Verschlüsselung und sichere Verbindungen sind mittlerweile wichtiger denn je. Als AnwenderIn erkennt man eine gesicherte Verbindung bei einem Webserver am https:// am Beginn einer Internet-Adresse im Web-Browser.
Der eigentliche Sinn und Zweck von https ist es, die Datenübertragung zwischen einer Webseite und dem Client (Browser) zu verschlüsseln, damit unterwegs niemand unbefugt mitlesen kann. ‚http‘ lässt sich mit einer Postkarte vergleichen: Auf dem Postweg kann sie jeder lesen. ‚https‘ entspricht in diesem Vergleich einem Kuvert: Ein Brief kann erst gelesen werden, wenn er – hoffentlich von dem/der EmpfängerIn – geöffnet wurde.
SSL-Zertifikate beim Webhosting sind allerdings ein recht komplexes Thema, und es gibt einiges zu bedenken.
Vorteile
- Wo ein tatsächliches Risiko besteht, dass übertragene Daten in falsche Hände fallen könnten, muss auf jeden Fall verschlüsselt werden: Onlinebanking und Kreditkartenclearing sind natürlich die heikelsten Bereiche. Webshops, Webmail etc. und alle Seiten, die Daten von Benutzer:innen abfragen – vor allem natürlich Passwörter – gehören ebenfalls verschlüsselt. Einfacher gesagt: Alles ,was der/die BriefträgerIn nicht lesen können sollte, muss in ein Kuvert.
- Besseres Image: Aufgebrochene Schlösser und gefährliche rote Rufezeichen, oder ein beruhigendes grün in der Adresszeile: Browserhersteller machen Stimmung für SSL. Auch wenn die Beweggründe dafür mitunter fragwürdig sind – https sieht deshalb besser aus, weckt Vertrauen und wirkt moderner.
- Auf Dauer unvermeidbar: Chrome (der marktführende Browser) hat bereits angekündigt, in Zukunft nur noch verschlüsselte Seiten zu unterstützen. Es ist also wahrscheinlich nur noch eine Frage der Zeit, bis es ohne nicht mehr geht.
- Einbindung in andere verschlüsselte Seiten: Eine ‚http-Seite‘ kann nicht in eine ‚https-Seite‘ eingebunden werden. Das würde zu einer ‚mixed content Warnung‘ (s.u.) führen. Relevant ist das unter anderem, wenn Sie Bilder von Ihrer Webseite z.B. auf Facebook verbreiten möchten: Ist Ihre eigene Seite verschlüsselt, bindet Facebook das Bild einfach ein; ist Ihre Seite aber unverschlüsselt, wird eine Kopie erstellt, deren Auflösung unter Umständen schlechter ist.
- Suchmaschinen: SSL könnte bei Suchmaschinen zu einer besseren Beurteilung der Seite führen.
Nachteile
- ‚Mixed content‘: Falls Teile der Seite über http geladen werden, gibt es hässliche Fehlermeldungen und Browser verweigern das Anzeigen der betreffenden Teile oder der gesamte Seite. Oft muss im CMS (Content Management System – wordpress, joomla, drupal und co. – einiges überholt werden, bevor die Implemtierung von SSL möglich ist.
- Veraltete Clients: Alte Geräte und Software verstehen nur noch Bahnhof und sind praktisch von der Seite ausgesperrt. Aus diesem Grund empfiehlt es sich – wo immer es möglich ist – beide Varianten anzubieten und SSL nicht zu erzwingen.
- Administrativer Mehraufwand und zusätzliche Fehlerquelle
- Falsches Sicherheitsgefühl: Vor Würmern und Viren schützt die Verschlüsselung nicht; Hackern wird nur eine von vielen Angriffsmöglichkeiten vermiest und auch gegen das Ausspionieren von Daten hilft sie wenig.
- die Verschlüsselung kostet zusätzliche Rechenzeit
Zertifikat-Sicherheit
Die Zertifikate und der dahinter liegende Verschlüsselungs-Standard müssen aktuell sein, laufend erneuert und von einer anerkannten Stelle gegengezeichnet werden. Ab und an sind Kompromisse zwischen Sicherheit und Kompatibilität unvermeidlich. SSL-Labs bietet übrigens eine sehr übersichtliche technische Beurteilung für verschlüsselte Webseiten an.
Wir beraten Sie gerne und unterstützen Sie bei der https-Implementierung!