mit bestem Dank an Almut Müller für die Mitarbeit
Benutzt man die neueste Version des Firefox-Browsers oder Google Chrome, so wird man derzeit – mehr oder weniger – von der Meldung „Diese Webseite ist nicht sicher“ in Kenntnis gesetzt. Besonders störend ist es, wenn man sich ins Backend von Contao einloggen möchte und vor lauter Meldungen und Warnungen die Stelle zum Eingeben der Benutzeranmeldedaten nicht mehr findet. Es ist an der Zeit, etwas für die Sicherheit der Webseite zu tun.
Was bedeutet „Die Webseite ist nicht sicher“ ?
Vielleicht haben Sie schon bemerkt, dass wenn Sie Ihre Webseite im Browser aufrufen, die Adresszeile mit HTTP beginnt. HTTP ist die Abkürzung für „Hypertext Transfer Protokoll„. Vereinfacht übersetzt heißt die Mitteilung an den Browser, dass für den Austausch von Daten die HTTP-Übertragungsmethode verwendet werden soll.
Das heißt, dass da auf der einen Seite der Server ist und auf der anderen Seite Leute wie Sie und ich, die im Internet unterwegs sind, um auf Webseiten zu lesen, etwas einzukaufen oder pdf Dateien runterladen.
Über die Angabe der URL in Form vom http://www.meine-domain.de ist es jedoch so, wie wenn Sie beim Bezahlvorgang an einer Kasse im Supermarkt allen Anwesenden lauthals mitteilen, wo Sie wohnen, wo genau Sie ihr Geld aufbewahren und mit welchen Daten Ihr Safe zu öffnen ist. Die HTTP-Methode kann nämlich von jedem, der Zugriff auf den Datentransfer hat oder sich diesen mit kriminellen Methoden verschafft, mitgelesen werden.
Wie kann man das verhindern?
Wenn Sie nicht möchten, dass andere mitbekommen, wo Sie Ihren Safe haben und wie dieser zu öffnen ist, müssen Sie entweder leiser sprechen oder in einer Sprache, die nur die Kassiererin und Sie verstehen. Genau diesen Zweck erfüllt eine weitere Übertragungsmethode, die man an dem Kürzel „HTTPS“ erkennt. HTTPS macht genau das Gleiche wie HTTP, das „s“ steht dabei für „secure“, also „Sicherheit“. HTTPS verschlüsselt die Kommunikation zwischen dem Server und dem Browser des Webseitenbesuchers, so dass nur diese beiden Gesprächspartner verstehen können, was der jeweils anderes sagt.
Woran erkenne ich eine sichere Seite?
Als erstes erkennen Sie eine Webseite, deren Kommunikation verschlüsselt ist, daran, dass die URL mit HTTPS beginnt. Des Weiteren zeigen die Browser mit einem grünen Schloss-Symbol an, dass der Datenaustausch mit dieser Seite verschlüsselt ist.
Bisher war die Verschlüsselung, nur für Webseiten ein Muss, die sensible Daten abfragen, wie z.B. die Webseiten von online-shops, Banken und Versicherungen. Mit einer wenig bekannten Änderung des Telemediengesetzes aus dem Jahr 2015 wurde jedoch Paragraph 13 neu aufgenommen. Aus diesem geht hervor, dass die Pflicht zur Verschlüsselung im Prinzip jede Webseite betrifft, die z.B. über ein einfaches Kontaktformular personenbezogene Daten erhebt. (Quelle)
Noch lässt der neue Paragraph viele Fragen offen, es ist aber sicher nur eine Frage der Zeit, bis Bußgeldbescheide auch an gewöhnliche Firmenwebseiten erlassen werden.
Über die neue Sachlage hinaus, gibt es aber noch einen weiteren Grund warum Sie auf HTTPS umstellen sollten. Wie bereits eingangs erwähnt, machen sich die Browser Chrome und Firefox ziemlich penetrant bemerkbar, wenn die Seite nicht verschlüsselt ist. Es erscheint dann eine Warnmeldung bei jedem Eingabeformular mit dem Inhalt „Diese Verbindung ist nicht sicher„, was die Besucher Ihrer Webseite schlichtweg verunsichert und einen schlechten Eindruck hinterlässt.
Was kann ohne https und SSL passieren?
Sicherlich haben Sie schon einmal von „Phishing“ gehört oder gelesen. Wann immer Sie selber z.B. in einem Shop oder Ihrem Onlinebanking unterwegs sind, sollten Sie darauf achten, ob Sie auch wirklich auf der richtigen Webseite sind. Kriminelle Zeitgenossen können nämlich durchaus Ihre Interaktionen mit der Webseite abbiegen und Sie auf eine Seite umleiten, die zwar so aussieht wie die Seite, die Sie erwarten, tatsächlich aber eine andere ist. Wenn Sie nicht aufmerksam die Adresszeile Ihres Browsers beobachten, werden Sie kaum etwas davon bemerken. Geben Sie auf einer solchen Seite Ihre persönlichen Daten wie z.B. Ihre Kreditkartennummer ein, haben die Diebe alles was Sie brauchen, um Ihr Konto zu plündern.
Sicherheit durch SSL-Zertifikate
Durch die Verschlüsselung mit HTTPS wird sicheres Surfen auf einer Webseite möglich. Um verunsichernde, und zudem lästige, Warnmeldungen zu vermeiden und um anzuzeigen, dass die Verbindung sicher ist, ist ein SSL-Zertifikat notwendig, welches die Echtheit der jeweiligen Website beweist.
Was bedeutet SSL und was ist ein Zertifikat?
SSL ist die Abkürzung von Secure Sockets Layer und die Vorgängerversion von TLS, Transport Layer Security. SSL bzw. TLS wird immer dann benutzt, wenn eine Webseite via HTTPS aufgerufen wird.
Wird zum Austausch von Daten eine SSL-Verbindung genutzt, werden diese Daten nur dann zugestellt, wenn sich der Empfänger (Domaininhaber) rechtmäßig als derjenige ausweist, der diese Nachrichten empfangen darf.
Damit er sich bzw. die Domain als rechtmäßiger Eigentümer ausweisen kann, braucht er einen Nachweis. Dieser Nachweis wird in Form eines Zertifikates ausgestellt und auf dem Server abgelegt. Das Ganze ist mit dem Vorzeigen des Personalausweises vergleichbar. Jedes Mal, wenn ein Besucher eine Webseite mit HTTPS aufruft, legt diese Seite ihren Personalausweis (Zertifikat) vor, um zu beweisen, dass es sich tatsächlich um die gewünschte Seite handelt. Es kann angeklickt und gelesen werden.
SSL-Zertifikate müssen erworben werden
Ein Zertifikat kann man nur von einer offiziellen Vergabestelle (CA) bekommen. Nur diese Vergabestelle stellt sicher, dass das Zertifikat echt ist. Dazu werden die Angaben zum Eigentümer manuell überprüft, was in der Folge erklärt, warum Zertifikate Geld kosten.
Welche Arten von Zertifikaten gibt es?
- DV-Zertifikate sind Zertifikate mit Domain-Validierung. Hier wird lediglich überprüft, ob der Antragsteller im Besitz der Domain ist, für die er ein Zertifikat erwerben möchte.
- OV-Zertifikate sind Zertifikate mit Inhaber-Validierung. Das Heißt, dass hier – zusätzlich zur Domain – auch der Besitzer der Domain, egal ob eine natürliche oder juristische Person, überprüft wird. Weil der Überprüfungsprozess für ein OV-Zertifikat sehr viel aufwändiger ist, ist es auch sehr viel teuerer, bietet jedoch auch ein höhreres Maß an Sicherheit.
- EV-Zertifikate sind Zertifikate der höchsten Sicherheitsstufe. Weil der Authentifizierungsprozess bei einem EV-Zertifikat streng und aufwändig ist, entstehen hier die höchsten Kosten. EV-Zertifikate werden auf Webseiten verwendet, bei denen höchst sensible Daten wie z.B. Kreditkarteninformationen ausgetauscht werden.
Was kosten Zertifikate?
Bisher konnten Zertifikate, die manuell überprüft werden, nur kostenpflichtig erworben werden. Die Kosten reichen, je nach Art des Zertifikats, von 99,00€ pro Jahr ! bishin zu
mehreren Hundert Euro. http://all-inkl.com/webhosting/zusatzdienste/
Für einen Webshop mag das aus gutem Grund gerechtfertigt sein, wenn man jedoch an „normale“ Firmenwebseiten denkt, sind die Kosten ganz sicher ein Hauptgrund, warum bisher so wenige Seiten gültige Zertifikate aufweisen.
Die (fast) kostenfreie Lösung mit let’s encrypt
Nicht jeder darf gültige Zertifikate ausstellen, das ist nur einer offiziell bestätigten Zertifizierungsstelle (CA „certificate authority) erlaubt. „Let’s encrypt“ ist eine solche Authority (CA) und stellt, zum Wohle der Allgemeinheit, Zertifikate voll automatisiert und kostenlos aus.
Seit 2016 ist auf den Servern von jukemedia.de eine Software installiert, mit der meine Kunden Ihre Domain auf https in Verbindung mit einem DV-Zertifikat via Let’s encrypt umstellen lassen können. Danach ist Ihre Webseite unter HTTPS erreichbar. Wann immer ein Webseitenbesucher ein Formular ausfüllt und Ihnen Daten übersendet, können Sie ihm beruhigend mitteilen, dass die Datenübertragung verschlüsselt ist.
Noch ein Grund zum Umsteigen
Das Web sicherer zu machen, ist auch ein Ziel von Google und liegt ganz sicher in deren ureigensten Interesse. Deshalb wurde schon 2014 die Erreichbarkeit einer Webseite mit HTTPS als Ranking-Faktor eingeführt. Das Ergebnis der Ranking-Faktoren-Studie von Searchmetrics zeigt, dass der Faktor https in seiner Bedeutung gestiegen ist.
Machen Sie Ihre Webseite sicher!
Sollten nach der Lektüre dieses Artikels Ihre Webseite auf HTTPS umstellen wollen, dann wenden Sie sich an Ihren Webdesigner und besprechen Sie das Thema mit ihm. Nicht auf allen, aber bei vielen Webhostern, ist die SSL-Verschlüsselung inkl. Zertifizierung mit let’s encrypt problemlos möglich.
Kunden von jukemedia.de können mich direkt anrufen bzw. werden ohnehin noch per Mail benachrichtigt.
Sehr guter und infornmativer Artikel zum thema SSL.
Leider fehlt nur der Hinweis, dass man bei „let’s encrypt“ alle 3 Monate neu zertifizieren muss. Das wiederum ist ein KO Kriterium, wer hat dazu schon die Zeit?
G.H. Wener
Hallo Frau oder Herr Wener, gut dass Sie das ansprechen. In der Tat ist es so, dass sich die Zertifikate seitens let’s encrypt nicht automatisch verlängern. Von Seiten des Webhosters kann jedoch über spezielle Einrichtungen die Erneuerung automatisch in Gang gesetzt werden. Auf meinem managed Server von all-inkl.com geschieht dies immer 30 Tage vor Ablauf. Es empfiehlt sich also, bei dem jeweiligen Webhoster mal nachzufragen.