HTTPS für jede Website – sinnvoll oder nicht?

Eine verschlüsselte Datenübertragung, hier: Verschlüsselung von Webseiten, ist generell sehr sinnvoll. So wird (weitestgehend) die Möglichkeit ausgeschlossen, dass auf dem Transportweg der Daten vom Ursprungsserver zum Browser des , dritte Parteien Zugriff erhalten und Veränderungen an den Daten vorgenommen werden. Ist es allerdings eine sinnvolle Option für absolut jede Website, egal ob großer Shop oder kleine Nischenseite?

Sollte HTTPS auf jeden Fall auch dann eingesetzt werden, wenn lediglich vom Benutzer Informationen konsumiert werden? Die Theorie ist klar: Auf jeden Fall. In der Praxis lauern da noch einige technische und rechtliche Hindernisse. Auf das Thema „HTTPS als Rankingsignal“ komme ich auch noch kurz zu sprechen.

Wenn ich hier HTTPS schreibe, meine ich die Zertifizierung des Inhabers einer Domain und die verschlüsselte Übertragung der Daten zwischen Server und Browser. Das bedeutet für mich als Besucher einer Website primär, dass ich weiß, mit wem ich es zu tun habe – siehe Screenshot weiter oben, nach einem Klick auf das Schloß-Symbol erscheinen weitere Informationen über den Seiteninhaber. Zu dem kann ich davon ausgehen, dass alles, was ich auf der Webseite zu sehen bekomme, so beabsichtigt ist und vom Inhaber stammt – eine saubere Implementierung vorausgesetzt. Moderne Browser warnen z. B. vor gemischten (verschlüsselt/unverschlüsselt), also potentiell unsicheren Inhalten.

HTTPS überall

Google propagiert nun seit kurzem also HTTPS überall.

Im folgenden, allerdings nicht über HTTPS erreichbaren Artikel, gibt es weiterführende Informationen von Google: http://googlewebmastercentral-de.blogspot.de/2014/08/https-als-ranking-signal.html

Die Argumente pro HTTPS hören sich, auch auf auf den weiter verlinkten Seiten, alle gut an und sind nachvollziehbar – leider gibt es in der Praxis einige Schwachstellen. Dazu mehr in einem späteren Abschnitt. Es gibt nun mal leider, das wird sich in Jahresfrist vermutlich wieder geändert haben, zur Zeit noch einige nicht zu missachtende Gegenargumente.

Google hat außerdem HTTPS zu einem Rankingsignal gemacht, die Umstellung auf eine Verschlüsselung kann also Wettbewerbsvorteile bringen.

Ich unterteile den Artikel in 3 Abschnitte:

  • Einen 1. Abschnitt für Blogger, Webmaster und andere Webworker, die einfach nur Inhalte ausliefern und die es primär interessiert, ob sie jetzt, da HTTPS ein Rankingsignal ist, etwas unternehmen sollten.
  • Den 2. Abschnitt in dem ich noch einmal die Argumente von Google für eine Vollverschlüsselung jeder Website zusammenfasse. Und
  • einen 3. Abschnitt in dem ich einige Gegenargumente und technische sowie rechtliche Problematiken bei der Umsetzung beschreibe. Es gibt Stimmen von Webhostern, Thawte und dem Datenschutz Nord.

1. Abschnitt

Verschlüsselung als Rankingsignal

Hier gibt es von mir zur Zeit nur einen Rat für die Zielgruppe: Bevor ihr noch 1 Sekunde weiter über HTTPS als Rankingsignal nachdenkt, überprüft eure Webseiten mit einem Onpage SEO Tool und solange dort noch irgendein Punkt erscheint, den ihr optimieren könnt – macht es. Egal was es ist, es wird HTTPS als Rankingsignal schlagen. Optimiert eure URL Strukturen, verbessert die interne Verlinkung, oder nehmt euch einen anderen Punkt vor, vor dem ihr euch vielleicht schon lange gedrückt habt. Holt euch endlich den Wikipedia Link, den ihr mit gutem Content auch verdient habt ab (auch dafür muss man etwas tun), dann ist so ein Mini Rankingvorteil der Mitbewerber durch HTTPS sofort wieder ausgeglichen. Es gibt noch, Stand Sommer/Herbst 2014, keinen Handlungsbedarf.
Punkt.

2. Abschnitt

Google will das Internet sicherer machen.

Das ist ein sinnvolles Vorhaben. Außer Diskussion stehen hier selbstverständlich Shops, geschützte Mitgliedsbereiche, Formulare und andere Szenarien, in denen persönliche Daten oder Bezahlinformationen übertragen werden. Hier sollte eine Verschlüsselung selbstverständlich sein und muss nicht weiter besprochen werden. Technische Hilfe zur Umsetzung findet sich ebenfalls auf der oben verlinkten Seite. Selbst auf Kleinst-Websites, die maximal einige Produktbeschreibungen oder Informationen enthalten, soll allerdings in Zukunft nicht mehr auf eine verschlüsselte Übertragung verzichtet werden. Das erscheint nicht nur mir zur Zeit etwas weit hergeholt. Warum Google das gerne bei wirklich jeder Webseite sehen will, erklärt John Mueller z. B. in folgendem Post auf Google+: https://plus.google.com/u/0/114412528095844977009/posts/bp7ALc7ct5C

Er erwähnt dort u. a. Szenarien, in denen in ungesicherten WLAN Netzwerken unerwartete Werbung in Webseiten eingeschleust wird – das kommt z. B. in Hotel Netzwerken durchaus vor. Aus Betreibersicht einer Finanz- oder Gesundheitswebsite erwähnt er die Authentizität und Reputation, die durch die Verschlüsselung an die Besucher weitergegeben wird.

John Müller hat in der Theorie absolut Recht mit diesen Argumenten. Schauen wir mal, unter welchen Voraussetzungen sie in der Praxis umgesetzt werden sollen.

3. Abschnitt

Eine komplette Verschlüsselung aller Websites ist eben (noch) nicht sinnvoll

Nicht sinnvoll im Sinne von „für viele noch nicht vernünftig umzusetzen“.

Im folgenden sind Zitate von Leuten, mit denen ich gesprochen habe als solche gekennzeichnet, der Rest ist meine Argumentation. Genaue Quellenangaben gibt es auf Anfrage per E-Mail.

Performance | erhöhte Server- und Clientlast

„Also generell raten wir von der Vollverschlüsselung von Webseiten ab. Zum einen steigt dadurch die Serverlast erheblich. Aber auch die Computer der Besucher werden durch SSL stärker belastet. Wenn jemand mit einem etwas „älteren“ Tablet oder PC surft, bauen sich die Seiten unter SSL erheblich langsamer auf…
Ein großer Shopkunde hat bei uns vor kurzem den Test durchgeführt und den gesamten Shop auf SSL umgestellt. Bereits in der ersten Stunde trudelten die ersten Beschwerden über den langsamen Shop ein. Das langsame lag aber weder am Shop noch am Server, sondern einfach nur an den „langsamen“ PCs der Besucher…
Hierbei hilft auch kein Cache-Server der Welt, denn dieser sorgt nur für eine schnelle Auslieferung des Inhaltes. Wenn aber der Besucher-PC nicht ausreichend CPU-Leistung bietet um die Seite in Echtzeit zu entschlüsseln, kommt es dem Besucher so vor, als wenn die Seite extrem träge wäre. Er kann also nicht erkennen, dass die Ursache nicht bei der Seite sondern bei seinem PC liegt.
Auch unser Shopkunde hat nach einer Woche die Vollverschlüsselung wieder entfernt. Innerhalb einer Woche hatte dieser etwas über 9000 Beschwerden über die Performance erhalten.“

CEO eines deutschen Webhosters

Die nächsten 1 bis 2 Jahre werden sich Benutzer (ich lasse jetzt mal die Hoster außen vor) mit leistungsschwächeren Endgeräten an der schlechteren Performance der verschlüsselten Seiten stören. Egal, was Googles Entwickler dazu sagen, das ist noch ein dicker Minuspunkt. Probiert es selbst aus. Spiegelt eure Seite mal testweise auf eine Subdomain in eurem Webhostingpaket oder auf eurem Server. Dann aktiviert HTTPS – bei fast jedem Webhoster gibt es die Möglichkeit ein kostenloses Zertifikat oder einen SSl Proxy zu nutzen. Ihr merkt den Unterschied.

HTTPS und die Virenscanner

Auch stellt die Vollverschlüsselung von Webseiten ein großes Sicherheitsrisiko für die Besucher da. Denn eine verschlüsselte Seite kann von den meisten gängigen Virenscannern nicht überprüft werden, so dass wenn eine Seite z.B. gehackt wurde sich die Besucher einfach mit einem Virus infizieren können ohne das der Virenscanner anschlägt.

CEO eines deutschen Webhosters

Wenn die Übertragung verschlüsselt ist, kann ein Virenscanner den Inhalt nicht überprüfen. Dazu sind weitergehende Anpassungen des Scanners nötig. Darauf ist die AV Industrie noch nicht vorbereitet.

Die Firma Thawte rät ebenfalls ab.

Anfang der Woche hatten wir dazu auch ein Gespräch mit der SSL Vergabestelle Thawte geführt, die am längsten SSL Zertifikate bereit stellen. Auch diese raten davon ab komplette Webseiten zu verschlüsseln.

CEO eines deutschen Webhosters

Thawte verdienen ihr Geld mit Zertifikaten. Die ahnen wahrscheinlich, was für eine Welle an Supportanfragen und technischen Problemen auf sie zu kommen wird. Gerade im Bereich Shared Hosting sieht es da allgemein noch recht düster aus. Google hatte selber bis vor einiger Zeit noch Probleme mit SNI (Server Name Indication). Ebenso unterstützen viele Billig-Zertifikat-Anbieter kein SNI.

Reverse Proxies sind nicht zulässig.

Ein weiterer Faktor ist dann noch die Zulässigkeit eines Proxy-Servers. Denn generell ist es bei den meisten SSL Zertifikaten nicht zulässig einen Reverse-Proxy einzusetzen. Zum Beispiel Thawte und Geotrust untersagen dies in deren Policies. Denn sobald ein Proxy im Spiel ist, kann die „geschützte“ SSL Verbindung am Proxy abgehört werden wenn dieser gehackt wäre.

CEO eines deutschen Webhosters

Bei vielen Webseitenbetreibern sind zur Entlastung ihrer Server und zur Performancesteigerung, Cache- und Reverse-Proxies fester Bestandteil ihres Setups. Da wird es nun rechtlich richtig eng.

Der Datenschutz Nord hat dazu auch eine klare Meinung

Diese Problematik haben wir auch bereits mit dem Datenschutz Nord besprochen, welcher die Sicherheit einiger unserer Kunden (z.B. Banken) sowie die unseres Rechenzentrums regelmäßig kontrolliert. Wenn wir einen SSL Reverse-Proxy einsetzen würden, würden wir damit automatisch die Sicherheitszertifizierung für Banken und Hochsicherheits-IT verlieren. Zum Thema Vollverschlüsselung von Webseiten rät auch der Datenschutz Nord aktuell ab, da es nicht notwendig ist den Inhalt von normalen Webseiten verschlüsselt zu senden. Denn auf einer Webseite liegen keine geheimen Informationen. Anders verhält es sich wenn auf einer Seite persönliche Daten abgefragt werden, Kontaktformulare eingebunden sind oder Logins verwendet werden. Diese Seiten sollten gezielt verschlüsselt sein. Der Rest einer Webseite nicht.

CEO eines deutschen Webhosters

Das waren jetzt nur Auszüge aus einer Anfrage zum Thema HTTPS an den Webhoster meines Vertrauens.

Bildet euch eure eigene Meinung.

[Evtl. hier weiterlesen: https://feller.systems/webhosting/https-verschluesselung-zertifikate-browser-seo-wo-lauern-probleme/]