Blog Blogeintrag: Sichere Verbindungen mit HTTPS und SSL/TLS
Sichere Verbindungen mit HTTPS und SSL/TLS
9. Februar 2018
Sicherheit und Verschlüsselung sind im Internet wichtig, vor allem wenn man schützenswert Daten wie Passwörter und Kreditkarteninformationen angibt. Dieser Beitrag erklärt den Unterschied zwischen HTTP und der sicheren Verbindung mittels HTTPS und SSL/TLS.
HTTP als Sicherheitsrisiko
Das Hyper Text Transfer Protocol dient hauptsächlich der Datenübertragung von Webserver und Browser. Aus Sicht der Webseitenbesucherinnen und -besucher hilft das Protokoll also bei der Kommunikation, um Inhalte einer Webseite zu übertragen. Diese Inhalte werden jedoch in Klartext ausgetauscht und sind daher vor Angreifern nicht geschützt. Meldet man sich beispielsweise in WordPress an, können folgende Informationen abgefangen werden:
Form item: "log" = "Simon"
Form item: "pwd" = "Passwort"
Form item: "wp-submit" = "Anmelden"
Form item: "redirect_to" = "http://localhost/wordpress/wp-admin/"
Die hervorgehobene Zeile zeigt das unverschlüsselte Passwort. Passwörter, Kreditkarteninformationen und andere sensible Daten sind über HTTP also nicht abgesichert. Alle Geräte im selben Neztwerk können diese Daten mitlesen. Die Art der Verbindung sollte daher vor allem in öffentlichen WLANs eine Rolle spielen.
HTTPS als sicherer Weg für die Daten
Mit dem Hyper Text Transfer Protocol Secure erhält man einen zusätzlichen Schutz: Die Verschlüsselung der übertragenen Daten mittels SSL, bzw. TLS. SSL ist die Bezeichnung des Vorgängers von TLS, jedoch werden die Begriffe häufig synonym verwendet. Spricht eine Person also über SSL, so meint diese meist das besser gesicherte TLS (ebenso auf dieser Webseite).
Das Zertifikat
SSL-Zertifikate unterscheiden sich im Umfang der Identifikation. Die Vergabestelle für Zertifikate (CA – certificate authority) prüft die Angaben der Antragsteller und bürgt für ihre Richtigkeit. Im Folgenden werden die unterschiedlichen Arten der Validierung kurz beschrieben. Jede Erweiterung der Validierung bringt mehr Vertrauen und Sicherheit für Besucherinnen und Besucher der Webseite.
Domain Validation
Die Zertifizierungsstelle prüft ob der Antragsteller im Besitz der Domain ist.
Organisation Validation
Im Gegensatz zur Domain-Validierung prüft die CA zusätzlich gewisse Angaben zur Organisation. Dadurch kann man anhand des Zertifikats feststellen, welche Organisation die Webseite betreibt.
Extended Validation
Für die Extended Validation führt die Zertifizierungsstelle eine gründliche Prüfung der Organisation durch. Dieser Prozess unterliegt gewissen Richtlinien und ist der aufwändigste der drei Validierungsarten.
Faktor für Suchmaschinen und Browser
Zusätzlich zur Sicherheit eines Webauftritts bringt die Verwendung von HTTPS auch Vorteile für die Sichtbarkeit in Suchmaschinen. Im August 2014 gab Google bekannt, dass HTTPS ein Ranking-Faktor ist.
Der Browser Chrome markiert ab Juli 2018 mit der Version 68 HTTP-Webseiten als nicht sicher. Dies ist ein weiterer Schritt, um das Internet sicherer zu machen und die Verschlüsselung von Webseiten voranzubringen.
Links zum Thema
Futurezone: Artikel zur Markierung von HTTP-Webseiten
Let’s Encrypt: Eine freie, automatische und offene CA
Beitrag in: Suchmaschinenoptimierung, Webentwicklung | Keine Kommentare