HTTPS - Warum jede Website verschlüsselt ausgeliefert werden sollte

Schütze Dich und die Besucher Deiner Webseite

Bestimmt hast Du auch schon mal die Meldung bekommen: "Diese Internetseite ist nicht sicher". Viele Nutzer geraten dann erstmal in Panik, und schließen ihren Browser sofort. Zugegeben, das ist schon eine etwas übertriebene Reaktion, aber in Zeiten von immer mehr Internetkriminalität auch nachvollziehbar. Die Meldung sagt allerdings nur, dass die Webseite nicht über "HTTPS" geöffnet wurde.

In Kundengesprächen und auf dieser Webseite werbe ich damit, dass ich mich um die Verschlüsselung mit HTTPS kümmere. Oft bekomme ich dann zu hören: "Das brauchen wir nicht" oder "brauchen wir das wirklich?".

Vor ein paar Jahren war es ganz normal, dass eine Homepage nicht verschlüsselt an den Browser ausgeliefert wurde. Die meisten Webseitenbetreiber und Nutzer wissen leider bis heute nicht so genau, warum das Verschlüsseln des Datenverkehrs sinnvoll ist. In diesem Beitrag soll es nun genau darum gehen, was eigentlich HTTPS ist und warum jede Website heutzutage damit ausgerüstet sein sollte.

01. Was soll das Ganze eigentlich?

Kopierst Du die Adresse einer Internetseite, sieht das meistens so aus: https://www.andreas-schmidt-arts.de. Mit HTTP oder HTTPS wird dem Browser gesagt, mit welchem Protokoll die Verbindung geöffnet werden soll.

1.1 Protokolle

Das Internet ist ein weltweites, öffentliches Netzwerk, in welchem Daten ausgetauscht werden. Damit der Austausch gelingt, werden sogenannte Protokolle benötigt. In einem früheren Beitrag habe ich das Thema FTP behandelt, FTP ist zum Beispiel ein solches Protokoll um Dateien zu transportieren. HTTP wiederum ist auch ein Protokoll. Mit diesem werden Internetseiten vom Webserver zum Browser des Nutzers übertragen. HTTP ist die Abkürzung für "Hypertext Transfer Protocol" übersetzt auf Deutsch heißt das "Hypertext-Übertragungsprotokoll". Das Kommunikationsprotokoll HTTP ist unverschlüsselt und wird im Klartext ausgeliefert, das heißt jeder kann theoretisch mit lesen.

1.2 Man-in-the-Middle

Mit entsprechenden Programmen kann eine sogenannte "Man-in-the-Middle" Attacke durchgeführt werden. Dabei klinkt sich ein dritter Teilnehmer in die Datenübertragung mit ein und greift Information ab oder manipuliert diese. Das Abgreifen von Informationen ist das eine, aber was viele nicht wissen: mit "Man-in-the-Middle" können Inhalte auch verändert werden. So können Bilder, Texte, Links und sogar Codes wie Javascript verändert, entfernt oder hinzugefügt werden. Ein Besucher Deiner Webseite könnte damit einen ganz anderen Inhalt angezeigt bekommen. Deine Telefonnummer auf der Homepage könnte zum Beispiel durch eine gebührenpflichtige Nummer ersetzt werden oder mit einem Klick auf "Kontakt" im Menü wird ein Download gestartet, mit dem Schadprogramme geladen werden.

Mit dem Verändern von Inhalten lässt sich einiges an Unfug anstellen. Aber auch das reine Abgreifen von Daten kann spannend sein. Viele Webseiten bieten ein Kontaktformular zur einfacheren Kommunikation zwischen Besucher und Betreiber an. Hier könnte ein Dritter vertrauenswürdige Informationen mit lesen und diese dann für sich nutzen oder verkaufen. 

Mit der zunehmenden Verbreitung von offenen WLANs nimmt die Bedeutung von HTTPS zu. Am einfachsten kann ein "Man-in-the-Middle-Angriff" über ein unverschlüsseltes WLAN getätigt werden. Dafür ist nicht mal mehr ein Laptop nötig: mit einem Smartphone und den entsprechenden Kenntnissen, die man sich einfach im Netz an eigenen kann, ist es möglich, großen Schaden zu verursachen.

1.3 WordPress

Deine Webseite arbeitet mit WordPress? Dann ist HTTPS für Dich ganz besonders wichtig. Mit einem "Man-in-the-Middle-Angriff" ist es auch möglich, die Zugangsdaten zu Deiner Webseite abzufangen. Angreifer könnten so vollen Zugriff auf Deine Webseite erhalten, Inhalte verändern und Dich aussperren.

1.4 Die Lösung

Mit HTTPS werden all diese Probleme gelöst, der Datenverkehr wird verschlüsselt und ein Dritter bekommt nur noch Daten angezeigt, die nicht lesbar sind oder erst mit viel Aufwand entschlüsselt werden müssten. Inhalte werden unabhängig vom Netz verschlüsselt, damit ist eine Echtzeit-Veränderung des Datenverkehrs aktuell so gut wie unmöglich. Wichtig dabei ist es auch, die Verschlüsselung immer aktuell zu halten. 

02. HTTPS, was ist das eigentlich?

HTTPS ist die verschlüsselte und damit sicherere Variante von HTTP. Ausgesprochen heißt HTTPS "Hypertext Transfer Protocol Secure" und übersetzt auf Deutsch "sicheres Hypertext-Übertragungsprotokoll". Mit HTTPS werden Informationen nicht mehr in Klartext ausgeliefert und Dritte haben keinen Zugriff mehr auf Daten und Informationen.

HTTPS wurde vom Internet-Pionier "Netscape" entwickelt und erstmals 1994 mit dem "Netscape Navigator (Browser)" veröffentlicht. Heutzutage unterstützt jeder moderne Browser die Verschlüsselung des Datenverkehrs und die Programme beschweren sich sogar mit Meldungen wie anfangs erwähnt, wenn keine Verschlüsselung stattfindet.

HTTPS wird zur Herstellung von Vertrauen und Integrität in der Kommunikation zwischen Webserver und Browser verwendet. Dies wird unter anderem durch komplexe Verschlüsselung und aufwendige Authentifizierung erreicht. Die Authentifizierung dient dazu, dass beide Seiten der Verbindung die Identität des jeweils Andren überprüfen können. Dadurch sollen die vorher schon erwähnten "Man-in-the-Middle-Angriffe" und vereinzelt auch "Phishing-Angriffe" verhindert werden.

03. HTTPS für Deine Webseite einrichten

Neben dem Sicherheitsaspekt ist HTTPS auch für das Ranking Deiner Homepage bei Google und Co. wichtig. Webseiten, die unverschlüsselt ausgeliefert werden, bekommen Punktabzug und werden schlechter bewertet. Google setzt sich seit etlichen Jahren stark für die Verschlüsselung ein, daher verwundert es kaum, dass vor allem der Google Chrome Browser die reißerische Meldung "Diese Webseite ist nicht sicher" sehr präsent anzeigt.

Deine Webseite wird noch nicht via HTTPS ausgeliefert? Dann frag doch einfach mal bei Deinem Hoster nach, was dafür nötig ist. Die meisten Anbieter von Webservern bieten in ihren Paketen die Verschlüsselung kostenlos an. Beim Hoster 1blu zum Beispiel, kann HTTPS einfach über das Benutzerkonto aktiviert und eingerichtet werden. 

Beauftragst Du mich mit der Erstellung Deiner Homepage, wird Deine Webseite ganz automatisch mit HTTPS ausgestattet und Du musst Dich darum nicht mehr kümmern.