JA!
JEDE WEBSITE BRAUCHT HTTPS!

Keine Ausreden:

Aber auf meiner Website sind doch gar keine schützenswerten Daten.

Trotzdem können die Daten, die an die Besucher Ihrer Website gesendet werden, für andere interessant sein. Bei jedem Abruf Ihrer Website werden die Daten über eine Vielzahl von Verbindungen zum Besucher geschickt; Verbindung, auf die Sie keinen Einfluss haben. Ist es Ihnen wirklich egal, wenn jemand auf diesem Transportweg bösartige Skripte, anzügliche Bilder oder Anzeigeninhalte auf Ihre Seite injiziert, so dass es so aussieht, als würde das von Ihnen stammen?

Sie haben Ihren Webserver gegen Eindringlinge gesichert. Und das auch um sicherzustellen, dass die Inhalte Ihrer Website nicht gegen Ihren Willen verändert werden, Viren oder Trojaner eingeschleust oder strafrechtlich relevanter Inhalt ausgeliefert wird.

Und sagen Sie nicht, das würde Ihnen nicht passieren. Es passiert. Jeden Tag. Durch Hacker. Durch Telekommunikationsprovider. Durch Unternehmen. Durch Staaten.

Das Betreiben einer Website bedeutet auch Verantwortung. Verantwortung auch gegenüber den Besuchern der Website, die einen Anspruch darauf haben, bei einem Besuch Ihrer Website keinen Schadcode untergeschoben zu bekommen. Die Sie in die Haftung nehmen wollen, wenn es trotzdem passiert – auch wenn das Ganze erst beim Abruf der Website auf dem Transportweg geschieht.

Genauso, wie es selbstverständlich ist, einen Webserver gegen Eindringlinge abzusichern, sollten Sie daher auch den Transportweg der Daten zwischen Ihrem Webserver und Ihrem Seitenbesucher absichern.

Und genau hierzu dient die Absicherung per HTTPS. Die Auslieferung Ihrer Website mit HTTPS garantiert die Integrität Ihrer Inhalte und ermöglicht, Manipulationen der Daten zu erkennen.

 

Aber meine Website sammelt doch keine Informationen der Besucher.

Ja und? Die Site soll soll doch unverändert beim Besucher ankommmen. Und es geht  auch keinen Dritten etwas an, welche Seiten genau der Besucher auf der Website ansurft.

 

Aber auf meiner Website habe ich doch gar keine Eingabeformulare

Das Betreiben einer Website bedeutet auch Verantwortung. Verantwortung auch gegenüber den Besuchern der Website, die einen Anspruch darauf haben, bei einem Besuch Ihrer Website keinen Schadcode untergeschoben zu bekommen. Die Sie in die Haftung nehmen wollen, wenn es trotzdem passiert – auch wenn das Ganze erst beim Abruf der Website auf dem Transportweg geschieht.

 

Aber reicht es nicht, wenn ich die Übertragung der Formularaten verschlüssele?

Wenn Sie nur Formulare, auf denen ihre Besucher Daten eingeben können, verschlüsseln, können Sie es auch direkt ganz sein lassen. Denn ein Angreifer müsste lediglich den Link auf ein anderes Ziel abändern, um an die eingegebenen Daten zu gelangen. Und Ihr Besucher hätte keine Möglichkeit,  dies zu erkennen, weil die Übertragung des Links zum Formular ja noch ungesichert über http erfolgen würde.

Und schließlich: Wenn wir nur geheime Inhalte verschlüsseln würden, dann würden wir hierdurch automatisch ein lohnendes Ziel für Angreifer markieren. Erst wenn wirklich die gesamte Kommunikation zwischen Ihrer Website und dem Seitenbesucher verschlüsselt ist, erfüllt die Verschlüsselung vollständig ihren Sinn.

Nutzen Sie daher für den gesamten Datenverkehr mit Ihrer Website die Transportverschlüsselung  und leiten Sie ausnahmslos alle http-Aufrufe auf HTTPS um.

 

Aber ich kann mir die für HTTPS erforderlichen SSL-Zertifikate nicht leisten!

Nein! Die erforderlichen Zertifikate gibt es kostenlos.

Und wenn Ihr Webhoster trotzdem von Ihnen hierfür Geld verlangt, dann nur, weil dies sein Geschäftsmodell ist. Und Sie sollten dann über den Wechsel Ihres Webhosters nachdenken.

 

Aber die Umstellung auf HTTPS ist doch kompliziert!

Nein, die Umstellung ist nicht kompliziert! Der Aufbau und die Pflege Ihrer Website war vielleicht kompliziert und zeitaufwändig. Die Umstellung auf HTTPS ist dagegen einfach.

Im einfachsten Fall, wenn Sie nur statische Webseiten ausliefern, erfordert die Umstellung nur eine entsprechende Einstellung im Verwaltungspanel Ihres Webhosters.

Und wenn Sie für Ihre Website ein Content-Management-System verwenden, finden sich hierfür genügend Anleitungen. Insbesondere bieten auch viele Webhoster derartige Anleitungen für ihre Kunden an. Und wenn Sie WordPress einsetzen, finden Sie hier eine einfache Anleitung.

 

Aber meine Website kann immer noch angegriffen werden, auch wenn ich HTTPS verwende

HTTPS erspart es Ihnen nicht, Ihren Webserver abzusichern. Aber die Absicherung über HTTPS ermöglicht es Ihnen, von Ihrem -sauberen- Webserver Daten sicher zu Ihrem Besucher zu transportieren und warnt vor Eingriffen auf diesem Transportweg, bei denen der Angreifer seinen Eingriff durch ein fremdes TLS-Zertifikat zu verdecken versucht. Zu diesem Zweck garantiert HTTPS Authentizität.

 

Aber nur domain-validierte Zertifikate sind doch nicht sicher!

Domain-validierten Zertifikate (DV) sind genau so sicher wie die teureren Extended-Validation-Zertifikate (EV). Bei EV-Zertifikaten wird nur zusätzlich die Identität des Webseitenbetreibers bestätigt, was etwa für Online-Banking wichtig ist. Es gibt aber absolut keinen Unterschied in der Kryptographie in einem DV-Zertifikat im Vergleich zu einem Extended Validation (EV) -Zertifikat.

 

Aber die Zertifizierungsstelle kann doch falsche Zertifikate verteilen!

Für genau diesen Fall gibt es die Certificate Transparency, mit der falsche Zertifikate entdeckt werden können, und die DNS Cerification Authority Authorization (CAA), die es Ihnen bei Bedarf ermöglicht, über einen entsprechenden CAA-Datensatz in ihrem DNS-System genau zu bestimmen, welche Zertifizierungsstelle Zertifikate für Ihre Website ausstellen kann.

 

Aber HTTPS ist doch langsam!

Nein, ist es nicht. Moderne Webserver haben genug Rechenkraft, um die Transportverschlüsselung ohne merkbare Verzögerung zu gewährleisten.

Heutzutage ist meist genau das Gegenteil der Fall: Das moderne HTTP/2-Protokoll, dass in den meisten Fällen einen bedeutend schnelleren Aufbau der Webseite ermöglicht, funktioniert nur über HTTPS.

 

Aber Phishing Sites benutzen auch HTTPS!

Ja und? Diebe benutzen auch Autos. Gehen Sie deshalb zu Fuß?

 

Aber die Werbung auf unserer Site wird über HTTP eingespielt!

Damit sprechen Sie einen der Hauptgründe an, warum auch einige große Nachrichtenseiten noch nicht auf HTTPS umgestiegen sind. Denn die Auslieferung von Anzeigen, die  immer noch über HTTP geschaltet werden, auf einer über HTTPS ausgelieferten Website führt zu Warnungen über „gemischte Inhalte“ in den Browsern der Besucher.

Aber auch der Werbemarkt hat sich in den letzten Jahren gewandelt und ernstzunehmende Werbenetzwerke bieten Ihnen inzwischen auch eine über HTTPS abgesicherte Werbeauslieferung an. Und wenn nicht, sollten Sie über einen Wechsel des Werbenetzwerkes nachdenken. Denn wie wollen Sie sicher sein, dass ein Werbenetzwerk, das bis heute die Einführung von HTTPS verschlafen hat, ansonsten auf der Höhe der Zeit ist? 

 

Aber meine Website funktioniert doch gut mit HTTP!

Abseits von allen Argumenten der Transportsicherheit für Deine Besucher, abseits der Absicherung gegen Datenschnüffeleien durch Staaten, Unternehmen und Hacker und abseits von allen rechtlichen Anforderungen, die in vielen Fällen ebenfalls HTTPS voraussetzen:

Was machen Sie denn mit den Warnmeldungen, die sowohl Google Chrome wie auch Firefox für ihre nächsten Browser-Versionen angekündigt haben? Glauben Sie wirklich, Ihre Besucher würden nochmals auf Ihre Site kommen, wenn der Browser diese Site als unsicher brandmarkt?

 

Aber die Umstellung HTTPS könnte mein Suchmaschinen-Ranking beeinträchtigen!

Richtig gemacht beeinträchtigt die Umstellung auf HTTPS nicht das Ranking Ihrer Website in den Suchmaschinen. Im Gegenteil: Google betont immer wieder, dass Websites, die über HTTPS ausgeliefert werden, gegen HTTP-Seiten einen (leichten) Vorteil im Ranking haben.

 

Aber TLS-Proxies brechen doch die HTTPS-Verschlüsselung!

Der Browser Ihrer Website-Besucher erkennt HTTPS-Interceptions genauso wie andere „Man in the middle“-Angriffe und warnt Sie. Nur wenn dieser Computer ausdrücklich (und mit Administratorrechten) angewiesen wurde, das Zertifikat des TLS-Proxis als gültiges Zertifikat anzuerkennen, kann eine solche Schnüffelei unbemerkt geschehen. Ihr Besucher -oder sein eigener Adminstrator- muss dies also ermöglichen.

Dies als Argument gegen HTTPS zu verwenden ist ungefähr genau so sinnvoll, wie ein Verbot von Schlüsseln, weil es immer noch Leute gibt, die vergessen, ihre Haustüre abzuschließen.

 

Aber der Schutz beim Surfen ist doch Aufgabe der Browsers!

Ja, klar. Das ist eine Aufgabe der Browser. Aber jeder Browser kann seinen Benutzer nur dann sicher schützen, wenn der angesurfte Webserver Anmeldeinformationen über eine HTTPS-Transportverschlüsselung bereitstellt. Dies müssen Sie als Betreiber Ihrer Website für Ihre Besucher bereitstellen.