HTTPS für jede Website – sinnvoll oder nicht?

HTTPS für jede Website – sinnvoll oder nicht?

Eine verschlüsselte Datenübertragung, hier: Verschlüsselung von Webseiten, ist generell sehr sinnvoll. So wird (weitestgehend) die Möglichkeit ausgeschlossen, dass auf dem Transportweg der Daten vom Ursprungsserver zum Browser des , dritte Parteien Zugriff erhalten und Veränderungen an den Daten vorgenommen werden. Ist es allerdings eine sinnvolle Option für absolut jede Website, egal ob großer Shop oder kleine Nischenseite?

Sollte HTTPS auf jeden Fall auch dann eingesetzt werden, wenn lediglich vom Benutzer Informationen konsumiert werden? Die Theorie ist klar: Auf jeden Fall. In der Praxis lauern da noch einige technische und rechtliche Hindernisse. Auf das Thema „HTTPS als Rankingsignal“ komme ich auch noch kurz zu sprechen.

Wenn ich hier HTTPS schreibe, meine ich die Zertifizierung des Inhabers einer Domain und die verschlüsselte Übertragung der Daten zwischen Server und Browser. Das bedeutet für mich als Besucher einer Website primär, dass ich weiß, mit wem ich es zu tun habe – siehe Screenshot weiter oben, nach einem Klick auf das Schloß-Symbol erscheinen weitere Informationen über den Seiteninhaber. Zu dem kann ich davon ausgehen, dass alles, was ich auf der Webseite zu sehen bekomme, so beabsichtigt ist und vom Inhaber stammt – eine saubere Implementierung vorausgesetzt. Moderne Browser warnen z. B. vor gemischten (verschlüsselt/unverschlüsselt), also potentiell unsicheren Inhalten.

HTTPS überall

Google propagiert nun seit kurzem also HTTPS überall.

Im folgenden, allerdings nicht über HTTPS erreichbaren Artikel, gibt es weiterführende Informationen von Google: http://googlewebmastercentral-de.blogspot.de/2014/08/https-als-ranking-signal.html

Die Argumente pro HTTPS hören sich, auch auf auf den weiter verlinkten Seiten, alle gut an und sind nachvollziehbar – leider gibt es in der Praxis einige Schwachstellen. Dazu mehr in einem späteren Abschnitt. Es gibt nun mal leider, das wird sich in Jahresfrist vermutlich wieder geändert haben, zur Zeit noch einige nicht zu missachtende Gegenargumente.

Google hat außerdem HTTPS zu einem Rankingsignal gemacht, die Umstellung auf eine Verschlüsselung kann also Wettbewerbsvorteile bringen.

Ich unterteile den Artikel in 3 Abschnitte:

  • Einen 1. Abschnitt für Blogger, Webmaster und andere Webworker, die einfach nur Inhalte ausliefern und die es primär interessiert, ob sie jetzt, da HTTPS ein Rankingsignal ist, etwas unternehmen sollten.
  • Den 2. Abschnitt in dem ich noch einmal die Argumente von Google für eine Vollverschlüsselung jeder Website zusammenfasse. Und
  • einen 3. Abschnitt in dem ich einige Gegenargumente und technische sowie rechtliche Problematiken bei der Umsetzung beschreibe. Es gibt Stimmen von Webhostern, Thawte und dem Datenschutz Nord.

1. Abschnitt

Verschlüsselung als Rankingsignal

Hier gibt es von mir zur Zeit nur einen Rat für die Zielgruppe: Bevor ihr noch 1 Sekunde weiter über HTTPS als Rankingsignal nachdenkt, überprüft eure Webseiten mit einem Onpage SEO Tool und solange dort noch irgendein Punkt erscheint, den ihr optimieren könnt – macht es. Egal was es ist, es wird HTTPS als Rankingsignal schlagen. Optimiert eure URL Strukturen, verbessert die interne Verlinkung, oder nehmt euch einen anderen Punkt vor, vor dem ihr euch vielleicht schon lange gedrückt habt. Holt euch endlich den Wikipedia Link, den ihr mit gutem Content auch verdient habt ab (auch dafür muss man etwas tun), dann ist so ein Mini Rankingvorteil der Mitbewerber durch HTTPS sofort wieder ausgeglichen. Es gibt noch, Stand Sommer/Herbst 2014, keinen Handlungsbedarf.
Punkt.

2. Abschnitt

Google will das Internet sicherer machen.

Das ist ein sinnvolles Vorhaben. Außer Diskussion stehen hier selbstverständlich Shops, geschützte Mitgliedsbereiche, Formulare und andere Szenarien, in denen persönliche Daten oder Bezahlinformationen übertragen werden. Hier sollte eine Verschlüsselung selbstverständlich sein und muss nicht weiter besprochen werden. Technische Hilfe zur Umsetzung findet sich ebenfalls auf der oben verlinkten Seite. Selbst auf Kleinst-Websites, die maximal einige Produktbeschreibungen oder Informationen enthalten, soll allerdings in Zukunft nicht mehr auf eine verschlüsselte Übertragung verzichtet werden. Das erscheint nicht nur mir zur Zeit etwas weit hergeholt. Warum Google das gerne bei wirklich jeder Webseite sehen will, erklärt John Mueller z. B. in folgendem Post auf Google+: https://plus.google.com/u/0/114412528095844977009/posts/bp7ALc7ct5C

Er erwähnt dort u. a. Szenarien, in denen in ungesicherten WLAN Netzwerken unerwartete Werbung in Webseiten eingeschleust wird – das kommt z. B. in Hotel Netzwerken durchaus vor. Aus Betreibersicht einer Finanz- oder Gesundheitswebsite erwähnt er die Authentizität und Reputation, die durch die Verschlüsselung an die Besucher weitergegeben wird.

John Müller hat in der Theorie absolut Recht mit diesen Argumenten. Schauen wir mal, unter welchen Voraussetzungen sie in der Praxis umgesetzt werden sollen.

3. Abschnitt

Eine komplette Verschlüsselung aller Websites ist eben (noch) nicht sinnvoll

Nicht sinnvoll im Sinne von „für viele noch nicht vernünftig umzusetzen“.

Im folgenden sind Zitate von Leuten, mit denen ich gesprochen habe als solche gekennzeichnet, der Rest ist meine Argumentation. Genaue Quellenangaben gibt es auf Anfrage per E-Mail.

Performance | erhöhte Server- und Clientlast

„Also generell raten wir von der Vollverschlüsselung von Webseiten ab. Zum einen steigt dadurch die Serverlast erheblich. Aber auch die Computer der Besucher werden durch SSL stärker belastet. Wenn jemand mit einem etwas „älteren“ Tablet oder PC surft, bauen sich die Seiten unter SSL erheblich langsamer auf…
Ein großer Shopkunde hat bei uns vor kurzem den Test durchgeführt und den gesamten Shop auf SSL umgestellt. Bereits in der ersten Stunde trudelten die ersten Beschwerden über den langsamen Shop ein. Das langsame lag aber weder am Shop noch am Server, sondern einfach nur an den „langsamen“ PCs der Besucher…
Hierbei hilft auch kein Cache-Server der Welt, denn dieser sorgt nur für eine schnelle Auslieferung des Inhaltes. Wenn aber der Besucher-PC nicht ausreichend CPU-Leistung bietet um die Seite in Echtzeit zu entschlüsseln, kommt es dem Besucher so vor, als wenn die Seite extrem träge wäre. Er kann also nicht erkennen, dass die Ursache nicht bei der Seite sondern bei seinem PC liegt.
Auch unser Shopkunde hat nach einer Woche die Vollverschlüsselung wieder entfernt. Innerhalb einer Woche hatte dieser etwas über 9000 Beschwerden über die Performance erhalten.“

CEO eines deutschen Webhosters

Die nächsten 1 bis 2 Jahre werden sich Benutzer (ich lasse jetzt mal die Hoster außen vor) mit leistungsschwächeren Endgeräten an der schlechteren Performance der verschlüsselten Seiten stören. Egal, was Googles Entwickler dazu sagen, das ist noch ein dicker Minuspunkt. Probiert es selbst aus. Spiegelt eure Seite mal testweise auf eine Subdomain in eurem Webhostingpaket oder auf eurem Server. Dann aktiviert HTTPS – bei fast jedem Webhoster gibt es die Möglichkeit ein kostenloses Zertifikat oder einen SSl Proxy zu nutzen. Ihr merkt den Unterschied.

HTTPS und die Virenscanner

Auch stellt die Vollverschlüsselung von Webseiten ein großes Sicherheitsrisiko für die Besucher da. Denn eine verschlüsselte Seite kann von den meisten gängigen Virenscannern nicht überprüft werden, so dass wenn eine Seite z.B. gehackt wurde sich die Besucher einfach mit einem Virus infizieren können ohne das der Virenscanner anschlägt.

CEO eines deutschen Webhosters

Wenn die Übertragung verschlüsselt ist, kann ein Virenscanner den Inhalt nicht überprüfen. Dazu sind weitergehende Anpassungen des Scanners nötig. Darauf ist die AV Industrie noch nicht vorbereitet.

Die Firma Thawte rät ebenfalls ab.

Anfang der Woche hatten wir dazu auch ein Gespräch mit der SSL Vergabestelle Thawte geführt, die am längsten SSL Zertifikate bereit stellen. Auch diese raten davon ab komplette Webseiten zu verschlüsseln.

CEO eines deutschen Webhosters

Thawte verdienen ihr Geld mit Zertifikaten. Die ahnen wahrscheinlich, was für eine Welle an Supportanfragen und technischen Problemen auf sie zu kommen wird. Gerade im Bereich Shared Hosting sieht es da allgemein noch recht düster aus. Google hatte selber bis vor einiger Zeit noch Probleme mit SNI (Server Name Indication). Ebenso unterstützen viele Billig-Zertifikat-Anbieter kein SNI.

Reverse Proxies sind nicht zulässig.

Ein weiterer Faktor ist dann noch die Zulässigkeit eines Proxy-Servers. Denn generell ist es bei den meisten SSL Zertifikaten nicht zulässig einen Reverse-Proxy einzusetzen. Zum Beispiel Thawte und Geotrust untersagen dies in deren Policies. Denn sobald ein Proxy im Spiel ist, kann die „geschützte“ SSL Verbindung am Proxy abgehört werden wenn dieser gehackt wäre.

CEO eines deutschen Webhosters

Bei vielen Webseitenbetreibern sind zur Entlastung ihrer Server und zur Performancesteigerung, Cache- und Reverse-Proxies fester Bestandteil ihres Setups. Da wird es nun rechtlich richtig eng.

Der Datenschutz Nord hat dazu auch eine klare Meinung

Diese Problematik haben wir auch bereits mit dem Datenschutz Nord besprochen, welcher die Sicherheit einiger unserer Kunden (z.B. Banken) sowie die unseres Rechenzentrums regelmäßig kontrolliert. Wenn wir einen SSL Reverse-Proxy einsetzen würden, würden wir damit automatisch die Sicherheitszertifizierung für Banken und Hochsicherheits-IT verlieren. Zum Thema Vollverschlüsselung von Webseiten rät auch der Datenschutz Nord aktuell ab, da es nicht notwendig ist den Inhalt von normalen Webseiten verschlüsselt zu senden. Denn auf einer Webseite liegen keine geheimen Informationen. Anders verhält es sich wenn auf einer Seite persönliche Daten abgefragt werden, Kontaktformulare eingebunden sind oder Logins verwendet werden. Diese Seiten sollten gezielt verschlüsselt sein. Der Rest einer Webseite nicht.

CEO eines deutschen Webhosters

Das waren jetzt nur Auszüge aus einer Anfrage zum Thema HTTPS an den Webhoster meines Vertrauens.

Bildet euch eure eigene Meinung.

[Evtl. hier weiterlesen: https://feller.systems/server-hosting/https-verschluesselung-zertifikate-browser-seo-wo-lauern-probleme/]

Dieser Beitrag hat 6 Kommentare

  1. Danke für diese doch etwas andere Sichtweise. Habe mich in den letzten Tag auch vermehrt mit dieser Thematik auseinandergesetzt meinen Blog evtl. umzustellen. Nach einigen Überlegungen mich jedoch (vorerst) dagegen entschieden. Die Besucher meines Blogs geben keine kritischen Daten ein und der Loginbereich ist mittels .htaccess abgesichert. Das sollte erstmal reichen.

    Die Vielzahl an unterschiedlichen SSL-Anbietern, die scheinbar doch alle gleiche oder ähnliche Produkte anbieten, machen einen Leistungsvergleich nicht gerade einfacher. Und warum angeblich gleiche Zertifikate zu so unterschiedlichen Preisen (von 6 bis etwa 50 Euro pro Jahr) angeboten werden, ist mir nach wie vor ein Rätsel.

    Die oben angesprochenen zusätzlichen technischen Schwierigkeiten und Beschränkungen bestärken mich erstmal in meiner Entscheidung.

  2. Moin Moin Herr Feller,

    nun, auch ich spiele mit dem Gedanken meine Website verschlüsseln zu lassen, bin mir aber gar nicht sicher, ob dies unter Umständen auch abschreckend für Besucher sein könnte ? Zudem habe ich Ihren Artikel aufmerksam gelesen und bin erstaunt über den Hinweis: “ Holt euch endlich den Wikipedia Link, den ihr mit gutem Content auch verdient habt, ab“.

    Ist es tatsächlich so, dass eine Listung bei Wikipedia das Ranking beeinflusst ? Vor allen Dingen wie soll man dort gelistet werden, wenn die Einträge dort gleich wieder von den Mods und Admins gelöscht werden ? Haben Sie weitere Erfahrungen in diesem Bereich ?

    Beste Grüße
    Tom aka Motawa10

    1. Moin Tom,
      Zu dem Artikel von 2014: Die Spielregeln im Google Sandkasten haben sich schon wieder leicht geändert.

      Die Performanceprobleme, teilweise auf Server- aber auf jeden Fall auf Clientseite, bestehen immer noch. Schau mal in deine Zugriffsprotokolle, da bekommst Du einen recht guten Überblick, welche Gerätegenerationen da benutzt werden. Falls das alles nur höchste Displayauflösungen (=aktuellere Geräte) sind und du fast nur Win10 oder die neuesten IOS (oder sogar die exakten Gerätetypen) siehst, brauchst Du dir, vorausgesetzt dein Server ist schnell genug (s. u.), darüber schon mal keine Gedanken mehr machen.

      SNI und Browserkompatibilität sind eigentlich kein Thema mehr.

      Die Verschlüsselung als Rankingfaktor solltest Du mittlerweile aber auf dem Schirm haben. Da tut sich etwas. 2014 waren alle anderen Verbesserungen an einer Website mehr Wert als die Umstellung auf https://. Das sieht momentan schon etwas anders aus.
      Zudem werden die Webbrowser wohl ab 2017 anfangen, unverschlüsselte Formularfelder als unsicher zu melden. Das kann dann zu Irritationen bei den Besuchern führen.

      Zum Thema Wikipedia-Link: Alle externen Links der Wikipedia Seiten sind „nofollow“, beeinflussen das Ranking also nicht direkt. Aber ein Link ist ein Link, ist ein Link… Und wenn dir ein Link (im Sinne von Empfehlung) „nur“ Besucher bringt, ohne direkt als Rankingfaktor gewertet zu werden, hat der seine Aufgabe erfüllt. Wenn die Besucher sich dann noch auf deiner Seite wohl fühlen, lange bleiben, kommentieren, sharen und liken, intern weiterklicken und wiederkommen, bedienst Du wesentlich mehr Rankingfaktoren als nur den eines wertigen Backlinks. Da kann, je nach Nische, ein Wikipedia Backlink deutlich helfen.

      Zum Thema Wikipedia Links gerne mal mehr per Mail, Phone oder Chat. Das ist ein sehr komplexes Thema, das hier absolut den Rahmen sprengt. Ganz grob: Wenn Du keine Assets am Start hast, die einzigartig sind, wird es sehr schwer und meistens ein Kampf, dort einen Link unterzubringen. Das kostet dann richtig Geld und Ressourcen bei unklarem Nutzen.

      Zu deiner Website (ich bin mal so frei): Du verschenkst dort Potential. Mir sind auf die Schnelle einige Punkte aufgefallen, die ich bearbeiten würde, bevor ich über eine Umstellung auf https:// nachdenken würde. Wenn das erledigt ist, kannst Du dir mal Gedanken über die Verschlüsselung machen.

      – Verbessere die Performance ( https://gtmetrix.com/reports/www.motawa10.com/7w68mJY8 ) über 10 Sekunden, fast 2 MB und über 130 Requests ist nicht so berühmt. Die ganze externe Werbeeinblendung bremst halt auch. Kann man Plugins einsparen? Brauchst Du Ressourcenfresser wie Jetpack wirklich? (Hier könnte aber evtl. durch HTTP/2 mit HTTPS eine Performanceverbesserung erzielt werden https://www.keycdn.com/support/http2/ ) Wo läuft die Seite? Webhosting, V-Server? Du bekommst für 10 bis 15 € im Monat richtig schnelles, auf WP optimiertes Hosting. Anbieter und Info gerne per Mail.

      – Finde heraus welche Artikel in diesem und im letzten Jahr keine Aufrufe gehabt haben und lösche diese. Gerade bei WordPress zahlt sich eine regelmäßige Verschlankung aus. Wenn alte Artikel noch viele Aufrufe haben, lassen sich diese Artikel noch anpassen, verbessern oder ergänzen?

      – Alle Archive und Autorenseiten auf „noindex, follow“?

      – Was sind die Kernthemen? Wo war die meiste Resonanz? Wofür bist Du der Spezialist? Werte solche Seiten durch gezielte interne Verlinkung auf.

      – Was ist im sommer/Herbst 2013 und Februar 2016 passiert? Da gab es Sichtbarkeitseinbrüche.

      Solche Dinge würde ich mir für die nächsten 1 – 2 Monate vornehmen und dann für die Seite ein Zertifikat ordern. Damit solltest du eigentlich gut im Rennen liegen.

      Ich wünsche dir noch eine schönes Wochenende.

    1. Moin Uli,
      der Artikel ist ja schon über 2 Jahre alt. Mittlerweile liegen die Dinge wieder etwas anders.
      Mittelfristig wird wohl niemand mehr um die Verschlüsselung herumkommen. Browserwarnungen, Rankingnachteile für unverschlüsselte Sites etc.

      Warum keine Komplettverschlüsselung der ganzen Website?
      So ersparst Du deinen Besuchern z.B. Sicherheitshinweise der Browser wg. des Wechsels von sicheren zu unsicheren Unterseiten.
      Du legst einmalig eine Weiterleitung von unverschlüsselt (http) zu verschlüsselt (https) via .htaccess an und hast Ruhe.
      Mittlerweile sind kostenlose Zertifikate Standard im Webhosting, die Verschlüsselung praktisch genauso.

      Nur das Kontaktformular zu verschlüsseln ist eine halbgare Lösung.
      Technisch gesehen, musst Du nur das Zertifikat installieren (lassen), und deine Domain ist ab dann sowohl über http als auch https erreichbar.
      So etwas erfolgt immer für die komplette Domain.
      Du würdest dann nur das Kontaktformular in den Menüs oder deinen internen Verlinkungen mit https:// eintragen/verlinken.
      Dann erfolgt der Aufruf dieses Formulares über eine verschlüsselte Verbindung.
      Da der ganze Rest der Website nun über 2 Protokolle (http und https) erreichbar ist, läufst Du Gefahr, deine Google Rankings zu verschlechtern. Außerdem ist es auch verwirrend für die Besucher.
      Also richtest Du über die .htaccess eine 301 Weiterleitung von https auf http ein, damit deine Website weiterhin nur über das unverschlüsselte http Protokoll erreichbar ist. Für das Kontaktformular definierst Du eine Ausnahmeregel, damit dort immer die Verschlüsselung greift. Ob es Plugins gibt, die das übernehmen, weiß ich nicht.

      Hört sich kompliziert an, oder? Ist es auch! Würde ich auch nicht empfehlen. Zu viele Fehlerquellen.

      Und ich sehe den Sinn auch nicht. Das Szenario, in dem nur ein verschlüsseltes Kontaktformular in einer ansonsten unverschlüsselten Website vorkommt, erschließt sich mir nicht ganz…

      Stell die Website einmal komplett auf SSL um, gute Anleitungen für die gängigen CMS gibt es dutzendweise im WWW. Dann bist Du mit dem Thema durch und brauchst dich in Zukunft nicht mehr drum zu kümmern.
      Das ist auch für einen iT-Laien hinzukriegen.

Kommentarfunktion geschlossen.

Menü schließen
Panel schließen