Umstellung auf HTTPS -So funktioniert's

DIe Umstellung von HTTP auf HTTPS

Sie haben Fragen zur HTTPS Umstellung oder benötigen jemanden zur Umsetzung? Wir helfen gerne weiter!

"Ab Oktober 2017 erscheint in Chrome (Version 62) die Warnung "NICHT SICHER", wenn Nutzer auf einer HTTP-Seite Text in ein Formular eingeben oder eine HTTP-Seite im Inkognitomodus besuchen. (...) Damit die Benachrichtigung "Nicht sicher" nicht erscheint, wenn Chrome-Nutzer Ihre Website besuchen, erfassen Sie Nutzereingabedaten immer auf über HTTPS bereitgestellten Seiten."

Diese Meldung versendet Google an alle Webseiteninhaber, deren Webseite kein HTTPS - Zertifikat besitzt. Außerdem wird dem Inhaber angezeigt, welche Formulare der Webseite von der Sicherheitswarnung betroffen sind. Das heißt, dass Google Chrome ab Oktober alle Webseiten ohne HTTPs Zertifikat als unsicher einstufen wird - dazu gehört auch eine Warnung an den Benutzer.

„Unter den folgenden URLs auf Ihrer Website befinden sich Texteingabefelder wie < input type=“text“ > oder < input type=“email“ >. Diese lösen die neue Chrome-Warnung aus. Anhand der Beispiele sehen Sie, wo die Warnungen angezeigt werden, und können so entsprechende Maßnahmen zum Schutz der Nutzerdaten ergreifen. Diese Liste ist nicht vollständig.“

Derzeit wird bei HTTP Seiten nur eine Information (siehe Abbildung 1) in der Browserleiste  angezeigt, welche den Benutzer vor der Eingabe von Daten warnt. Diese erscheint jedoch erst, wenn der Nutzer (siehe Abbildung 2) auf den Informationsbutton in der Browserleiste klickt. Bei HTTPS-zertifizierten Seiten hingegen erscheint ein grünes Sicherheitsschloss (siehe Abbildung 3)

 

HTTP-Warnung in der Navigationsleiste
Detailinformationen zur HTTP-Warnung
grünes Sicherheitsschloss bei HTTPS-Seiten

Was bedeuten HTTPS und SSL/TLS?

Hyper Text Transfer Protocol Secure (HTTPS) ist ein Internetprotokoll, mithilfe dessen Benutzer gesichert auf Webseiten zugreifen können. Dies bedeutet, dass die Integrität und die Vertraulichkeit der Daten bei der Vermittlung zwischen Browser und Server, also Computer und Webseite geschützt wird. Oft findet man im Zusammenhang mit HTTPS auch den Begriff SSL. Dieser steht für Secure Sockets Layer. SSL, beziehungsweise die Weiternewicklung TLS (Transport Layer Security) ist für den verschlüsselten Transport der Daten zwischen Browser und Server zuständig.  SSL/TLS sorgt für Sicherheit auf drei Ebenen:

Icon eines Schlüssels

Verschlüsselung

Um die Daten vor Angriffen zu schützen, werden sie verschlüsselt übermittelt. Dies funktioniert mit einem gemeinsamen Sitzungsschlüssel. Gibt der Benutzer einer Webseite also seine persönlichen Daten wie Name, Adresse und Bankdaten an, werden diese verschlüsselt an den Server weitergegeben. So können die Daten nicht abgefangen werden und auch die Aktivität des Nutzers über mehrere Seiten hinweg kann nicht verfolgt werden.

 

Icon eines Briefumschlags

Datenintegrität

Es wird sichergestellt, dass die Daten während der Übertragung nicht modifiziert werden. Datenintegrität bedeutet also, dass diese vollständig bleiben und genau so ankommen, wie sie versendet wurden.

Icon einer IdentityCard

Authentifizierung

Hier wird sichergestellt, dass nur der jeweilige Nutzer mit der Webseite kommuniziert. Im Gegensatz zur Verschlüsselung wird hier kein gemeinsamer Schlüssel verwendet, sondern Browser und Server verwenden unterschiedliche Schlüsselpaare. So kann Angriffen vorgebeugt werden. Beispiel für einen Angriff wäre, wenn sich eine fremde Person zwischen Nutzer und Webseite schaltet und sich als der jeweilige Nutzer ausgibt. So kann sie die Daten abfangen oder sogar modifiziert weitergeben.

Warum ist eine Umstellung auf HTTPS wichtig?

Neben der Sicherheitswarnung von Google und dem damit verbundenen Vertrauen der Nutzer gibt es aber noch weitere Gründe für eine Umstellung auf HTTPS. Das Zertifikat bekommt einen immer wichtiger werdenden Stellenwert in der Suchmaschinenoptimierung (SEO). Bereits seit 2014 ist HTTPS bei Google als Rankingfaktor etabliert.

2015 führte der SEO-Tool-Anbieter Searchmetrics einen Vergleich der SEO Sichtbarkeit zwischen HTTP und HTTPS durch. Ergebnis war, dass der Unterschied der SEO-Performance zwischen HTTP und HTTPS seit der Ankündigung von Google, dass HTTPS als Rankingfaktor fungiert sinifikant gestiegen ist. 

Auch für die Datenschutz-Grundverordnung der EU, welche seit 2016 in Kraft trat und ab Mai 2018 anzuwenden ist, ist eine Umstellung auf HTTPS wichtig. Die Verordnung regelt die Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Werden Datenanwendungen nicht an die neue Rechtslage angepasst, drohen den Inhabern hohe Geldstrafen.

Hinzugekommen zur Grundverordnung ist  Art. 32, die Sicherheit der Verarbeitung: so müssen Betreiber einer Webseite technische und organisatorische Maßnahmen treffen, um die Sicherheit der Verarbeitung zu gewährleisten. Dazu gehört

"die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen [und ) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung"


Wie oben bereits erklärt, sorgt SSL/TLS für die Verschlüsselung und Integrität der Daten - ein weiteres Argument also auf HTTPS umzustellen.

Wie funktioniert die Umstellung?

Nachdem wir erklärt haben, was HTTPS ist und auf die Gründe für eine Umstellung auf HTTPS eingegangen sind, zeigen wir Ihnen nun in 3 Schritten, wie genau die Umstellung funktioniert. Eine umfangreiche Erklärung finden Sie außerdem auf movingtohttps.com 

Die Umstellung von HTTP zu HTTPS in 3 Schritten

1.) Vor der Umstellung

Zunächst sollte das SSL-Zertifikat ausgewählt werden. Hier wird zwischen drei Zertifikaten unterschieden:

Domain Validation (DV): Dieser Service ist bereits kostenlos erhältlich. Die Verschlüsselung ist genauso sicher, wie OV oder EV (siehe unten). Ein weiterer Vorteil ist, dass das Zertifikat in wenigen Minuten ausgestellt wird. Jedoch fordern die kostenlosen Services dazu auf, jede Subdomain einzeln einzureichen - bei vielen Subdomains ist hier der Aufwand etwas hoch.

Organization Validation (OV): Hier wird die Organisation, welche die Webseite betreibt, im Zertifikat angezeigt. Allerdings müssen OVs gekauft werden und auch die Ausstellung des Zertifikats dauert meherere Tage.

Extended Validation (EV): Bei diesem Zertifikat wird die Organiation sowohl im Zertifikat als auch bereits in der Browserleiste angezeigt. Das Zertifikat ist das teuerste der drei und es kann bis zu einer Woche dauern bis es ausgestellt wird.

 


TIPP: kostenlose SSL-Zertifikate sind über den Service Let's Encrypt erhältlich


Bei vielen Hosting Paketen von SIWA ist bereits ein SSL Zertifikat im Angeboten enthalten - hier lohnt es sich nachzufragen! Sollte es nicht vorhanden sein, lässt sicht der Dienst um wenige Euro pro Monat jederzeit aktivieren. Außerdem sollte, falls vorhanden, die Umstellung zunächst auf einer Testseite stattfinden. Sicherheitshalber sollte man sich ein paar Stunden Zeit für die Umstellung einräumen, auch wenn diese meist sehr schnell vonstatten geht. Außerdem sollten alle Mitarbeiter, welche mit der Webseite arbeiten, über die Umstellung informiert werden.  Auch wenn es externe Links auf die eigene Webseite gibt, sollten die Betreiber der Webseite informieren und die Verlinkungen entsprechend ändern.

Um Änderungen am Webseiten-Traffic festzustellen, sollte die Webseite mit Google Analytics verknüpft werden - so kann festgestellt werden, ob die Seite zwischenzeitliche Einbußen hinsichtlich Traffic und im SEO Ranking erhält. Auch die Google Search Console ist ein hilfreiches Tool für die SEO-Optimierung.

2.) Die Umstellung

Vor der Installation sollte der Webseite-Betreiber, falls nicht bereits geschehen, das Zertifikat besorgen. Die jeweiligen Anbieter führen Sie durch den Prozess. Falls ein anderer Service als Let's Encrypt in Anspruch genommen wird, muss ein Private Key und ein Certificat Signing Request auf dem Webserver generiert werden. Auf Digicert gibt es weitere Informationen dazu.

Nun kommt es zur Installation des Zertifikats: Mithilfe des Configuration Generator von Mozilla werden die entsprechenden Konfigurationen für die Server config files erstellt. Anschließend müssen die Zertifikate in die im config angegebenen Stellen geladen werden.

3.) Der Test

Jetzt wird es spannend: der Check des Zertifikats steht an. Öffnen Sie die HTTPS-Version Ihrer Webseite im Browser. Wenn sich die Seite problemlos öffnen lässt, haben Sie alles richtig gemacht.

Falls nicht, erscheint eine Fehlermeldung - diese gibt Hinweise darauf, wie der Fehler behoben werden kann. 

Häufige Fehlerquellen

Wir haben für Sie eine Übersicht mit den häufigsten Fehlerquellen bei der HTTPS-Implementierung zusammengestellt. Die komplette Übersicht finden Sie auf t3n

Gemischte Inhalte JavaScript Dateien und Bilder, Links werden oft über HTTP statt HTTPS geladen. Dies kann zu Angriffen oder fehlerhaften Darstellungen führen und das Sicherheitsschloss erscheint nicht in Grün sondern in Grau. Mit einigen Tools, wie dem HTTPS Checker kann die Webseite auf gemischte Inhalte überprüft werden.
Interne HTTP Links Um sicherzugehen, das alle internen Links, Bilder etc. auf HTTPS-Seiten verweisen, sollten unbedingt Redirects eingerichtet werden.
Formulare Jede Seite, auf der der Benutzer Informationen eingibt, sollte unbedingt über HTTPS gesichert sein. Insbesondere bei Passwortabfragen muss darauf geachtet werden.

 

Sie haben Fragen zur HTTPS Umstellung oder benötigen jemanden zur Umsetzung? Wir helfen gerne weiter!

Weitere Informationen unter folgenden Links: