Umstellung von Websites auf https

Einleitung

Gerade nach den Snowden-Enthüllungen wird der Ruf nach Verschlüsselung des kompletten Datenverkehrs im Web immer lauter. Jeder kann dazu beitragen, indem er seine Website auf https-Verschlüsselung umstellt. Je nach Ausgangssituation kann das ganz einfach oder auch ein ziemlich komplexes Unterfangen sein.

Vor- und Nachteile

In jedem Falle bietet die Umstellung eine ganze Reihe von Vorteilen, u.a. die Folgenden:
Ausschluss von Manipulation: Für die Ausstellung des für die Verschlüsselung notwendigen Zertifikats muss sich der Nutzer des Zertifikats bei der Zertifizierungsstelle identifizieren. Erst wenn seine Identität festgestellt wurde, wird das Zertifikat auf seinen Namen und für die beantragte URL erstellt und ihm ausgehändigt. Beim Aufruf Ihrer Website überprüft der Browser des Besuchers, ob das vom Webserver präsentierte Zertifikat mit der besuchten URL übereinstimmt. Sollte das nicht der Fall sein, z.B. durch eine DNS-Manipulation, bei der der Besucher auf eine andere Website umgeleitet wird, oder wenn der Aussteller des Zertifikats dem Browser nicht als vertrauenswürdig bekannt ist, dann wird, je nach Browser, dem Anwender eine mehr oder weniger aufdringliche Warnmeldung angezeigt. Das kann z.B. eine Adressleiste mit rotem Hintergrund sein oder Warnseiten, die explizit bestätigt werden müssen. Letzteres ist auch der Grund, warum Sie nicht mit selbsterzeugten Zertifikaten arbeiten sollten: Ein Besucher, dem Sie nicht zuvor schon Ihr Stammzertifikat überlassen haben, wird Ihre Zertifizierungs-stelle als nicht vertrauenswürdig einstufen und daher eine Warnung ernten. Weiterhin sollten Sie über-legen, welchen (finanziellen) Aufwand Sie für die Erstellung des Zertifikats betreiben wollen: Es stellt sich die Wahl zwischen einer Standard- und einer EV-Identifikation (Extended Validation) gegenüber der Zertifizierungsstelle. EV produziert mehr organisatorischen Aufwand auf beiden Seiten und ist damit teurer, gilt aber als maximal betrugsgeschützt und wird für den Besucher Ihrer Seite mit einer grünen Adresszeile belohnt, bei Standard bleibt der Hintergrund regulär weiß (Internet Explorer).
Sicherheit der Kommunikation: Sobald die Verbindung mit dem installierten Zertifikat akzeptiert wurde, läuft die Kommunikation zwischen Ihrem Webserver und dem Browser des Besuchers nur noch verschlüsselt ab. Das hat u.a. die Auswirkung, dass ein Angreifer nicht mehr in der Lage ist, unbemerkt die übertragenen Daten zu manipulieren. Dazu müsste er die Inhalte erst entschlüsseln, dann den Inhalt seinen Wünschen gemäß anpassen und dann wieder verschlüsseln. Er scheitert aber bereits an der Entschlüsselung. Damit können Sie sicher sein, dass bei Ihrem Besucher wirklich genau das ankommt, was Sie ihm senden wollen.
Schutz der Privatsphäre: Weiterhin kann ein „Mitleser“ bei verschlüsselten Websites ganz generell mit den übertragenen Daten nichts mehr anfangen, sprich er kann den Inhalt nicht entziffern. Jetzt könnte man sagen, das sei doch egal, es handelt sich ja ohnehin nur um öffentlich zugängliche Website-Inhalte. Das greift aber zu kurz: Es erfolgt stets Kommunikation in beide Richtungen, zu der auch personalisierte und ggf. sensible Daten Ihres Besuchers zählen können, wie besuchte Unterseiten, Suchbegriffe, Cookies, etc.. Potentiell auch Passwörter, aber spätestens hier ist unverschlüsselte Kommunikation grober Leichtsinn. Damit trägt eine https-verschlüsselte Seite aktiv zur Wahrung der Privatsphäre der Internetnutzer bei.
Keine Einschränkung eigener Webstatistiken: Obwohl Dritte nach Verschlüsselung mit den Daten nichts mehr anfangen können, schränkt eine Website auf https-Basis Ihre technischen Möglichkeiten zur Führung von Webstatistiken zu Referrern, Besuchercharakteristiken, Benutzerverhalten etc. in keiner Weise ein. Soweit Sie dies legal tun möchten, ergeben sich also durch eine verschlüsselte Website keine Nachteile für Sie als Betreiber.
Gegengewicht zu staatlicher Überwachung: Zu guter Letzt sei noch ein Argument genannt, zu dem man sich auch ein Stück weit selbst entscheiden muss, für wie relevant man es hält: In der Vergangenheit stellte verschlüsselte Kommunikation im Internet eher die Ausnahme dar. Für staatliche Überwachungsstellen mit den technischen Mitteln zum breitbandigen Abhören war dieser Teil natürlich besonders relevant, da man darin einen überproportional hohen Anteil an „interessanten“ Inhalten vermutet hat. Und Verschwörungstheoretiker behaupten zu jeder Zeit, dass es zumindest einzelnen Organisationen möglich sei, die verschlüsselte Kommunikation auch in endlicher Zeit zu knacken. Wenn nun aber mehr und mehr auch die gesamte Standardkommunikation verschlüsselt wird, so entfällt zum einen das spezielle Herausstellungsmerkmal für die Ziele von Lauschangriffen, und zum anderen führt die schiere Menge der Daten dazu, dass auch der beste Geheimdienst diese kaum mehr wird entschlüsseln können. Aber wie gesagt, das gehört je nach persönlicher Anschauung in den Bereich der Politik bzw. Science Fiction.
Werbewirksamkeit: Wesentlich greifbarer, wenn auch nicht leicht direkt messbar, ist ein anderer Effekt einer auf https basierenden Website: sie wird bei identischem Inhalt von den relevanten Suchmaschinen im Ranking höher eingestuft als ihr http-Pendant. Wer also abseits von bezahlter Werbung auch im Content-Bereich von Google und Co. ganz oben erscheinen möchte, tut gut daran, sich entsprechend aufzustellen. Möglicherweise werden zudem auch Ihre Website-Besucher, je nach technischer Aufgeklärtheit, die Verschlüsselung der Kommunikation mit Ihrem Webserver als persönliche Wertschätzung empfinden.
Serverlast: Ein Nachteil der Verschlüsselung ist natürlich der höhere Aufwand für den Webserver bei der Auslieferung der Seiten: Durch die zusätzlich notwendige Verschlüsselungsprozedur für alle Inhalte steigt die Last für die Server CPU etwas an. Gerade bei stark frequentierten Seiten, die schon an der Lastgrenze des Servers arbeiten, sollte dieser Punkt berücksichtigt werden. Bei wenig ausgelasteten Seiten fällt dies jedoch nicht ins Gewicht.
Kosten für das Zertifikat: Wie oben beschrieben gibt es unterschiedliche Optionen, sowohl was die Zertifikatsgüte als auch ihre Laufzeit angeht. Weiterhin haben unterschiedliche Anbieter auch variierende Honorare, und zu guter Letzt beeinflusst auch die Reichweite des Zertifikats im Sinne der damit abgedeckten Sub-Domains den Preis. Generell kann man aber davon ausgehen, dass ein hochwertiges Zertifikat für eine „normale“ Unternehmenswebsite für wenige zig Euro pro Jahr zu haben ist, so dass diese Kosten kaum relevant für eine Umstellungsentscheidung sein dürften.

Problemstellungen

Generell ist die Umstellung einer bestehenden Website nach Beschaffung Ihres Zertifikats schnell erledigt. Es gilt jedoch einige Fallstricke zu beachten bzw. im Vorfeld sorgfältig zu analysieren. U.a. folgende Fragen sollten vor dem Start der Aktivitäten beantwortet sein: Ist das eingesetzte Content Management System (CMS) ohne weiteres in der Lage, mit dem geänderten Protokoll zu arbeiten? Werden z.B. Verlinkungen innerhalb Ihrer Website automatisch mit https generiert? Kann Ihr Webserver oder Ihr CMS so konfiguriert werden, dass alle http-Anfragen automatisch auf die identische Adresse mit https umgeleitet werden? Dies ist v.a. für externe Verlinkungen hilfreich, die Sie ggf. nicht alle ohne weiteres und zeitgleich umstellen können. Sind auf Ihrer Seite externe Inhalte eingebunden (z.B. Google Maps, Werbeflächen, etc.), deren Inhalte gar nicht von Ihrem eigenen Webserver ausgeliefert werden? Wenn ja, bieten die betreffenden Inhaltsanbieter die Möglichkeit, diese Inhalte auch per https einzubinden? Falls das nicht möglich sein sollte, kann es u.U. schwierig werden mit der Umstellung, weil dann nicht sichergestellt werden kann, dass die Website-Besucher tatsächlich alle Inhalte zu Gesicht bekommen und dabei nicht laufend von Browserwarnungen in die Flucht geschlagen werden. Tatsächlich ist dies der Hauptgrund, warum eine große Anzahl von sehr prominenten Websites heute noch nicht auf https umgestellt wurde: man möchte die lukrativen Werbeeinnahmen durch Drittanbietercontent nicht gefährden.

Weitere Informationen

https://mittelstand.max-it.de/Individualloesungen/Webentwicklung
Datei:M.a.x. it https-Umstellung.pdf

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: mailto:techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.


Tags

Website, https, SSL, Webserver, Verschlüsselung, Zertifikat, Zertifizierungsstelle, Content Management System, CMS, Mixed Content, Privatsphäre, Extended Validation, https Umstellung, Sicherheit im Netz, https Umstellung München