Der Trend geht zur komplett verschlüsselten Datenübertragung von Webseiten. Viele große Unternehmen, wie Microsoft, Atlassian, Jetbrains und viele weitere liefern schon jetzt nur noch per HTTPS aus. Mit Audite Musikproduktion stellte jetzt auch bei uns schon der zweite Kunde seine gesamte Webseite auf HTTPS um.

Früher war es üblich nur den Checkout-Prozess von Onlineshops per HTTPS zu verschlüsseln. Dieses Vorgehen birgt das Sicherheitsrisiko, dass die Browsersitzung über Session-Hijacking von einem Angreifer übernommen werden kann, bevor auf die verschlüsselte Übertragung gewechselt wird.

Eine Benutzersitzung zwischen Browser und HTTP-Server wird über eine Session-ID, also ein eindeutigen Identifier, der bei jedem Aufruf zwischen Server und Client als einfacher HTTP-Header übermittelt wird, realisiert. Nur anhand dieses Identifiers "erkennt" der Server den Client wieder. Bei nicht-verschlüsselter Übertragung können Angreifer diese Information auslesen und durch Senden des Identifiers dem Server unsere Identität vorgaukeln.

Ist die Session gekapert, kann der Angreifer in unserem Namen die Webseite aufrufen und dort Bestellungen tätigen, Finanztransaktionen durchführen, unsere persönlichen Daten einsehen, oder was auch immer.

Um dieses Problem zu verhindern, verlangt zum Beispiel Thuiswinkel Waareborg, das holländische Pendant zu Trusted Shops, die komplette HTTPS-Verschlüsselung der Website, also auch auf den normalen Produktseiten oder Kategorieseiten.

Google ist sehr engagiert in der Verbreitung von verschlüsseltem HTTP. Google hat mit SPDY (Sprich speedy) eine Protokollerweiterung entwickelt um bei dem, in der Entwicklung stecken gebliebenden HTTP/2 Protokoll Druck zu machen. Seit Mitte 2015 ist HTTP/2 verabschiedet, viele gute Eigenschaften von SPDY wurden von der IETF übernommen. Allerding nicht die Standardmäßige Verschlüsselung über TLS, und das, obwohl dies auch in den ursprünglichen Entwürfen von HTTP/2 so vorgesehen war. Böse Zungen behaupten, dass es da wohl doch noch einflussreiche Interessensgruppen gibt, die so was verhindern können.

Daraufhin haben jedoch die meisten Browserhersteller das HTTP/2 Protokoll so implementiert, dass darüber nur verschlüsselte Verbindung genutzt werden können. Entsprechend ist mal als Site- oder Serverbetreiber gezwungen eine TLS-Verschlüsselung anzubieten um das HTTP/2 Protokoll browserübergreifend anzubieten. Diese Entwicklung zeigt ganz eindeutig, dass es nur noch eine Frage der Zeit ist, bis es nur noch verschlüsselte HTTP-Verbindungen geben wird.

Mit Let's Encrypt wurde eine, gegenwärtig in der öffentliche Beta-Phase befindlichen Zertifizierungsstelle von gemeinnützigen Stellen geschaffen, welche die Aufgabe hat, durch kostenlose Zertifikate die Verbreitung von Verschlüsselung im Internet zu erhöhen. Hierdurch wird das Kostenargument gegen HTTPS entkräftet und auch für kleine Sitebetreiber die Nutzung von HTTPS zukünfig ermöglicht.

Bei Google selbst Google sind alle Services verschlüsselt. Um die Verbreitung auch in der Masse zu forcieren, werden Webseiten die verschlüsselt ausliefern, durch ein besseres Ranking belohnt.

Durch alle SSL-Zertifikate wird eine - je nach Verschlüsselungsstärke - stärker oder schwächer verschlüsselte Verbindung aufgebaut. Die SSL-Zertifikate werden durch Zertifizierungstellen (CA = Certification Authority) ausgegeben. Vor der technischen Bereitstellung der Zertifikate hat die Zertifizierungstelle den Antrag zu validieren. Die Validierung kann hierbei auf Domain- oder Unternehmen durchgeführt werden. Die Unterschiede werden im folgenden erklärt.

Domainvalidierung

Bei diesem Validierungstyp wird sichergestellt, das der Auftraggeber Inhaber der Domain ist. Für den Besucher stellt es sicher, dass sein Browser mit der gewünschten Domain verbunden ist. Das Zertfikat enthält entsprechend nur den Domainnamen. Diese Zertifikate sind sehr günstig und ideal einzusetzen, wenn Sie einen Service einfachst verschlüsselt bereistellen wollen oder Ihren Besuchern ihre Domain uns Ihr Unternehmen bekannt ist.

Inhaber bzw- Unternehmensvalidierung

Hierbei wird von der CA Ihre Identitiät oder die Ihres Unternehmens durch geeignete Verfahren sichergestellt. Hierzu sind Dokumente, wie Kopien von Personalausweis sowie Handelsregisterauszüge bereitzustellen. Das Vertrauensniveau ist höher als bei einer einfachen Domainvalidierung, da der Besucher in dem Zertifikat die Daten Ihres Unternehmens nachschlagen kann und so genau weiß mit wem er es zu tun hat, nicht nur, dass er verschlüsselt mit einem Server verbunden ist. Dieser Zertifikatstyp ist zum Beispiel gut für Onlineshops geeignet, die Ihren Kunden gegenüber Vertrauen durch das Offenlegen Ihrer Identität schaffen wollen.

Extended-Validation

Hierbei wird die Inhaberüberprüfung mit erweiterten Mechanismen durchgeführt. Die Richtlichen zur Überprüfung werden Organisationsübergreifen durch einen Zusammenschluss von Vergabestellen und Browserherstellern festgelegt und schlussendlich durch die Vergabestelle durch eine menschliche Prüfung umgesetz. Mit dem höheren Aufwand sind auch höhere Kosten verbunden. Allerdings wird bei diesem Zertifikatstyp schon durch die Einfärbug der Adresszeile und Nennung der Firma im Zertifikatsbereich dem Kunden eine hohe Vertrauenswürdigkeit visualisiert.

Nachteile

Allerdings gibt es auch Nachteile von verschlüsselten HTTP Verbindungen. Neben den für das Zertifikat entstehenden Kosten sind alle Inhalte auf Serverseite zu verschlüsseln und auf Clientseite wieder zu entschlüsseln. Dieses benötigt auf beiden Seiten Rechenressourcen die nicht zu vernachlässigen sind. Allerdings wird dieser Nachteil mit der Durchbringung von HTTP/2 zu vernachlässigen sein, da der Overhead durch neue Mechanismen zur Performancesteigerund kompensiert wird. Ein weiterer Nachteil ist, dass die oft in Firmennetzen vorkommenden Proxies mit Caching-Funktion und Content-Filter naturgemäß bei verschlüsselten Ende-zu-Ende Verbindung nicht funktionieren können. Aber auch dieser Nachteil verliert aber durch die immer performateren Anbindungen in der Zukunft an Relevanz.

Umstellung

Bei der Umsetllung von Webseiten von HTTP auf HTTPS gibt es einiges zu Beachten, damit alles reibungslos über die Bühne geht. Insbesondere im Punkto SEO ist auf korrekte Weiterleitungen von http auf https in der Umstellungsphase zu achten, damit das mit den URLs verknüpfte PageRank (Wichtigkeit einer Seite bei Google) nicht verloren geht. Auch technisch sind Vorbereitungen zu treffen die sicherstellen, dass alle eingebundenen Ressourcen auf HTTPS umgestellt werden. Unterlaufen dabei Fehler bekommen Ihre Besucher unschöne Warnmeldungen im Browser, die grade, wenn sie zu Sicherheitszertifikaten erscheinen.

Links

Umstellung auf Rechnungsversand per E-Mail

  • 12.02.2016
  • Arne Reith
Mail

Ab heute stellen wir unseren Rechnungsversand von bisher postalisch auf zukünftig per Email um. Von verschiedenen Kunden ist uns in der letzen Zeit schon mitgeteilt worden, dass dies von ihnen begrüßt werden würde. Wir hoffen, dass die digitalen...

Mehr...

HTTPS-Everywhere: Die Zukunft ist verschlüsselt

  • 22.01.2016
  • Arne Reith

Der Trend geht zur komplett verschlüsselten Datenübertragung von Webseiten. Viele große Unternehmen, wie Microsoft, Atlassian, Jetbrains und viele weitere liefern schon jetzt nur noch per HTTPS aus. Mit

Mehr...

Raubrittertum 2.0

  • 21.11.2015
Screenshot Index.html

Einer unserer Kunden hatte eine alte Version seines Internetshops aus Legacy-Zwecken am Netz. Die Magento 1.5 Installation lag in dem gleichen Webspace wie die aktuelle Liveinstallation, es gab in dem Shared-Hosting-Tarif des Hosters keine Möglichkeit die...

Mehr...

Manos Arriba!

  • 19.10.2015
  • Arne Reith
Manos Arriba

Manos Arriba ist eine junge Combo die Latino- und Flamenko-Musik spielen. Am wichtigsten war der Band ein prominent platzierten Player zu haben, mit dem die Besucher ein paar Tracks direkt anspielen konnten.

Mehr...