N. Z.

Nicht ohne mein SSL! Warum Sie noch heute auf HTTPS wechseln sollten

Geschrieben von Nico Zorn veröffentlich am in der Kategorie Datacenter & Administration
SSL-Zertifikate verursachen laufende Kosten. Die Vorteile sind für viele hingegen undurchsichtig. Ich empfehle inzwischen jedoch, keine neue Seite mehr ohne ein SSL-Zertifikat und damit über HTTPS auszuliefern. Die wesentlichen Gründe: HTTPS wird einige Zeit bleiben, Google gibt einen Ranking-Bonus für HTTPS und man verliert ohne HTTPS wichtige Analytics-Daten – außerdem gibt es inzwischen kostenlose Zertifikate.

Was ist SSL?

SSL bedeutet Secure Socket Layer. Im Kern ist dies eine Technologie, die eine verschlüsselte Verbindung zwischen einem Server und einem Browser ermöglicht. Dadurch wird sichergestellt, dass übermittelte Daten privat und unverändert bleiben. Zugriffe Dritter in der Mitte werden verhindert.

Dies ist weniger wichtig, wenn einfach statischer Text übermittelt wird, zum Beispiel bei einem Artikel wie diesem. Sobald aber Passwörter, Adressdaten oder gar Kreditkarten-Informationen übermittelt werden, wünscht sich vermutlich niemand, dass Dritte diese gesendeten Informationen auslesen oder gar manipulieren. Ohne SSL-Zertifikat ist eine solche Man-in-the-middle attack möglich; mit korrekter Einrichtung wird diese unterbunden.

Das Beste: Der Nutzer bekommt hiervon nichts mit – im Gegenteil bietet SSL sogar noch einige Vorteile für den Normalnutzer (siehe HTTPS und SEO).

 

Was ist HTTPS?

HTTPS ist die Methode, über die Websites mit SSL-Zertifikat ausgeliefert werden. (Alternativ: HTTP over TLS, HTTP over SSL oder HTTP Secure). Der Durchschnittsnutzer sieht dies wenn überhaupt nur in der Adresszeile seines Browsers. Zunehmend ist HTTPS ein Vertrauenssignal, gerade wenn wie oben beschrieben sensible Daten übermittelt werden.

Mitte 2017 waren rund 45% der Seitenaufrufe via Firefox mit HTTPS verschlüsselt (Quelle); dennoch nutzen bislang nur etwa 22% der Million größte Websites (weltweit) die Technologie (Quelle).

 

Browser und HTTPS

Dies ist mitunter verwunderlich, da Browser inzwischen Warnungen und Fehlermeldungen ausgeben, wenn eine Website nicht SSL-verschlüsselt über HTTPS aufgerufen wird. Google hat verkündet, die entsprechende Warnung zunehmend deutlicher zu machen – und sie eventuell auch in den Suchergebnissen anzuzeigen. Derzeit zeigen Browser vor allem dann eine Warnung an, wenn sie ein Eingabefeld für Passwörter oder Personendaten auf einer Seite bemerken; zukünftig wird möglicherweise eine generelle Warnung erfolgen, die Besucher durch die rote Warnfarbe abschrecken könnten.

 

HTTPS und SEO

Bei HTTPS geht es nicht nur um Sicherheit und Datenschutz. Google gibt einen Ranking-Bonus für HTTPS-Seiten – zugegeben einen eher kleinen, aber viele kleine Stellschrauben machen eben auch einen großen Effekt. Dennoch sollte dies nie der einzige Grund sein - deutlichere Auswirkung haben wohl derzeit die Nutzerreaktionen auf (nicht vorhandenes) SSL. HTTPS ist in jedem Fall die zukunftssichere Wahl.

 

HTTPS und Analytics

Selten thematisiert wird, dass HTTPS auch einen Gewinn für die eigene Analytics-Lösung bietet. Ohne SSL gehen hier Daten verloren, wenn Besucher von Websites mit HTTPS-Protokoll kommen. Bei einem Wechsel von einer HTTPS-Seite auf Ihre Seite werden (sicherheitsbedingt) viele Daten nicht mit übergeben.

Effektiv erscheint ein Besucher, der einem Link folgt, so als „Direkter Besucher“ statt als Referrer. Ungünstig! Denn so wirkt es als hätte der Kunde die eigene Website schon gekannt. Je nach Seite betrifft dies einen recht wesentlichen Anteil der Seitenaufrufe – und die Zuordnung zieht sich durch alle weiteren Metriken.

  HTTPS HTTP
Von HTTP zu      OK OK
Von HTTPS zu      OK Datenverlust

 

 

Sind kostenlose SSL-Zertifikate genauso gut wie kostenpflichtige?

Als Nachteile von SSL-Zertifikaten sind oft die Kosten und der technische Aufwand für die Einrichtung genannt. Eine Migration der Protokolle ist im Endeffekt ein „kleiner Relaunch“ – sofern sich keine URLs ändern aber durchaus überschaubar und weniger kritisch als eine Änderung aller Seiten-Namen. Hinzu kommt der Preis. Aber inzwischen gibt es auch kostenlose Zertifikate, z. B. über Let’s Encrypt.

Sind kostenlose SSL-Zertifikate schlechter als kostenpflichtige? Nein, nicht generell. Der wesentliche Unterschied ist, dass diese durch Sponsoring finanziert werden und nicht durch die direkte Zahlung des Kunden. Das bedeutet aber auch, dass das Zertifikat eingestellt werden könnte, falls die Sponsoren wegfallen; Gewährleistungsansprüche und Service sind ggf. geringer oder gar nicht vorhanden. Letztendlich sind dies aber organisatorische Unterschiede, keine technischen – ähnlich der Frage, ob man den eigenen Webspace bei einem Massen-Hoster bucht oder ein individuelles Hosting mit besonderen Eigenschaften.

Für die Zukunft können Sie in jedem Fall folgendes mitnehmen: Wenn Sie Ihre Website relaunchen, setzen Sie gleich von Beginn SSL ein!