Implementieren Sie SSL und HTTPS
Spätestens seitdem die ersten Onlinekäufe getätigt wurden, rückte das Thema Sicherheit im Internet in den Vordergrund. Niemand will, dass seine persönlichen Daten, einschließlich Adresse und Geburtsdatum, für jeden sichtbar sind. Erst recht gilt dies für so sensible Daten wie persönliche Identifikationsnummern sowie Konto- und Kreditkartennummern. Durch den rasant steigenden Onlinehandel wurden der Schutz dieser Daten und vor allem ihre sichere Übertragung vom Endgerät des Verbrauchers bis zum Server des Onlinehändlers zu einem wichtigen Wirtschaftsfaktor. Niemand ist mehr so blauäugig und gibt seine Kreditkartennummer auf einer ungesicherten Webseite ein. Ein weiterer Bereich, der höchste Sicherheit über das Internet erfordert, ist die Kommunikation zwischen Bürgern und Ämtern, Kranken- und Rentenkassen und anderen öffentlichen Stellen. Google geht aber inzwischen darüber hinaus und möchte höhere Sicherheitsstandards generell im Internet etablieren. Dies muss als vertrauensbildende Maßnahme gewertet werden, die letztlich auch die Nutzererfahrung positiv beeinflusst. Vertrauen ist die unabdingbare Basis für Onlinegeschäfte.Welche Verfahren stehen für die Sicherheit zur Verfügung?
Im Zusammenhang mit den Sicherheitsstandards im Internet tauchen regelmäßig die drei Kürzel SSL, TLS und HTTPS auf. Wofür stehen sie und was bedeuten sie?- SSL steht für “Secure Sockets Layer” und ist ein Übertragungsprotokoll, das die Daten verschlüsselt überträgt. Es wurde bereits 1994 von Netscape entwickelt und patentiert. Die letzte Version war 3.0, die aber inzwischen als unsicher überholt und von TSL abgelöst wurde. SSL gibt es nicht mehr, aber es lebt in TSL weiter.
- TSL steht für “Transport Layer Security” und ist der neue Name für SSL. Gelegentlich wird es auch als TLS/SSL bezeichnet, ist aber das Gleiche. Die Verantwortung für dieses Protokoll und seine Weiterentwicklung liegt nun bei der Internet Engineering Task Force (IETF). Die neueste veröffentlichte Version ist 1.3.
- HTTPS steht für “HyperText Transfer Protocol Secure” oder in anderen Worten HTTP, gesichert mit TSL/SSL.
Sicherung durch HTTPS
Ob eine Webseite durch HTTPS gesichert ist, lässt sich an dem Vorhängeschloss vor der URL im Suchfeld auf einen Blick erkennen. Die Sicherheit beim Surfen im Internet erfolgt durch das TSL Sicherheitsprotokoll auf drei Ebenen:- Verschlüsselung der übertragenen Daten – Daten können nicht ausgelesen werden und die Aktivitäten auf den Webseiten können nicht nachverfolgt werden.
- Integrität der Daten – die Daten sind vor absichtlichen oder zufälligen Veränderungen geschützt.
- Authentifizierung – sie stellt sicher, dass Sie sich nicht auf einer gefälschten Seite befinden.
Was sagt Google zu HTTPS?
Im August 2014 hat Google im Webmaster Central Blog verkündet, dass Sicherheit für Google selbst höchste Priorität hat und selbst mit gutem Beispiel vorangeht. Die Nutzer der Google-Suche, Gmail und Google Drive bekommen automatisch eine sichere Verbindung zu den Google Servern. Google will offensichtlich den HTTPS Standard im gesamten Internet durchsetzen und hat die Nutzung von HTTPS auf einer Webseite zum Rankingfaktor erklärt. Ziel ist, sowohl die Nutzer als auch die Webseiten selbst zu schützen. Der Druck wird seit diesem Jahr weiter erhöht, da Google in Kürze alle nicht gesicherten Webseiten im Chrome-Browser mit einem roten X markieren will, das wesentlich auffälliger ist, als das bisher verwendete leere Blattsymbol.Google’s Empfehlungen
- Sie sollten sich ein validiertes Zertifikat mit einem 2048-bit Schlüssel von einer der bekannten und vertrauenswürdigen Zertifizierungsstellen besorgen, die auch technische Unterstützung anbieten. Den größten Marktanteil weltweit hat Comodo, gefolgt von Symantec, GoDaddy, Global Sign, IdenTrust und einigen weiteren. Auch die Deutsche Telekom gehört zu den Anbietern.
- Stellen Sie sicher, dass Ihre User und die Suchmaschinen auf die HTTPS-Seite mit einem 301 HTTP Redirect geleitet werden.
- Benutzen Sie einen Webserver, der das HTTP Strikt Transport Security (HSTS) Protokoll unterstützt. Damit werden die Besucher automatisch auf die HTTPS-Seiten geleitet, selbst wenn sie nur HTTP eingegeben haben.
- Wenn Sie dieses HSTS Protokoll verwenden, stellen Sie absolut sicher, dass die HTTPS Seiten von den Suchmaschinen gecrawlt und indexiert werden können. Vermeiden Sie insbesondere Einschränkungen durch die robot.txt Datei und ‘noindex’ Meta Tags.
Zertifikate – Arten, Kosten und Installation
Die gängigsten Arten von Zertifikaten sind:- Einzel-Zertifikat für eine Webseite
- Multi-Domain-Zertifikat für mehrere Webseiten
- Wildcard Zertifikat für mehrere dynamische Unter-Domains