Was ist HTTPS?

HTTPS ist eine Erweiterung des Hypertext-Transfer-Protokolls (HTTP). Es verfügt dabei über eine zusätzliche Sicherheitsschicht für die Übertragung von Webseiten vom Server zum jeweiligen Benutzer. Während die Übertragung von Daten einer Webseite – egal ob vom Server oder wieder zurück – beim normalen HTTP-Standard unverschlüsselt erfolgt, wird diese Übertragung bei HTTPS geschützt. Zu erkennen ist eine solche HTTPS-Verbindung in der Adressleiste des jeweiligen Browsers durch den Vorsatz „https://“. Bei modernen Browsern ist dies meist auch mit einem grünen Schloss hervorgehoben – vorausgesetzt die Verschlüsselung arbeitet korrekt.

HTTPS-Verbindung visyu.de

Adresszeile von Google Chrome bei einer gültigen HTTPS-Verbindung

Warum HTTPS? – Datensicherheit

HTTPS ist besonders interessant um Benutzerdaten zu schützen. Ein gutes Beispiel dafür sind Login-Daten – typischer Weise mit Passwort. Bei einer unverschlüsselten HTTP-Verbindung werden diese Daten als Klartext übertragen. So ist es theoretisch möglich, dass sich ein Angreifer in die Verbindung zwischen Browser und Server einklinkt und diese Daten direkt abgreift. Daraufhin kann dieser die Daten nutzen, um sich selbst auf der Seite anzumelden. Bei HTTPS wird die Verbindung dagegen verschlüsselt. D.h. der mögliche Angreifer bekommt nur einen unkenntlichen Zahlen- und Buchstaben-Salat. Diesen Salat kann nur der Server mit der originalen Webseite entschlüsseln. Diese Verschlüsselung funktioniert dank sog. Zertifikate. Diese Zertifikate bestehen aus 2 bzw. 3 Teilen:

  1. Öffentliches Zertifikat
  2. Intermediate Zertifikat
  3. Privater Schlüssel

Das öffentliche Zertifikat wird dabei in den Browser des Nutzers geladen und ist für jeden zugänglich. Das Intermediate Zertifikat wird ebenfalls beigefügt und bestätigt die Identität des Zertifikatsausstellers. Mit Hilfe dieses kombinierten Zertifikats lassen sich dann die Daten verschlüsseln. Bei HTTPS erfolgt die Ent- und Verschlüsselung asymmetrisch. Die Daten können nicht mit dem gleichen Schlüssel entschlüsselt werden, sondern benötigen dafür den privaten Schlüssel. Dieser Schlüssel darf nicht an die Öffentlichkeit dringen. Er liegt auf dem entsprechenden Server und kann dort die empfangenden Daten wieder entschlüsseln.

Auf diese Art und Weise werden die Daten verschlüsselt übertragen und es wird sichergestellt, dass jeder Browser die Daten verschlüsseln aber nur der Server die Daten entschlüsseln kann. Die Daten gelangen also sicher von A nach B und dies erhöht so die Datensicherheit. Das gilt vor allem dann, wenn der Nutzer aktive Daten an den Server schickt, z.B. Login-Daten oder persönliche Angaben in einem Formular etc.

Warum HTTPS? – Suchmaschinenoptimierung

HTTPS spielt mittlerweile auch beim Thema Suchmaschinenoptimierung (SEO) eine große Rolle. Vor einiger Zeit hat Google angekündigt – und so setzt es Google mittlerweile auch um – dass Webseiten mit HTTPS-Verschlüsselung höher im Ranking stehen, als Seiten ohne HTTPS. Wer seine Seite also mit HTTPS schützt, hat bessere Chancen in der Suchmaschine nach oben zu rutschen. Das alleine ist aber natürlich noch keine Garantie, ggf. muss man weitere Optimierungsverfahren anwenden. Außerdem sollte man beachten, dass die Ladezeit der Seite nicht zu sehr darunter leidet. Denn Daten zu entschlüsseln braucht mehr Zeit als unverschlüsselte Daten zu verarbeiten. Bei einem leistungsschwachen Server kann sich daher die Ladezeit erheblich erhöhen und das wiederum kann ein Grund für ein niedrigeres Ranking bei Google & Co sein. Zusätzlich sollte man penibel darauf achten, dass die entsprechenden Zertifikate korrekt konfiguriert werden. Eine fehlerhafte oder unvollständige HTTPS-Verbindung kann einem das gute Ranking kosten.

SSL Konfigurationsprüfung

Konfiguration überprüft bei www.ssllabs.com/ssltest

Was brauche ich für HTTPS?

Um HTTPS zu verwenden, muss der jeweilige Hoster in der Lage sein eine Verbindung via HTTPS zuzulassen. Das klingt zwar selbstverständlich, aber das ist es leider nicht immer der Fall. Bei älteren Hosting-Tarifen kann es durchaus vorkommen, dass dies einfach noch nicht vorgesehen ist bzw. war. Das unterscheidet sich von Anbieter zu Anbieter und auch je nach genutzter Technologie.

Auch das jeweilige System hinter der Webseite sollte verschlüsselte Verbindungen beherrschen. Hier gilt es insbesondere auf korrekte Weiterleitungen zu achten, so dass HTTP-Verbindungen automatisch umgeleitet werden. Auch sollte man hier unbedingt vermeiden Inhalte, wie z.B. Bilder oder Scripts, via HTTP einzubinden.

Als weiteren Punkt benötigt man ein SSL-Zertifikat. Hier gibt es verschiedene Varianten, die mit Unterschiedlichen Kosten verbunden sind.

Kosten für HTTPS

Die gute Nachricht zu erst: Mittlerweile gibt es auch die Möglichkeit kostenlose SSL-Zertifikate zu verwenden, die die Browser auch akzeptieren. Dank des Anbieters Let’s Encrypt kann man solche Zertifikate kostenlos erzeugen. Diese Zertifikate eignen sich hervorragend für kleine bis mittlere Webseiten, auf denen kaum bis gar keine Daten vom Nutzer erhoben werden. Z.B. In einem Blog oder auf einer einfachen Portfolio-Webseite. Sollten allerdings persönliche Informationen via Formular oder gar ein Shop-System geschützt werden, so sollte man zu einem der renommierten Zertifikats-Anbieter greifen.

Möchte man ein solches Zertifikat einsetzen, so hat man die Möglichkeiten dieses entweder beim eigenen Hoster zu bestellen oder direkt beim jeweiligen Zertifikats-Anbieter. Hier gibt es verschiedene Varianten. Angefangen bei einem einfachen Zertifikat, welches die oben beschriebene Verschlüsselung anbietet bis hin zu Zertifikaten, die darüber hinaus die Identität einer Firma bestätigen. Die günstigeren Zertifikate werden in der Regel durch die Adresse der jeweiligen Domain bestätigt. Es erfolgt hier nur eine Prüfung ob eine Domain da liegt, wo sie auch angegeben wurde. Die höherpreisigen Zertifikate erbitten sich dagegen eine Bestätigung, dass die angegebene Person oder Firma tatsächlich existiert. Als Belohnung steht dann auch der Name der Firma in der Browser-Adresszeile. Diese Zertifikate sind häufig zudem noch versichert, sollten also Daten tatsächlich dennoch abgefischt werden, greift die entsprechende Versicherung.

Neugierig auf HTTPS? Wir unterstützen Euch gerne beim HTTPS-Setup auf Eurer Webseite. Schreibt uns einfach und fordert ein Angebot von uns an.