HTTPS Verschlüsselung – wo lauern Probleme?

Back to Blog
Screenshot der Geotrust Website
Posted by: Carsten Feller Category: Server / Hosting Tags: , , , Comments: One Comment Post Date: 26. August 2014

HTTPS Verschlüsselung – wo lauern Probleme?

Das von Google propagierte HTTPS Überall ist in der Theorie eine gute Idee. In der Praxis treten bei der Umsetzung der Komplettverschlüsselung bei den meisten Webseitenbetreibern leider einige Probleme auf. Wer HTTPS jetzt schon implementieren will, sieht sich zuerst mit einigen Fragen (z. B. Zertifikatsauswahl, Auswirkungen auf SEO) und später auch mit Schwierigkeiten (rechtlich und technisch, evtl auch bei der Akzeptanz der Besucher) konfrontiert, die eben nicht so schnell zu lösen sind, wie Google uns das in den entsprechenden Mitteilungen weismachen will.

Ich will das hier jetzt nicht in eine Kritik an der Verschlüsselungsidee ausarten lassen, hinterfrage aber auch kurz den wirklichen Nutzen von HTTPS. Es geht immer auch um die Umgebung, in der eine Verschlüsselung eingesetzt wird. Hauptsächlich geht es in diesem Artikel um praktische Gesichtspunkte aus der Sicht der Betreiber und der Besucher der Webseiten.

Zwei Dinge am Anfang: Erstens einige Links zum Thema und zweitens der Hinweis, wer diesen Artikel nicht zu lesen braucht.

Links zum Thema HTTPS:

Wer wird keine Probleme bei der Umstellung haben?

Das kann man recht genau festlegen. Keine Probleme bei der Umstellung auf HTTPS werden Webmaster haben, die

  1. einen eigenen Server betreiben, dem kein „Reverse-Proxy“ vorgeschaltet ist und
  2. für diesen Server eine eigene IP Adresse verwenden und
  3. auf diesem Server genau eine Domain angelegt haben und
  4. auf diesem Server für diese Domain ein Zertifikat (möglichst Thawte) installiert haben und
  5. soviel Kontrolle über die Inhalte der Website besitzen, dass sie sicherstellen können, dass alle Ressourcen, egal ob von dem eigenen Server ausgeliefert oder extern nachgeladen, ebenfalls entsprechend verschlüsselt sind.

Damit sollten alle Besucherbrowser, egal ob aktuelle Version oder nicht, in der Lage sein die Website sauber und ohne irgendwelche Zertifikats- oder Mixed-Content-Warnungen anzuzeigen.

Was bleibt, sind evtl. Beschwerden über die schlechtere Performance des entsprechenden Webshops oder der Website. Da kann der schnellste Server nichts daran ändern, die „langsamen“ PCs, Tablets und Smartphones der Besucher sind 2014 immer noch ein begrenzender Faktor. Schaut mal in eure Serverlogs, was da noch so alles auf euren Websites aufschlägt.

Die oben beschriebene Konstellation funktioniert, bei allen anders zusammengestellten Setups wird es an der einen oder anderen Stelle noch (2014) Schwierigkeiten geben.

Gängige Praxis: Preiswertes Zertifikat und gemischter Inhalt

Glaubt ihr mir nicht?

Dann schmeißt mal die Suchmaschine eures Vertrauens an und achtet bei den Suchergebnissen auf das „https://“ in der Zeile unter dem Titel der Website. Selbst bei SEO Agenturen und Webentwicklern, die es eigentlich besser wissen sollten, sieht man häufig so etwas:

Screenshot einer HTTPS Warnung wegen gemischter Inhalte

Verwirrt doch mehr als es nützt, oder?

 

Share this post

Comment (1)

Comments are closed.

Back to Blog