Defense-In-Depth durch Verwendung von Security Headern

HTTPS auf dem Vormarsch - Warum 2017 jeder seine Seite auf HTTPS umstellen muss

Wenn man aktuell mit Betreibern von gr├Â├čeren Web­seiten redet, kommt man um das Thema HTTPS nicht herum. HTTPS ist die ver­schl├╝s­selte Variante (das S steht f├╝r ÔÇ×secureÔÇť) des Hyper­text Trans­fer Proto­kolls (HTTP). Dies ist das Proto­koll, mit dem im World Wide Web (WWW) kom­muni­ziert wird und Web­seiten zu Brow­sern ├╝ber­tragen werden.

Warum ist HTTPS nicht l├Ąngst Standard?

Als Tim Berners-Lee und andere HTTP am euro­p├Ąischen Kern­forschungs­zentrum CERN im Jahr 1989 entwickelten, konnten sie sich die heutigen Aus­ma├če des Inter­nets kaum vorstellen. Dem­nach war es auch noch nicht not­wendig die Kom­muni­kation zwischen Servern und Clients (Browsern) zu ver­schl├╝s­seln. Die ver­schl├╝s­selte Vari­ante des Proto­kolls kam erst sp├Ąter hinzu. Browser gehen aber auch heute noch standar­dm├Ą├čig von un­ver­schl├╝s­selten Ver­bindungen aus und erg├Ąn­zen, wenn man eine URL ohne die Angabe des Proto­kolls eingibt, im Normall­fall ein ÔÇ×http://ÔÇť vor der Adresse. Dass dies in Zeiten wachs­ender Internet­kriminalit├Ąt und staat­licher ├ťber­achung nicht mehr zeit­gem├Ą├č ist, liegt auf der Hand. Jeder der einmal bei einer Live Hacking-Demon­stration von aramido gesehen hat, wie einfach ein Hacker sich als Man in the Middle unbe­merkt in die Browser­kom­muni­kation ein­klinken kann, um Inhalte mit­zu­lesen und zu mani­pulieren, wird ver­stehen, warum HTTPS eine sinn­volle Sache ist. Google, mit Chrome der Markt­f├╝hrer auf dem Browser­markt, hat nun einen wichtigen Schritt f├╝r 2017 ange­k├╝ndigt. Jeder Web­seiten­betreiber wird von diesem Schritt betroffen sein.

Browser werden bei HTTP-Seiten War­nungen ein­blenden

In einem Blogbeitrag vom 8. September dieses Jahres hat Google ange­k├╝ndigt in Zu­kunft Nutzern des Browsers Chrome beim Besu­chen von Seiten, die unver­schl├╝sselt per HTTP aus­geliefert werden, Warn­meldungen anzu­zeigen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Chrome HTTP-Warnmeldung ab 1. Januar 2017

So sollen ab 1. Januar 2017 Seiten, die Pass­w├Ârter oder Kredit­karten­daten per HTTP ab­fragen, mit einer Warn­meldung gekenn­zeichnet werden. Lang­fristig will Google seine Nutzer vor allen HTTP-Seiten eindeutig warnen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Langfristige Chrome HTTP-Warnmeldung

Aber auch schon vor der An­k├╝n­digung von Google gab es sehr gute Gr├╝nde, warum Web­server Seiten­aufrufe ver­chl├╝s­selt ├╝ber­tragen sollten.

Google bevorzugt ver­schl├╝s­selte Seiten in den Such­ergeb­nissen

Google hatte bereits im August 2014 ange­k├╝ndigt HTTPS als Rankingfaktor in die Such­algorith­men ein­flie├čen zu lassen. Seit der Ank├╝ndigung bis Juli 2016 ist der Anteil der HTTPS-Web­seiten in den Such­ergeb­nissen nach einer Studie von Moz von durch­schnittlich 7 % auf 30 % gestiegen. Ein Gro├čteil davon ist zwar nicht algo­rithmisch be­dingt, son­dern liegt daran, dass gro├če An­bieter dem Auf­ruf Googles gefolgt sind. Es zeigt aber den­noch, dass der Trend deutlich in Rich­tung HTTPS by Default geht.

HTTPS ist schneller - wirklich!

H├Ąufig wird die lang­samere Geschwin­dig­keit als Grund gegen den Ein­satz von HTTPS ange­f├╝hrt. Dies mag zwar grund­s├Ątzlich stimmen, da HTTP in der Version 1.1 unverschl├╝sselt schneller funktioniert, als in der ab­h├Âr­sicheren Version. Aller­dings sprechen aktuelle Browser das neue, schnellere HTTP-Proto­koll in der Version 2 nur f├╝r die ver­schl├╝s­selte Variante von HTTP. Auf­grund der Tat­sache, dass HTTP/2 ├╝ber SSL/TLS (HTTPS) um ein mehrfaches schneller ist, als HTTP/1.1 ohne TLS (HTTP), schneiden Web­seiten ├╝ber eine ver­schl├╝s­selte Kom­munikation in Performance­tests tat­s├Ąchlich besser ab, als wenn sie un­verschl├╝s­selt ├╝ber­tragen werden!

HTTPS-Zertifikate kosten nichts

Gerade f├╝r kleinere Seiten waren die Kosten f├╝r ein TLS-Zertifikat h├Ąufig ein Grund auf HTTPS zu ver­zichten. Dies ist sp├Ątes­tens seit­dem es von LetÔÇÖs Encrypt kosten­lose Zerti­fikate f├╝r jeder­mann gibt, kein Argument mehr.

Auf die richtige Umsetzung kommt es an

HTTPS sollte bei Neu­entwick­lungen heute eine Selbst­verst├Ąnd­lichkeit sein. Aber auch beste­hende Web­angebote m├╝ssen sich sp├Ątestens jetzt mit dem Thema HTTP ├╝ber SSL/TLS (HTTPS) besch├Ąftigen, um sich nicht bald vor den eigenen Nutzern f├╝r das Aus­liefern von un­sicheren Web­seiten recht­fertigen zu m├╝ssen. Auch wenn die grund­s├Ątzliche Um­stellung eines Web­servers auf HTTPS nicht besonders schwierig ist, gibt es den­noch Fall­stricke zu beachten. Dies betrifft zum einen die kor­rekte Ein­richtung von Weiter­leitungen von HTTP auf HTTPS. Hier haben in der Vergangen­heit auch gro├če Anbieter wie Avira durch Fehl­konfi­guratio­nen im Google Ranking eingeb├╝├čt. Eine weitere Schwierig­keit bei HTTPS Relaunches sind Partner­angebote wie Werbe­netzwerke, die teil­weise noch nicht per HTTPS aus­geliefert werden. Schlie├člich ist eine Web­seite, die per HTTPS ohne ent­sprechende HTTP Security Header aus­gelie­fert wird, auch keine wirk­liche H├╝rde f├╝r einen Hacker. Im Zweifel sollte man sich daher f├╝r so ein Projekt immer pro­fessio­nell beraten lassen.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zur├╝ck und kl├Ąren mit Ihnen die Details f├╝r ein verbindliches Angebot ab.