SSL-Zertifikat – die Browser machen ernst

Update am 22. Juni 2018 zu nachfolgendem Inhalt:
Die Google „HTTPS Everywhere“ Initiative geht bald in die nächste Runde. Wie schon früher bereits zu lesen war, hat sich Google auf die Fahnen geschrieben https Webseiten zu belohnen und Seiten ohne SSL abzustrafen. Als nächsten Schritt wird mit dem neuen Chrome Browser ab Juli 2018 jede Webseite ohne SSL deutlich als unsicher markiert. https://security.googleblog.com

https://3.bp.blogspot.com/-pcT-gkZb6OA/WnyBrJKufcI/AAAAAAAAAkM/Xojd1GDFbsgwc6ZhZnNjdOFKXeZ_JlMtACLcBGAs/s1600/Treatment%2Bof%2BHTTP%2BPages%25401x.png

Man darf davon ausgehen, dass andere Browser nachziehen werden.
<!– Ende Update –>

Mit einer E-Mail und dem Betreff “Chrome blendet unter http://www.deine-seite.de Sicherheitswarnungen ein” scheuchte Google in den letzten Wochen Webseitebbetreiber auf, die ihre Webseiten noch nicht mit einem Verschlüsselungsverfahren auf https:// umgestellt haben.

E-Mail von Google Search Console zur fehlenden TSL-Verschlüsselung

Warnmeldung im Firefox bei PasswortabfrageIn der Tat besteht Handlungsbedarf, und das nicht nur weil der Web-Browser Chrome ab Oktober 2017 ernst macht. Tatsächlich blendet Firefox schon seit einiger Zeit unter Formularfeldern mit Passwortabfrage einen Kasten mit einer Warnmeldung ein, wenn die Webseite unverschlüsselt ist. Zusätzlich erscheint in der Browseradresszeile ein durchgestrichenes Sperrschloss.

Diese Art Meldungen verunsichern natürlich Webseitenbesucher. Wahrscheinlich benutzen Sie dieses Formular gar nicht erst oder verlassen so eine Website gleich ganz – auf Nimmerwiedersehen.

Die Rechtslage zur Anwendung von Verschlüsselungsverfahren

Was mancher gar nicht weiß: Der Gesetzgeber hat bereits im Sommer 2015 mit Inkrafttreten des IT-Sicherheitsgesetzes eine entsprechende Regelung erlassen. Demnach sind Webseitenbetreiber, die Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz (TMG) sind, verpflichtet, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren. Das ergibt sich aus § 13 Abs. 7 TMG. Darin heißt es:

[…] (7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
[…]

Es müssen also alle geschäftsmäßigen Webseiten, über die persönliche Daten übertragen werden, ein Verschlüsselungsverfahren anwenden. Das betrifft nicht nur Seiten mit Kontaktformularen, sondern z.B. auch Shops ebenso wie Blogs oder Jobportale.

Googles Browser Chrome kündigt in seiner Info-Mail an, künftig alle HTTP-Webseiten  mit einer Nicht-Sicher-Warnung auszustatten. Somit sind nicht nur geschäftsmäßige Webseiten betroffen. Alle Webseitenbetreiber, auch Vereinsseiten und private Webseiten, sind angehalten auf https:// umzustellen. Das ausgerufene Ziel heißt klar: Macht das Internet sicherer!

Weshalb HTTP-Webseiten nicht sicher sind

HTTP heißt die Technik zur Übertragung von Daten zwischen Computern. HTTP ist die Abkürzung von Hypertext Transfer Protocol („Hypertext-Übertragungsprotokoll“) und ist Bestandteil einer URL wie z.B. http://www.netz-eule.de.
Standardmäßig erfolgt die Datenübertragung unter HTTP unverschlüsselt. Theoretisch und unter bestimmten Umständen können Angreifer das ausnutzen und z.B. den Datenverkehr abfangen, um so die Internetnutzung auszuspionieren und vom Anwender eingegebene Daten auszulesen. Möglich ist auch die Manipulation abgerufener Webseiten durch Schad-Software.

Abhilfe schafft das neuere und empfohlene HTTPS-Protokoll – Hypertext Transfer Protocol Secure („sicheres Hypertext-Übertragungsprotokoll“), mit dem sich die Verbindungen verschlüsselt herstellen lassen.

Umstellung auf HTTPS

Für die Umstellung auf HTTPS benötigen Sie ein sogenanntes SSL-Zertifikat für Ihre Domain, unter der die Webseite läuft.
Lange Zeit waren diese Verschlüsselungszertifikate recht teuer und wurden vor allem z.B. von Banken und großen Online Shops eingesetzt. Mit der Entwicklung zum Standard bieten die meisten Provider nun ein Zertifikat inklusive des Hostpaketes an oder stellen das kostenfreie Open Source Zertifikat Let’s Encrypt zur Verfügung. Daneben gibt es unterschiedlich kostenintensive SSL-Zertifikate von verschiedenen namhaften Anbietern, die zudem eine Schadensgarantie in einer bestimmten Höhe versprechen.
Ob eine Webseite sicher, also verschlüsselt über HTTPS aufgerufen wird, erkennen Sie am Schloss-Symbol in der Adresszeile des Browsers.

HTTPS in der Browser Adresszeile

Wenn Sie auf dieses Schloss klicken, erhalten Sie weitere Informationen zu Sicherheit, Identität und Zertifizierungsdienst dieser Webseite.

Sofern ein SSL-Zertifikat auf dem Server vorhanden ist, muss es für die gewünschte Domain aktiviert werden. Danach steht das verschlüsselte Übertragungsprotokoll meist in kurzer Zeit zur Verfügung. Nun kann die Webseite mit https://eine-domain.de aufgerufen werden. Daneben ist es aber immer noch möglich, die gleiche Webseite auch ohne Verschlüsselung über http://eine-domain.de aufzurufen. Um das zu vermeiden, hilft eine Serveranweisung, die in einer Konfigurationsdatei mit dem Namen .htaccess notiert wird und so aussehen kann:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Dieser Code erzwingt das Laden der Webseite über HTTPS, ohne dass dies explizit im Browser eingegeben werden muss.

Anschließend sollten alle Seiten einer Webseite auf die korrekte Verschlüsselung im Browser geprüft werden. Enthält eine Seite ein Element, das über eine unsichere Verbindung eingebunden ist, wird diese Seite selbst als unsicher eingestuft, auch wenn sie über https:// aufgerufen wird. Das Schloss-Symbol im Browser wird entsprechend gekennzeichnet oder ersetzt, wie auf folgender Abbildung.

Unsichere https-Verbindung

In diesem Fall muss der Quellcode der Webseite angepasst werden. Bei Websystemen wie z.B. WordPress helfen diverse Tools,  unsichere Elemente über die Datenbank aufzuspüren und die Pfade anzupassen. Abhängig von der Größe einer systembasierten Webseite und der eingesetzten Module können weitere manuelle Anpassungen notwendig sein.

SSL-Zertifikate bei Netz-Eule

Viele Kundendomains, die bei Netz-Eule hosten, wurden bereits auf HTTPS umgestellt. Meist kommt das Open Source Zertifikat Let’s Encrypt („Lasst uns verschlüsseln“) zur Anwendung, das ein kostenloses, eigenes, sicheres und validiertes SSL-Zertifikat darstellt.
Wem das nicht ausreicht, dem stehen weitere SSL-Angebote, z.B. erweitert validierte Zertifikate zur Verfügung. Die jährlichen Kosten betragen zwischen 70,00 und 250,00 €. Sprechen Sie uns an, wir beraten Sie gern.
Natürlich nehmen wir auch HTTPS-Umstellungen für Kunden-Webseiten vor, die bei anderen Providern hosten.

Diesen Blogbeitrag teilen:

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Mit Absenden Ihres Kommentars werden Ihre Einträge in unserer Datenbank gespeichert.Weitere Informationen finden Sie in unserer → Datenschutzerklärung.