Letzte Änderung: Uhr

Google blockiert unsichere Websites (ohne https-ssl)

Warum Sie Ihre Website mit HTTPS absichern sollten!

Haben Sie Ihre Website bereits auf HTTPS umgestellt?

https-Verschlüsselung

Ist Ihre Website HTTPS-zertifiziert?

Google blockiert unsichere Websites seit Juli 2018!

Google Chrome kennzeichnet seit Sommer 2018 alle Webseiten, die noch nicht auf HTTPS umgestellt haben. Laut Google Managerin Emily Schlechter, sollen mit der neuen Chrome Version 68, innerhalb der URL Webseiten ohne https-Verschlüsselung als Unsicher markiert werden. Laut Google sind immer noch 32% der Seiten auf Chrome nicht verschlüsselt. Wobei 81% der Top 100 meistgenutzten Webseiten verwenden standardmäßig HTTPS.

Ganz im Zeichen der Datensicherheit

Mithilfe der DSGVO wurden einige Schritte getan, um vor allem im Online Bereich, den Datenumgang von personenbezogenen Daten bewusster und sicherer zu gestalten. Mit dem neuen Chrome Update möchte auch Google verdeutlichen, wie wichtig eine sichere online Kommunikation ist. Fakt ist, dass bei Webseiten, die noch nicht auf HTTPS umgestellt wurden, jeder Provider, Hacker oder auch staatliche Stellen mitlesen kann. Weshalb eine verschlüsselte Kommunikation, die unter HTTPS gegeben ist, zwischen Nutzer und Service Anbieter so wichtig ist.

Achtung bei SSL-Zertifizierungen von Symantec

Ab dem 17. April 2018 akzeptiert Google Chrome keine SSL-Zertifikate von Symantec mehr. Aufgrund der Zugehörigkeit zu Symantec, fallen darunter auch Zertifikate von  Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Auch Mozilla hat angekündigt, den SSL-Zertifizierungen zu misstrauen.

Ausgelöst wurde dieser drastische Schritt von Google, durch einen Vertrauensmissbrauch Seitens Symantec. So wurde bekannt, dass Symantec unberechtigterweise Zertifikate ausgestellt hat.

Die Auswirkungen für Website-Betreiber mit SSL-Zertifizierungen von Symantec sind drastisch. Den Zahlen nach werden mehr als 60% der Browser-Nutzer weltweit bis Oktober 2018 keinen Zugriff mehr auf Webseiten mit einer Symantec-Zertifizierung haben. Seitens Apple und Microsoft gibt es noch kein Statement, wie diese über Ihre Web-Browser mit Symantec-Zertifikaten verfahren.

Google hat bereits einen fixen Zeitplan veröffentlicht, indem der Schrittweise Entzug von Symantec hervorgeht:

DatumAktion
März 2018Launch der Beta-Version von Chrome 66. Alle Symantec-Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, werden im Browser als nicht vertrauenswürdig markiert.
April 2018Launch der Stable-Version von Chrome 66.
September 2018Launch der Beta-Version von Chrome 70. Alle Symantec-Zertifikate werden im Browser als nicht vertrauenswürdig markiert.
Oktober 2018Launch der Stable-Version von Chrome 70.

Was ist HTTPS, SSL, TLS eigentlich?

HTTPS steht für Hypertext Transfer Protocol Secure und dient dazu die Integrität und Vertraulichkeit der eingegebenen Daten von Besuchern auf einer Webseite (z.B. bei einem online Kauf) zu schützen. Analog verwendete Begrifflichkeiten sind in diesem Zusammenhang auch:

  • TLS (vormals: SSL: Secure Sockets Layer): Transport Layer Security / Transportschicht-Sicherheit gemäß OSI-Modell

Wenn Sie nun Daten auf einer Webseite eingeben, werden diese über HTTPS in 3 Sicherheitsebenen geschützt.
Ablauf innerhalb dieser 3 Ebenen:

  • Verschlüsselung: Auf der Webseite eingegebene Daten werden verschlüsselt. Diese werden mit Hilfe eines Verschlüsselungssystems verschlüsselt. Damit ein „Abhören“ oder Nachverfolgen von Daten weitgehend verhindert wird.
  • Datenintegrität: Das Sicherheits-Protokoll verhindert und prüft, ob die Daten während der Übertragung manipuliert oder beschädigt wurden.
  • Authentifizierung: Dieser Schritt stellt sicher, dass sich keine Drittparteien in die Datenkommunikation „einklinken“, um Daten zu lesen.

Zusammengefasst

  • 3-fach hält einfach besser und garantiert Benutzern von Website sicheren Daten-Austausch.
  • Es jedenfalls empfehlenswert Websites mit HTTPS/TLS abzusichern.
  • Nicht zuletzt, weil dieser Sicherheits-Aspekt auch seitens Suchmaschinen positiv bewertet wird.

Was ist nun ein SSL-Zertifikat?

Das SSL-Zertifikat ist im Grunde eine digitale Überprüfung.

Dabei wird sichergestellt, ob Ihre Webadresse auch wirklich zu Ihrer Organisation gehört. Dies geschieht mithilfe eines digitalen Datensatzes, wobei durch kryptographische Verfahren bestimmte Eigenschaften von Personen oder Objekten bestätigt werden. So kann ihre Authentizität und Integrität sichergestellt werden. Sie erkennen Webseiten mit SSL-Zertifikat an dem Schloss-Symbol neben der URL.

Vorteile eines SSL-Verschlüsselung

  • Sicherheit & Vertrauen
    Bei Beantragung eines SSL-Zertifikates, wird Ihre Website überprüft. Das bedeutet, die SSL-Zertifizierung sorgt nicht nur für Sicherheit, sondern schafft auch Vertrauen Ihrem Unternehmen gegenüber. Ihre Website und alle darauf enthaltenen Daten werden verschlüsselt übertrage. Vor allem wenn Sie einen Online Shop führen oder eine andere Eingabe über ein Formular anbieten, ist das sehr wichtig.
  • Rankingfaktor
    Vor allem Google Chrome möchte unsichere Seiten, die noch nicht auf https umgestellt wurden als solche markieren. Das wirkt sich sehr stark auf das Ranking innerhalb der Google Suche aus.

Automatische HTTPS-Anforderung: Was ist HSTS?

HSTS (HTTP Strict Transport Sercurity) fordert automatisch eine https-Seite an, auch wenn der Nutzer im Browser http eingibt. Zudem wird auch Google aufgefordert, sichere URLs innerhalb der Suchergebnisse anzuzeigen. So wird zusätzlich dafür gesorgt, dass Nutzer ausschließlich sichere Seiten verwenden.

Die Vorteile von HSTS sind nun klar, damit Sie diese Funktion verwenden können, muss der Webserver HSTS fähig sein. Zusätzlich muss diese Funktion aktiviert werden.

Wie bekomme ich ein SSL-Zertifikat?

Das Zertifikat muss bei einer Zertifizierungsstelle angefordert werden. Das kann der Provider sein, wo auch Ihre Website liegt oder ein externer Anbieter.

Nachdem Sie das SSL-Zertifikat beantragt haben, wird dieses von einer Drittpartei (Let’s Encrypt, IdenTrust, Comodo) überprüft. Wenn Ihre Unternehmensdaten verifiziert wurden, erhalten Sie ein für Sie bestimmtes Zertifikat.

Das Zertifikat besteht aus sehr langen Ziffernblöcken, die wie ein Schlüssel betrachtet werden kann, der zur Freischaltung verwendet wird.

Es gibt 3 unterschiedliche Zertifikattypen:

  1. Ein Zertifikat für eine einzelne Domain (bspw. beispiel.at)
  2. Ein Zertifikat für mehrere Domains (bspw. beispiel.at, beispiel.de, edu.beisiel.de)
  3. Das Platzhalterzertifikat für mehrere dynamische Subdomains (bspw. A.beispiel.at, b.beispiel.de)

Was muss ich vor Beantragung eines SSL-Zertifikats beachten?

  • Prüfen Sie die Zertifizierungsstelle auf dessen Seriosität und achten Sie drauf, ob diese auch einen Support anbietet.
  • Legen Sie vor dem Antrag fest welchen Zertifikattyp Sie benötigen.

Was ist zu tun, nachdem das Zertifikat installiert wurde?

  • Setzen von Weiterleitungen – Im ersten Schritt müssen Sie Ihre alten http-Seiten auf die neuen https-Seiten weiterleiten, da Ihre Seiten ansonsten doppelt vorhanden sind (Duplicate Content Problem).
  • Verlinkungen richtigstellen – auch Ihre internen und externen Verlinkungen müssen auf Ihre https-Seiten führen.
  • Externe Dienste einbinden (Google Maps)
  • Das Google Crawling und Indexieren Ihrer https-Seiten sicherstellen – Generell sollen Ihre https-Seiten nicht durch robots.txt-Dateien blockiert werden, oder noindex-Meta-Tags eingefügt werden. Ihre XML-Sitemap sollte auch nur noch https-Links führen. Wenn dies der Fall ist, sollten Sie diese auch in der Google Search Console einrichten.
ProblemquelleMaßnahme
Zertifikat ist abgelaufenAchten Sie auf die Aktualität Ihres Zertifikates.
Das Zertifikat wurde für einen falschen Websitenamen bzw. Zertifikattyp ausgestelltPrüfen Sie, ob Sie auch für alle Hostnamen ein Zertifikat erhalten haben. Wenn das nicht der Fall ist, können Nutzer blockiert werden. Beispielsweise kann dies bereits der Fall sein, wenn Sie ein Zertifikat für www.abc.at erhalten haben und der Nutzer nur abc.at eingibt. Sprich der eingegebene Name muss mit dem Namen auf dem Zertifikat übereinstimmen.
SNI Unterstützung fehltIhr Webserver sollte auch SNI unterstützen. Generell wird SNI von allen modernen Browsern unterstützt. Prüfen Sie, ob Ihre Zielgruppe auch Browser mit SNI Unterstützung verwendet.

Mehr zur Zertifizierungsstelle Let’s Encrypt

Let’s Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle (Certificate Authority, CA), die zum Nutzen der Öffentlichkeit betrieben wird. Es ist eine Dienstleistung der Internet Security Research Group (ISRG).

Die standardmäßige verschlüsselte Online-Verbindung ist das Ziel des Projekts. Zusätzlich soll der Aufwand für die Einrichtung und Pflege von TLS-Verschlüsselung maßgeblich reduziert werden. Dies wird ermöglicht indem die Zahlung, Webserverkonfiguration, Validierungs-E-Mails und die Sorge um abgelaufene Zertifikate überflüssig gemacht werden.

Unser Fazit zu HTTPS

Seine Website von HTTP auf HTTPS umzustellen zahlt sich in jedem Fall aus, da mit den erhöhten Sicherheitsmaßnahmen der Kunde geschützt wird und man selbst als Unternehmen. Vor allem wenn online sensible Daten wie beispielsweise Bankdaten im Zuge eines online Kaufes abgefragt wird, sind die höchsten Sicherheitsmaßnahmen pflicht.

Zu dem Fall Symantec können wir nur raten, schnellstmöglich zu kontrollieren, ob die eigenen SSL-Zertifikate von diesem Anbieter stammen. Wenn das der Fall ist, können Sie ein neues Zertifikat kostenfrei bei Let’s Encrypt beantragen.

Quelle:
Google Webmaster Tools

Sie haben Fragen zu SSL/https oder benötigen Hilfe bei der Umstellung? Zögern Sie nicht und holen Sie sich Hilfe!