Kommunikation über ein unsicheres Medium wie öffentliches Wi-Fi sehr anfällig für Abhörmassnahmen. Tatsächlich erfolgt die gesamte Kommunikation über HTTP im Klartext, was sie für jeden, der über die richtigen Tools verfügt, leicht zugänglich und anfällig für On-Path-Angriffe macht.
Mit HTTPS wird der Datenverkehr verschlüsselt, sodass, selbst wenn die Pakete abgefangen werden, sie als unsinnige Zeichen erscheinen.
Bei Websites ohne HTTPS ist es möglich, dass Internetdienstanbieter (ISPs) oder andere Vermittler ohne Zustimmung des Website-Eigentümers Inhalte in die Webseiten einfügen.
Dies geschieht häufig in Form von Werbung, wenn ein Internetdienstanbietende, welche ihre Einnahmen erhöhen möchten, bezahlte Werbung auf den Webseiten deren Kundschaft einblendet.
Es überrascht nicht, dass in diesem Fall die Gewinne für die Werbung und die Qualitätskontrolle dieser Werbung in keiner Weise mit dem Eigentümer der Website geteilt werden. HTTPS verhindert, dass unmoderierte Dritte Werbung in Webinhalte einspeisen können.
Seit Oktober 2017 zeigt der Google Chrome-Webbrowser eine «nicht sicher» Warnung an, wenn Nutzende lediglich ein einfaches Kontaktformular ausfüllen oder Daten in ein Suchfeld auf einer Nicht-HTTPS-Website eingeben.
Im Juli 2018 begann Google Chrome damit, auf jeder Website, die nicht das HTTPS-Protokoll verwendet, eine «nicht sicher» Fehlermeldung anzuzeigen – unabhängig davon, ob die Nutzenden ein Formular ausfüllen.
Fazit: Wenn Sie darauf angewiesen sind, dass Ihre Website Leads und Verkaufsanfragen generiert, muss Ihre Website das HTTPS-Protokoll verwenden, damit die Nutzenden nicht ausflippen und Ihre Website aufgrund der Warnung «nicht sicher» verlassen.
Im August 2014 gab Google bekannt, dass HTTPS ein Ranking-Faktor in seinem Suchalgorithmus ist. Es ist noch unklar, inwieweit HTTPS bei Ihren Suchergebnissen eine Rolle spielt, aber Untersuchungen deuten darauf hin, dass es ein stärkerer Ranking-Faktor wird.
Führen Sie einfach eine beliebige Google-Suche durch, und Sie werden feststellen, dass fast alle Ergebnisse auf Seite 1 mit einer HTTPS-URL beginnen. Google hat auch darauf hingewiesen, dass eine HTTPS-Website als Entscheidungskriterium zwischen zwei Websites dienen kann, die ähnliche Informationen anbieten.
Der vielleicht wichtigste Grund, eine HTTPS-Website zu haben, ist die Wahrnehmung. Wir leben in einer Welt, in der Hackerangriffe und Datenschutzverletzungen an der Tagesordnung sind, und die Menschen sind besorgt über den Online-Datenschutz und die Sicherheit.
Auch wenn Ihre Website keine sensiblen Daten sammelt, gibt die Tatsache, dass Sie eine HTTPS-Website haben und Besuchende das kleine Vorhängeschloss in ihrem Browser sehen können, ihnen Sicherheit.
Und das führt zu Vertrauen in Ihr Unternehmen. HTTPS wird immer mehr zur Norm, und selbst Besuchende, die keine Techniker sind, fühlen sich mittlerweile ein wenig unwohl, wenn sie das Vorhängeschloss nicht sehen.
Es gibt eine gute und eine schlechte Nachricht. Die gute Nachricht ist, dass es nicht besonders teuer oder schwierig ist, Ihre Website auf HTTPS umzustellen. Die schlechte Nachricht ist, dass es mehr braucht, als nur einen Schalter umzulegen.
Es gibt grundsätzlich 4 Schritte:
Sie müssen ein SSL-Zertifikat (Secure Socket Layer) erwerben. Lassen Sie sich nicht dazu verleiten, zu viel für ein SSL-Zertifikat zu bezahlen. Ein «Positives SSL»-Zertifikat (auch bekannt als Domain Validation SSL) ist für die meisten Websites eine gute Wahl, und Sie können eines für weniger als 10 $/Jahr.
UPDATE: Einige Webhosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat als Anreiz an, Ihre Website bei ihnen zu hosten.
Wahrscheinlich werden Sie einen Webentwickler:innen beauftragen oder Ihr Hosting-Unternehmen dafür bezahlen wollen, das SSL-Zertifikat auf Ihrem Webserver zu installieren und Ihre Website zu konfigurieren.
Unter normalen Umständen sollte dies nur $200-$300 kosten. Selbst wenn Sie Zugang zu Ihrem Webserver haben, würde ich nicht dazu raten, dies selbst zu tun und möglicherweise etwas zu vermasseln. Das ist Ihre Zeit und Ihren Ärger nicht wert. Beauftragen Sie einfach eine Fachperson, der das für Sie erledigt.
Nachdem Ihr SSL-Zertifikat installiert ist, müssen Sie jede Seite Ihrer Website auf «mixed content»-Fehler überprüfen. Ein Fehler bei gemischten Inhalten tritt auf, wenn eine Webseite auf Nicht-HTTPS-Elemente verweist.
Manchmal sind sie ganz einfach zu beheben, manchmal sind sie etwas komplizierter. Aber wenn Sie eine Fachperson mit der Umstellung Ihrer Website auf HTTPS beauftragt haben, sollte dies Teil seiner Dienstleistung sein.
Sie müssen Google benachrichtigen, dass Sie Ihre Website auf HTTPS umgestellt haben, damit Google Ihre Website in der Suchdatenbank neu indizieren kann. Warten Sie nicht einfach darauf, dass Google Ihre Website crawlt. Seien Sie proaktiv und informieren Sie Google über die Google Search Console. Wenn Sie Google Analytics verwenden, stellen Sie sicher, dass Sie Ihre Einstellungen aktualisieren und mitteilen, dass Ihre Website jetzt HTTPS ist.
HINWEIS: Eine Sache, der Sie sich bewusst sein sollten, ist die Volatilität in Ihren Suchergebnissen, nachdem Sie Ihre Website auf HTTPS umgestellt haben. Kurzfristig können einige Ihrer Platzierungen vorübergehend sinken oder ganz verschwinden. Das ist normal. Sobald Google Ihre Website jedoch neu indiziert hat, kehren Ihre Suchergebnisse in der Regel auf das vorherige Niveau oder besser zurück.
Das war’s. Die Umstellung Ihrer Website auf HTTPS ist kein grosses Unterfangen, wenn Sie wissen, was zu tun ist. Und für eine relativ kleine Investition kann der ROI erheblich sein.
© 2012-2023, MIK Group GmbH | AGB | Impressum | Datenschutzerklärung
