1. Start
  2. Blog
  3. Sicherheit von Webanwendungen
  4. HTTPS auf dem Vormarsch - Warum 2017 jeder seine Seite auf HTTPS umstellen muss

HTTPS auf dem Vormarsch - Warum 2017 jeder seine Seite auf HTTPS umstellen muss

Wenn man aktuell mit Betreibern von größeren Web­seiten redet, kommt man um das Thema HTTPS nicht herum. HTTPS ist die ver­schlüs­selte Variante (das S steht für „secure“) des Hyper­text Trans­fer Proto­kolls (HTTP). Dies ist das Proto­koll, mit dem im World Wide Web (WWW) kom­muni­ziert wird und Web­seiten zu Brow­sern über­tragen werden.

Warum ist HTTPS nicht längst Standard?

Als Tim Berners-Lee und andere HTTP am euro­päischen Kern­forschungs­zentrum CERN im Jahr 1989 entwickelten, konnten sie sich die heutigen Aus­maße des Inter­nets kaum vorstellen. Dem­nach war es auch noch nicht not­wendig die Kom­muni­kation zwischen Servern und Clients (Browsern) zu ver­schlüs­seln. Die ver­schlüs­selte Vari­ante des Proto­kolls kam erst später hinzu. Browser gehen aber auch heute noch standar­dmäßig von un­ver­schlüs­selten Ver­bindungen aus und ergän­zen, wenn man eine URL ohne die Angabe des Proto­kolls eingibt, im Normall­fall ein „http://“ vor der Adresse. Dass dies in Zeiten wachs­ender Internet­kriminalität und staat­licher Über­achung nicht mehr zeit­gemäß ist, liegt auf der Hand. Jeder der einmal bei einer Live Hacking-Demon­stration von aramido gesehen hat, wie einfach ein Hacker sich als Man in the Middle unbe­merkt in die Browser­kom­muni­kation ein­klinken kann, um Inhalte mit­zu­lesen und zu mani­pulieren, wird ver­stehen, warum HTTPS eine sinn­volle Sache ist. Google, mit Chrome der Markt­führer auf dem Browser­markt, hat nun einen wichtigen Schritt für 2017 ange­kündigt. Jeder Web­seiten­betreiber wird von diesem Schritt betroffen sein.

Browser werden bei HTTP-Seiten War­nungen ein­blenden

In einem Blogbeitrag vom 8. September dieses Jahres hat Google ange­kündigt in Zu­kunft Nutzern des Browsers Chrome beim Besu­chen von Seiten, die unver­schlüsselt per HTTP aus­geliefert werden, Warn­meldungen anzu­zeigen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Chrome HTTP-Warnmeldung ab 1. Januar 2017

So sollen ab 1. Januar 2017 Seiten, die Pass­wörter oder Kredit­karten­daten per HTTP ab­fragen, mit einer Warn­meldung gekenn­zeichnet werden. Lang­fristig will Google seine Nutzer vor allen HTTP-Seiten eindeutig warnen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Langfristige Chrome HTTP-Warnmeldung

Aber auch schon vor der An­kün­digung von Google gab es sehr gute Gründe, warum Web­server Seiten­aufrufe ver­chlüs­selt über­tragen sollten.

Google bevorzugt ver­schlüs­selte Seiten in den Such­ergeb­nissen

Google hatte bereits im August 2014 ange­kündigt HTTPS als Rankingfaktor in die Such­algorith­men ein­fließen zu lassen. Seit der Ankündigung bis Juli 2016 ist der Anteil der HTTPS-Web­seiten in den Such­ergeb­nissen nach einer Studie von Moz von durch­schnittlich 7 % auf 30 % gestiegen. Ein Großteil davon ist zwar nicht algo­rithmisch be­dingt, son­dern liegt daran, dass große An­bieter dem Auf­ruf Googles gefolgt sind. Es zeigt aber den­noch, dass der Trend deutlich in Rich­tung HTTPS by Default geht.

HTTPS ist schneller - wirklich!

Häufig wird die lang­samere Geschwin­dig­keit als Grund gegen den Ein­satz von HTTPS ange­führt. Dies mag zwar grund­sätzlich stimmen, da HTTP in der Version 1.1 unverschlüsselt schneller funktioniert, als in der ab­hör­sicheren Version. Aller­dings sprechen aktuelle Browser das neue, schnellere HTTP-Proto­koll in der Version 2 nur für die ver­schlüs­selte Variante von HTTP. Auf­grund der Tat­sache, dass HTTP/2 über SSL/TLS (HTTPS) um ein mehrfaches schneller ist, als HTTP/1.1 ohne TLS (HTTP), schneiden Web­seiten über eine ver­schlüs­selte Kom­munikation in Performance­tests tat­sächlich besser ab, als wenn sie un­verschlüs­selt über­tragen werden!

HTTPS-Zertifikate kosten nichts

Gerade für kleinere Seiten waren die Kosten für ein TLS-Zertifikat häufig ein Grund auf HTTPS zu ver­zichten. Dies ist spätes­tens seit­dem es von Let’s Encrypt kosten­lose Zerti­fikate für jeder­mann gibt, kein Argument mehr.

Auf die richtige Umsetzung kommt es an

HTTPS sollte bei Neu­entwick­lungen heute eine Selbst­verständ­lichkeit sein. Aber auch beste­hende Web­angebote müssen sich spätestens jetzt mit dem Thema HTTP über SSL/TLS (HTTPS) beschäftigen, um sich nicht bald vor den eigenen Nutzern für das Aus­liefern von un­sicheren Web­seiten recht­fertigen zu müssen. Auch wenn die grund­sätzliche Um­stellung eines Web­servers auf HTTPS nicht besonders schwierig ist, gibt es den­noch Fall­stricke zu beachten. Dies betrifft zum einen die kor­rekte Ein­richtung von Weiter­leitungen von HTTP auf HTTPS. Hier haben in der Vergangen­heit auch große Anbieter wie Avira durch Fehl­konfi­guratio­nen im Google Ranking eingebüßt. Eine weitere Schwierig­keit bei HTTPS Relaunches sind Partner­angebote wie Werbe­netzwerke, die teil­weise noch nicht per HTTPS aus­geliefert werden. Schließlich ist eine Web­seite, die per HTTPS ohne ent­sprechende HTTP Security Header aus­gelie­fert wird, auch keine wirk­liche Hürde für einen Hacker. Im Zweifel sollte man sich daher für so ein Projekt immer pro­fessio­nell beraten lassen.

Armin Harbrecht
Apache Verschlüsselung nginx Webserver Man-In-The-Middle (MIM) SSL-Stripping Public Key Infrastructure (PKI) X.509

Am 19.10.2016 in der Kategorie Sicherheit von Webanwendungen veröffentlicht.

‹‹ Zurück zum Blog