Was ist HTTPS und SSL?

Basis-Wissen – #9 Was ist HTTPS und SSL?

In letzter Zeit stellen immer mehr Websites auf HTTPS um. Warum ist das so? Was ist HTTPS und was hat es mit SSL zu tun? Was bringt HTTPS und warum sollte ich mich damit beschäftigen?

Was HTTPS ist, ist im Grunde schnell geklärt. Bei HTTPS handelt es sich um die verschlüsselte Varainte von HTTP, das „S“ am Ende steht für „Secure“. HTTP ist das Protokoll (Hypertext Transfer Protocol), das der Kommunikation zwischen Browser und Webserver dient – quasi die Sprache, in der sich die beiden unterhalten.

Die Adressen von Websites, die unverschlüsselt übertragen werden, beginnen deshalb immer mit „http://“ – nur zeigen Browser das in der Regel nicht an und man muss es beim manuellen Eintippen einer Adresse auch nicht mit angeben, da es vom Browser automatisch ergänzt wird. Die Adressen von Websites, die verschlüsselt übertragen werden, beginnen analog dazu immer mit „https://“.

Warum sollte die Verbindung zwischen Browser und Webserver verschlüsselt werden?

Im Internet werden die Daten zwischen Browser und Webserver – und umgekehrt – nicht direkt von A nach B übertragen, sondern meist über mehrere Zwischenschritte. Es besteht die Möglichkeit, dass Hacker übertragene Daten an einem dieser Zwischenschritte abfangen.

Bei einer unverschlüsselten Übertragung können so abgefangene Daten von jedem gelesen werden. Das mag sich im ersten Moment nicht schlimm anhören. Aber dabei muss bedacht werden, dass die Kommunikation in beide Richtungen unverschlüsselt ist. Wenn man in einem Webshop etwas bestellt und sämtliche Kreditkartendaten im Klartext für jeden lesbar übertragen werden, dann birgt das durchaus große Gefahren.

Webshops setzen daher schon lange auf HTTPS und man sollte niemals persönliche Daten auf einer Website angeben, die keine Verschlüsselung verwendet.

Woher weiß ich ob eine Website HTTPS verwendet oder nicht?

Alle gängigen Browser informieren darüber, ob eine Website HTTP oder HTTPS verwendet. In der Regel wird bei verschlüsselten Websites ein Schloss-Symbol angezeigt.

Die Kennzeichnung einer mit HTTPS verschlüsselten Website im Google Chrome

Der Screenshot zeigt die Darstellung im Google Chrome (Version 70, auf einem Windows-PC).

Googles Chrome-Browser geht mittlerweile sogar noch einen Schritt weiter, indem Websites ohne Verschlüsselung mit dem Text „Nicht sicher“ gekennzeichnet werden.

Die Kennzeichnung einer Website ohne Verschlüsselung im Google Chrome

Google ist damit ein Vorreiter in dem Bestreben, das Web sicherer zu machen. Dieses Ziel wird von Google bereits seit dem Jahr 2014 intensiv verfolgt. Dass Google dieses Ziel nicht ganz uneigennützig verfolgt, spielt dabei keine Rolle – dazu später mehr. Dass die Zahl von Websites, die auf HTTPS setzen, in den letzten paar Jahren explosionsartig angestiegen ist, ist zu einem sehr großen Teil Googles Initiative zu verdanken. Das Web ist dadurch tatsächlich sicherer geworden.

Künftige Versionen des Google-Browsers werden noch auffälliger vor unverschlüsselten Verbindungen warnen um Webmaster zum Einsatz von HTTPS zu bewegen. Irgendwann in der Zukunft – so Googles Plan – soll HTTPS der Standard sein und Websites, die noch immer auf HTTP setzen die Ausnahme – „HTTPS überall“ nennt #google diese Strategie.

Was hat HTTPS mit SSL zu tun?

SSL (Secure Sockets Layer) – bzw. dessen neuere Variante TLS (Transport Layer Security) – ist die Verschlüsselungstechnik, die von HTTPS verwendet wird.

Frühere Versionen dieser Technik hatten den Namen „SSL“, bereits seit 1999 wird die Technik unter dem Namen „TLS“ weiterentwickelt. Nach wie vor ist jedoch die alte Bezeichnung „SSL“ allgemein in Verwendung. Teilweise wird auch die Bezeichnung „SSL/TLS“ verwendet.

Korrekterweise handelt es sich bei „SSL“ um die veralteten Versionen, die heute nicht mehr unterstützt werden. Die aktuellen Versionen werden als „TLS“ bezeichnet. In der Regel ist daher heute eigentlich „TLS“ gemeint, wenn von „SSL“ gesprochen wird. 

Beide Begriffe beschreiben im Prinzip die selbe Technik und ich verwende hier auch wie allgemein üblich die Bezeichnung „SSL“.

Was ist ein SSL-Zertifikat?

Für eine per SSL verschlüsselte Verbindung wird ein digitale Zertifikat benötigt. Wenn ein Browser eine Verbindung zum eine Webserver aufbaut, dann authentifiziert sich der Server mit diesem Zertifikat. Der Browser überprüft die Gültigkeit des Zertifikats.

Erst wenn der Browser die Gültigkeit des Zertifikats verifiziert hat, wird über ein kryptographisches Verfahren die eigentliche Verschlüsselung der Verbindung initiiert. Ein Zertifikat ist zur Verschlüsselung also zwingend nötig.

Bei der Verifizierung des Zertifikats wird überprüft ob das Zertifikat weder abgelaufen ist noch widerrufen wurde und ob die aufgerufene Domain mit dem Domainnamen im Zertifikat übereinstimmt.

Ein weiteres Kriterium, das überprüft wird, ist die Vertrauenswürdigkeit des Ausstellers. Ein Zertifikat muss von einer Zertifizierungsstelle ausgestellt werden. Entweder gilt diese Zertifizierungsstelle selbst als vertrauenswürdig oder sie wurde durch eine als vertrauenswürdig eingestufte Zertifizierungsstelle zertifiziert. Auch mehr als zweistufige Zertifizierungen sind möglich.

Welche Zertifikate bzw. Zertifizierungsstellen als vertrauenswürdig gelten, kann im Browser festgelegt werden. Sämtliche Browser haben solche Root- bzw. Stamm-Zertifikate bereits vorinstalliert. Welche Zertifikate vorinstalliert sind und somit als vertrauenswürdig eingestuft werden, kann sich aber je nach Browser bzw. je nach verwendeter Version unterscheiden.

Es ist daher darauf zu achten, für die eigene Website ein Zertifikat zu verwenden, das von möglichst vielen Browsern standardmäßig als vertrauenswürdig eingestuft wird. Andernfalls würde der Browser eine Warnung anzeigen, dass das Zertifikat nicht vertrauenswürdig ist und die Seite nicht anzeigen. Damit würde man potenzielle Besucher verlieren.

Wie komme ich zu einem SSL-Zertifkat?

Um ein SSL-Zertifikat zu erhalten, muss eine Zertifikatsanforderung – CSR (Certificate Signing Request) genannt – an die Zertifizierungsstelle gesendet werden, von der man das Zertifikat ausgestellt bekommen möchte.

Die Zertifizierungsstelle prüft die Anforderung und stellt das Zertifikat aus. Das Zertifikat muss danach am Webserver installiert werden.

Wenn man nicht gerade selbst einen eigenen Server betreibt, muss man sich um die Technik in der Regel nicht selbst kümmern. Sämtliche Webhoster stellen dafür komplett automatisierte Abläufe zur Verfügung.

Mit wenigen Klicks wird eine Zertifikatsanforderung erzeugt und an eine Zertifizierungsstelle gesendet. Nach erfolgreicher Ausstellung des Zertifikats wird dieses automatisiert empfangen und installiert.

Welche unterschiedlichen Zertifikate gibt es und was kosten diese?

Die Kosten unterscheiden sich je nach Anbieter. Grundsätzlich lassen sich die Zertifikate nach Gültigkeit und nach Grad der Authentifizierung einteilen.

Bei der Gültigkeit unterscheidet man zwischen Zertifikaten, die nur genau für eine Domain gelten (am günstigsten), sogenannten Wildcard-Zertifikaten, die für alle Subdomains einer Domain gelten, und Server-Zertifikaten, die für einen Server gelten (am teuersten).

Daneben werden SSL-Zertifikate auch nach dem Grad der Authentifizierung unterschieden – was sich ebenfalls auf den Preis auswirkt.

Bei der günstigsten Variante (DV für „Domain Validated“) wird lediglich überprüft, ob sich der Antragsteller im Besitz der Domain befindet. Die Identität des Antragstellers wird nicht überprüft. Dieser Prozess ist in der Regel voll automatisiert, die Ausstellung eines solchen Zertifikats dauert wenige Minuten.

Darüber hinaus gibt es auch noch die Möglichkeit, die Identität des Antragstellers durch die Zertifizierungsstelle überprüfen zu lassen. Dazu müssen Dokumente eingereicht und überprüft werden. Dies ist nicht vollständig automatisiert möglich. Die Ausstellung solcher Zertifikate (OV für „Organization Validated“ ) dauert einige Tage und kostet natürlich auch mehr.

Durch einen solchen Zertifizierungsprozess ist sichergestellt, dass es sich bei dem Antragsteller auch tatsächlich um die jeweilige Person oder das jeweilige Unternehmen handelt. Die Identität des Antragstellers ist Teil des Zertifikats.

Der Screenshot zeigt die Details des Zertifikats für google.at. Der Antragsteller ist im Zertifikat vermerkt.

Die Verwendung eines OV-Zertifikats bedeutet nicht, dass die Verschlüsselung sicherer ist als bei einem DV-Zertifikat. Der Vorteil besteht darin, dass man sich darauf verlassen kann, dass die Identität des Antragstellers überprüft worden ist. Dies schafft zusätzliche Vertrauenswürdigkeit – sofern man sich die Mühe macht, sich die Zertifikats-Details anzusehen.

Noch einen Schritt weiter gehen Zertifikate mit erweiterter Überprüfung (EV für „Extended Validation“). Deren Ausgabe ist an strengere Vergabekriterien gebunden und sie sind natürlich nochmals teurer.

EV-Zertifikat von thawte.com im Google Chrome

Bei EV-Zertifikaten wird der Zertifikatsinhaber direkt in der Adressleiste des Browser angezeigt. Im Screenshot das Zertifikat von thawte.com, angezeigt in Google Chrome.

Damit soll größtmögliche Vertrauenswürdigkeit signalisiert werden. Insbesondere Phishing soll dadurch erschwert werden. Wer beispielsweise daran gewöhnt ist, dass bei der Verwendung von Online Banking der Name der Bank in der Adressleiste angezeigt wird, dem soll sofort auffallen wenn er auf eine gefälschte Seite umgeleitet wird, bei der diese Angabe fehlt.

Nach meinem persönlichen Empfinden hat die Verwendung von EV-Zertifikaten in letzter Zeit abgenommen. Meine Theorie dazu ist, dass das mit der zunehmenden Nutzung mobiler Geräte zusammenhängt, bei denen aufgrund der geringeren Display-Größe diese Information ohnehin nicht angezeigt wird.

Amazon verzichtet auf EV-Zertifikat

Selbst Webshop-Gigant Amazon verzichtet auf den Einsatz eines EV-Zertifikats.

Was ist Let’s Encrypt?

Bei Let’s Encrypt handelt es sich um eine Zertifizierungsstelle, die ausschließlich durch Sponsoren finanziert wird. Die Initiative verfolg vor allem zwei Ziele.

Einerseits bietet Let’s Encrypt kostenlose Zertifikate an. Dadurch soll die Verwendung von verschlüsselten Verbindungen gefördert und zum Standard werden.

Andererseits wurde ein automatisierter Prozess für die Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten etabliert. Der gesamte Prozess zur Einrichtung eines neuen Zertifikats dauert bei Verwendung von Let’s Encrypt weniger als eine Minute. Manuelle Eingriffe sind nicht erforderlich. Aus diesem Grund werden natürlich ausschließlich DV-Zertifikate angeboten.

Mittlerweile bieten die meisten Hoster kostenlose Zertifikate von Let’s Encrypt an und auch sämtliche aktuelle Browser unterstützen Let’s Encrypt bereits. Wer nicht aus Gründen der Vertrauenswürdigkeit – Webshops, Banken, Behörden – ein OV- oder EV-Zertifikat verwenden möchte oder muss, der braucht heute für ein SSL-Zertifikat kein Geld mehr auszugeben. Die Verwendung eines Let’s Encrypt Zertifikats hat keine Nachteile.

Warum sollte ich meine Website auf HTTPS umstellen?

Auch wenn Du der Meinung bist, dass für Deine Website eine Umstellung auf HTTPS nicht nötig ist, solltest Du es dennoch tun. Selbst wenn Du keinen Webshop betreibst, bringt die Verwendung einer verschlüsselten Verbindung Vorteile für Deine Website.

1. Datenschutz

Als erstes ist anzuführen, dass die Umstellung Deiner Website auf HTTPS wahrscheinlich sogar gesetzlich zwingend erforderlich ist – auch wenn Du dir dessen bisher nicht bewusst warst. Gibt es auf Deiner Website ein Kontaktformular, über das Dir Besucher eine Nachricht zusenden können? Wenn dem so ist, dann muss man dort mit Sicherheit zumindest seine Mailadresse angeben, vielleicht auch seinen Namen.

Dabei handelt es sich um sogenannte personenbezogene Daten. Seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 ist für alle Websites, die personenbezogene Daten verarbeiten,
eine Verschlüsselung der Verbindung verpflichtend vorgeschrieben.

Wenn Du auf Deiner Website ein Kontaktformular eingebunden und diese noch nicht auf HTTPS umgestellt hast, dann verstößt Du damit gegen geltendes Recht. Das kann im Fall einer Klage richtig teuer werden. Wenn dem so ist, dann besteht dringender Handlungsbedarf.

2. Vertrauenswürdigkeit

Ein weiterer Vorteil liegt in der Vertrauenswürdigkeit Deiner Website. Das Sicherheitsbewusstsein im Web nimmt zu. Es ist davon auszugehen, dass Besucher mehr und mehr damit beginnen werden, unverschlüsselte Websites zu meiden. Spätestens dann, wenn die Browser-Hersteller damit beginnen, eine Warnung einzublenden, wenn eine Website nicht per SSL verschlüsselt ist, wirst Du Besucher verlieren.

Der Einsatz von HTTPS bringt hier gleich doppelt etwas. Einerseits bringt es Deiner Website Besucher, die Du ohne HTTPS mittelfristig verlieren würdest. Andererseits misst auch Google, wie lange Besucher auf einer Website bleiben. Verlassen Besucher Deine Website aufgrund der fehlenden Verschlüsselung sofort wieder, wertet Google das als negatives Signal und stuft Deine Website im Ranking ab.

3. Browser-Warnungen

Wie bereits angeführt spielen auch die Browser-Hersteller eine große Rolle. Googles Chrome-Browser kennzeichnet unverschlüsselte Seiten bereits jetzt mit dem Hinweis „Nicht sicher“ und Google hat angekündigt, in künftigen Versionen noch eindringlicher vor nicht sicheren Seiten zu warnen. Andere Browser werden wahrscheinlich diesem Beispiel folgen.

Eine Umstellung Deiner Website auf HTTPS bewahrt Dich damit davor, dass Browser künftig vermehrt und eindringlicher Warnungen vor dem Besuch Deiner Website anzeigen und so potenzielle Besucher abschrecken.

4. Geschwindigkeit

Tatsächlich hat die Umstellung einer Website auf HTTPS auch Vorteile in Bezug auf die Ladezeit. Der Grund dafür liegt in der Verwendung der seit dem Jahr 2015 verfügbaren Version 2 des HTTP-Protokolls (HTTP/2). 

Die Verwendung von HTTP/2 bringt Vorteile in der Geschwindigkeit der Datenübertragung im Vergleich zu HTTP/1.0 bzw. HTTP/1.1. Alle halbwegs aktuellen Browser unterstützen HTTP/2 und mittlerweile sollten auch alle Hoster diese Version auf ihren Webservern installiert haben.

Der ursprüngliche Plan, dass HTTP/2 von sich aus nur verschlüsselte Verbindungen unterstützt, wurde zwar aufgegeben und der Standard sieht keine zwingende Verschlüsselung vor, aber praktisch alle Browser-Hersteller haben sich dazu entschieden, HTTP/2 ausschließlich für verschlüsselte Verbindungen zu unterstützen.

Wenn sowohl Server als auch Browser HTTP/2 unterstützen und die Verbindung per SSL verschlüsselt ist, dann wird automatisch HTTP/2 für die Kommunikation zwischen Browser und Webserver verwendet. Ohne HTTPS-Verschlüsselung wird eine ältere – langsamere – HTTP-Version verwendet, selbst wenn sowohl Server als auch Browser eigentlich HTTP/2 unterstützen würden.

Es gibt Ausnahmen, aber in der Regel lädt eine Website nach Umstellung auf HTTPS schneller, ohne dass man dafür sonst etwas tun müsste. Auch hier gibt es einen doppelten Nutzen. Besucher mögen schnelle Seiten. Je langsamer eine Seite lädt, desto mehr Besucher verlassen die Seite noch bevor sie überhaupt vollständig geladen ist. Je schneller eine Seite lädt, umso geringer ist das Risiko, Besucher aufgrund der Ladezeit zu verlieren.

Und auch Google mag schnelle Seiten. Tatsächlich ist die Ladegeschwindigkeit einer der vielen Faktoren, die für das Ranking einer Seite in der Google Suche herangezogen werden. Google simuliert dazu die Ladezeit über ein mobiles Netz, um einen realistischen Wert bei mobiler Nutzung zu ermitteln. Seiten, die in diesem Test sehr langsam laden, werden im Index abgewertet. Eine schnelle #ladezeit wirkt sich zumindest derzeit nicht positiv auf das Ranking aus, eine sehr langsame Ladezeit wirkt sich jedoch negativ aus.

Damit komme ich ganz kurz noch auf den bereits erwähnten Aspekt zurück, dass Google bei der Forcierung von HTTPS nicht ganz uneigennützig agiert. Man muss sich vorstellen, dass Google jeden Tag unzählige Millionen von Webseiten analysiert. Wenn jede einzelne davon durch die Nutzung von HTTPS nur einige wenige Millisekunden schneller geladen werden kann, dann kann sich jeder leicht ausmalen, welche enormen Vorteile sich daraus in der Masse für den Suchmaschinen-Riesen ergeben.

5. Google liebt HTTPS

Bereits aus den vorher genannten Punkten ergeben sich durch die Nutzung von HTTPS indirekt Vorteile, die sich auf das Google-Ranking positiv auswirken. Neben diesen indirekten Vorteilen gibt es aber auch noch einen direkten Vorteil.

Bereits seit August 2014 ist HTTPS ein eigener Ranking-Faktor, der sich direkt auf die Positionierung einer Seite in den Suchergebnissen auswirkt. Dieser Faktor wirkt sich derzeit zwar nur sehr gering auf das Ranking aus, aber im Zusammenspiel mit den indirekten Faktoren einer geringeren Absprungrate und einer schnelleren Ladezeit kann sich durchaus ein positiver Effekt ergeben.

Auch wenn dieser Effekt derzeit noch so gering ausfallen sollte – einfacher als durch die Aktivierung von HTTPS kann man bei Google kaum Pluspunkte sammeln. Und man kann wohl davon ausgehen, dass Google in seinem Bestreben, die Verbreitung von HTTPS weiter voranzutreiben, diesen Faktor künftig im Ranking stärker gewichten wird.

Wie kann ich WordPress auf HTTPS umstellen?

Eine bestehende WordPress-Website auf HTTPS umzustellen ist an sich keine große Sache. Im Prinzip müssen nur die URLs in den Einstellungen geändert werden.

Leider ist es damit aber nicht ganz erledigt. Fügt man zum Beispiel in einen Artikel ein Bild ein, dann speichert WordPress die URL zu diesem Bild vollständig – also mit „http://“ – ab. Vor der Umstellung auf HTTPS gespeicherte URLs verweisen also nach wie vor auf unverschlüsselte Inhalte.

Die Vorteile von HTTPS werden damit nur teilweise genutzt. Außerdem führt das zu sogenanntem „Mixed Content“, was bedeutet, dass in einer per HTTPS aufgerufenen Webseite Inhalte eingebunden sind, die über eine unverschlüsselte HTTP-Verbindung aufgerufen werden.

Meines Wissens nach unterscheiden alle aktuellen Browser zwischen aktiven und passiven Inhalten. Passive Inhalte wie beispielsweise Bilder werden trotz unverschlüsselter Verbindung geladen und angezeigt. Aktive Inhalte wie beispielsweise Scripts hingegen werden vom Browser geblockt und nicht geladen. Eine Seite mit Mixed Content wird daher möglicherweise nicht korrekt dargestellt oder lässt sich nicht bedienen.

Auf das Google-Ranking hat Mixed Content keinen Einfluss. Zumindest derzeit. Da jedoch davon ausgegangen werden kann, dass sich dies künftig irgendwann einmal negativ auf das Ranking auswirken wird, sollte das unbedingt gleich im Zuge der Umstellung bereinigt werden.

Wie man bei der Umstellung einer WordPress-Website auf HTTPS vorgeht wird deshalb in einem eigenen Artikel genau beschrieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Erhalte eine Info über neue Artikel per Mail

Affiliatelinks

Bei Links, die mit einem  gekennzeichnet sind, handelt es sich um sogenannte Affiliate- oder Provisions-Links. Wenn du auf so einen Link klickst und über diesen Link einkaufst, dann erhalte ich für Deinen Einkauf eine Provision vom jeweiligen Anbieter. Für dich verändert sich der Preis dadurch selbstverständlich nicht. Diese Links tragen dazu bei, einen Teil der Kosten, die mit dem Betrieb dieser Website verbunden sind, zu decken.