Es kündigt sich bereits seit einiger Zeit an, dass eine funktionierende SSL-Verschlüsselung für Webseiten zum Standard werden sollte. Führende Webbrowser warnen zunehmend vor nicht verschlüsselten Verbindungen. Deshalb müssen sich sowohl Webmaster als auch Internetbenutzer mit dieser Thematik beschäftigen, um zu verstehen, was vor sich geht.
Wozu SSL-Verschlüsselung dient
Die SSL-Verschlüsselung sichert die Verbindung eines Browsers auf seiten des Internetbenutzers mit dem Server, der eine Webseite ausliefert. Alle Daten, die zwischen diesen beiden Punkten ausgetauscht werden, werden verschlüsselt und können nur an diesen Endpunkten entschlüsselt werden. Das bedeutet, dass diese Daten an keinem Punkt dazwischen (Computer des Internet Providers, Netzwerkknotenpunkte usw., aber auch andere Computer im eigenen Netzwerk und vor allem WLAN) mitgelesen werden können. Besonders wichtig ist so etwas in offenen Drahtlos-Netzwerken, wo mit geeigneter Software absolut jeder Teilnehmer des Netzwerkes alle Daten, zum Beispiel Passwörter, einfach mitschneiden kann.
Grundsätzlich wäre es nicht notwendig, eine Webseite wie diese, die Sie gerade lesen, verschlüsselt aufzurufen, wenn nur deren Informationen gelesen werden sollen. Diese sind ja ohnehin öffentlich verfügbar. Wirklich wichtig wird Verschlüsselung nur dann, wenn Sie selbst Daten eingeben, vor allem persönliche – Benutzernamen und Passwörter, aber auch Adressen, Bankdaten usw. Diese Daten sollen ja nur der Gegenseite mitgeteilt werden, also der Webseite, bei der Sie sich zum Beispiel anmelden.
Tatsächlich ist diese Sicherheitsmaßnahme in Deutschland gesetzlich gefordert, das heißt, ein Webseitenbetreiber, der persönliche Daten erhebt oder einen Login bereitstellt, muss diesen über SSL absichern.
Zunehmende Browserwarnungen
Aktuelle Browser warnen zunehmend, wenn Verbindungen nicht per SSL verschlüsselt sind. Bislang war es so, dass SSL nur positiv markiert wurde, also wenn es vorhanden ist. Sie sehen, wenn Sie keinen völlig veralteten Browser verwenden, jetzt oben in der Adressleiste Ihres Browsers neben der Adresse https://computer-service-remscheid.de (…) das Symbol, das Ihr Browser benutzt, um eine Webseite als sicher zu kennzeichnen. Im Firefox ist dies zum Beispiel ein grünes Vorhängeschloss.
„Sicher“ bezieht sich hier lediglich auf die Verbindung. Weder bedeutet das Schloss, dass meine Seite Ihnen keine Schadsoftware unterjubelt oder sonst etwas Böses tut (da muss Ihnen mein Wort genügen 😉 ), noch bedeutet das Fehlen eines solchen Zeichens automatisch, dass die Seite aktiv schädlich ist.
Seit Anfang des Jahres blenden aktuelle Browser an derselben Stelle in der Adressleiste eine kleine Warnung ein, wenn z.B. ein Login oder Formular nicht korrekt über SSL gesichert ist. Das ist im Firefox dann ein graues Schloss, das rot durchgestrichen ist. Dieses Symbol sehen Sie auch bei Seiten, die zwar per SSL verschlüsselt worden sind, wo dies aber nicht vollständig geschehen ist.
Es ist wichtig zu wissen, dass dies nicht automatisch bedeutet, dass die Webseite Ihnen Böses will. Es reicht, z.B. die auf der Webseite verwendete Schriftart von Google-Servern per http zu laden, statt die gesicherte Verbindung zu benutzen. Die Schrift selbst schadet niemandem und es macht keinen bedeutsamen Unterschied, wie sie geladen wird, aber der einfache Aufruf der Schrift über eine ungesicherte Verbindung reicht bereits aus, um den Browser zu seiner Warnung zu veranlassen.
Internetbenutzer müssen also wissen, dass es sich nur um einen Hinweis auf nicht 100%ige Absicherung handelt, nicht etwa eine Warnung vor einem aktuell stattfindenden Angriff. Da aber nicht damit zu rechnen ist, dass alle Internetbenutzer so eine Warnung korrekt einordnen können, müssen Webseitenbetreiber darauf achten, SSL vollständig umzusetzen. Sonst könnte es passieren, dass verunsicherte Besucher die Webseite verlassen, sobald sie die Warnung bemerken.
Der aktuelle Firefox geht jetzt sogar noch einen Schritt weiter. Wenn Sie beginnen, ein Formular auszufüllen, das nicht über SSL gesichert ist, erscheint direkt am Formular ein Warnhinweis:
Dieses Bildschirmfoto stammt von einer Appliance, also einem im internen Netzwerk verwendeten Gerät, das nicht über SSL angesprochen wird. Es ist leicht zu verstehen, dass eine Meldung wie diese Besucher einer Webseite extrem verunsichern dürfte. Wer also z.B. Logins, Kommentarformulare und andere Eingabemöglichkeiten weiterhin nicht per SSL absichert, muss damit rechnen, Besucher zu verlieren.
Es ist gut möglich, dass die Warnungen noch ausgebaut werden. Ich würde mich nicht wundern, wenn Webseiten ohne SSL noch in diesem Jahr grundsätzlich als unsicher markiert werden. Dass das für Webseitenbetreiber schädlich sein dürfte, sofern diese SSL nicht umsetzen, liegt auf der Hand.
SSL einrichten
Glücklicherweise ist es mittlerweile weder schwierig noch teuer, SSL für eine Webseite einzurichten. Es gibt unterschiedlich dimensionierte Zertifikate, aber das Sicherheitslevel ist etwa gleich – auch das einfachste Zertifikat bekommt bei korrekter und vollständiger Umsetzung das grüne Symbol für vollständige Verschlüsselung. Ein grundlegendes Zertifikat dieser Art bekommt man bei namhaften Providern mittlerweile bereits umsonst zum Webspace dazu.
Größere Zertifikate erlauben z.B. auch das Absichern von Subdomänen oder beinhalten zusätzlich eine Identitätsprüfung des Anbieters. Letzteres ist vor allem für größere Anbieter von Waren und finanziellen Transaktionen wichtig. Zusätzlich zu dem Sicherheitssymbol erscheint dann der Name der jeweiligen Firma in grün. Das bedeutet dann, dass nicht nur der Übertragungsweg gesichert ist, sondern dass auch geprüft wurde, dass der Anbieter der Webseite derjenige ist, der er zu sein vorgibt.
Das auf dieser Webseite eingesetzte Zertifikat ist eines, das auch Subdomänen abdeckt. Es kostet im Monat ein paar Euro zusätzlich. Wer aber keine Subdomänen verwendet, erreicht mit einem kostenlosen Zertifikat genau denselben Sicherheitseffekt.
Die Einrichtung erfolgt zum einen in der Verwaltungsoberfläche des Providers, wo das SSL-Zertifikat beantragt werden muss. Sobald es freigeschaltet und mit der Adresse der Webseite verbunden ist, kann die Seite mit https: aufgerufen werden. Das zusätzliche s steht für „secure / sicher“ und bedeutet, dass SSL eingesetzt wird. In den meisten Fällen gelingt dieser Aufruf, aber die Umstellung ist noch nicht vollständig, weshalb das Warnsymbol erscheint.
Zunächst müssen nun alle Verknüpfungen, die zum Aufbau der Webseite beitragen, überprüft werden. Alle Verknüpfungen, die auf den eigenen Webserver zeigen, müssen auf https umgestellt werden (z.B. Aufrufe von einzubindenden Bildern). Bei Content Management Systemen gibt es hierfür hilfreiche Scripts, die alle Vorkommen von http://name-der-seite durch https://name-der-seite ersetzen können, ohne dabei Schaden anzurichten.
Gelegentlich müssen auch Verweise auf äußere Elemente geändert werden, z.B. bei den bereits genannten Webschriften, die von externen Servern geladen werden.
Wenn alle Elemente der aktuellen Seite korrekt über https ausgeliefert werden, wird das Symbol grün. Allerdings gilt das Symbol immer nur für die aktuelle Adresse, nicht die gesamte Webseite, weshalb alle einzelnen Seiten zu prüfen sind – vor allem solche, die Besonderheiten enthalten, die so nicht auf allen Seiten des Webauftritts vorkommen (Formulare, Galerien, Landkarten usw).
Zuletzt sollte noch -wiederum entweder in den Einstellungen des Providers oder sonst in der eigenen .htaccess-Datei auf dem Server- dafür gesorgt werden, dass alle Aufrufe von außen über http: auf https: übersetzt werden, so dass die Webseite über http gar nicht mehr aufgerufen werden kann. Diese Umstellung muss natürlich auch auf Analyse- und Statistikprogramme, die die Webseite überwachen, übertragen werden, z.B. die Google Search Console, um weiterhin Daten zu bekommen.
Für jedes CMS und jede äußere Quelle dürften sich im Internet aktuelle Anleitungen finden, wie die Umsetzung im konkreten Fall durchzuführen ist. Ansonsten lohnt es sich, professionelle Hilfe in Anspruch zu nehmen, denn Webseiten ohne SSL-Verschlüsselung dürften auf längere Sicht im Nachteil sein.
Zu den weiteren Vorteilen von SSL für den Betreiber der Webseite zählt eine leicht positivere Gewichtung bei Suchmaschinen sowie ein Rückgang von Spam- und anderen Angriffen. Zum Beispiel beobachtete ich bei einem Forum, das vor der Umstellung auf SSL pro Woche um die 300 (durchweg erfolglose) automatisierte Login- und Registrierungsversuche vermerkte, nach der Einführung von SSL einen Rückgang auf etwa 20 pro Woche.
