Was ist HTTPS? Definition und Erklärung
Aus Seobility Wiki
Definition und Entwicklung
Das Hypertext Transfer Protocol Secure (kurz HTTPS) bezeichnet ein Kommunikationsprotokoll für Webseiten, bei dem das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) oder das Transport Layer Security (TLS) die Daten verschlüsselt. So wird eine vertrauliche und sichere Datenübertragung im Internet gewährleistet. Das reguläre HTTP-Layer wird dabei mit SSL beziehungsweise TLS (eine jüngere Bezeichnung für das ursprüngliche SSL) erweitert. Damit wird gewährleistet, dass Anfragen vom Browser und die vom Webserver zurückgegebenen Seiten verschlüsselt und entschlüsselt werden können. HTTP Secure wirkt dadurch Sicherheitsproblemen im Internet wie Lauschangriffen oder Man-in-the-Middle-Attacken entgegen. Seit 2014 ist die Verwendung von HTTPS offiziell ein Rankingfaktor für Google und damit auch von Bedeutung für die Suchmaschinenoptimierung.
HTTPS Check Prüfe, ob Deine Seite HTTPS verwendet.
Erstmals entwickelt wurde HTTPS von dem damaligen Browser-Betreiber Netscape. Der Beweggrund war, dass sich reguläre HTTP-Verbindungen leicht abhören lassen und potentiellen Angreifern damit gezielte Attacken auf Einzelne ermöglichen. Dies ist problematisch, da Benutzer über ihre Browser oftmals sensible Daten übertragen. Wertvolle Informationen wie etwa Bankverbindungsdaten, E-Mails oder Kreditkartendaten bedürfen eines sicheren Schutzes vor unbefugten Zugriffen.
Heute sind HTTP-Secure-Verbindungen bei Webseiten, auf denen mit sensiblen Informationen gearbeitet wird, Standard. Auch moderne Webbrowser identifizieren sichere und unsichere Verbindungen. Schon jetzt weisen Browser im Falle unbekannter oder nicht vorhandener Sicherheitszertifikate darauf hin, dass die Verbindung unsicher sein könnte. Auch in Zukunft wird das Thema aufgrund der Digitalisierung und zunehmender Cyberkriminalität immer wichtiger werden, weshalb sich Webseitenbetreiber, falls dies noch nicht geschehen ist, schon heute mit der Sicherheit ihrer Website befassen sollten.
Anwendung und Funktionsweise von HTTP Secure
TLS/SSL, als Verschlüsselungskomponente bei HTTPS, nutzt Zertifikate des Standards X 509. Hierbei handelt es sich um einen Standard für öffentliche Schlüssel beim Erstellen digitaler Zertifikate, mit dem es Nutzern möglich ist, Sender zu authentifizieren. Durch diese Zertifikate kann der Browser also sicherstellen, dass ein Server tatsächlich zu der Domain gehört, die man aufrufen möchte. Darüber hinaus nutzt HTTP Secure typischerweise den Port 443 und nicht etwa den bei HTTP sonst verbreiteten Port 80. Ports sind Bestandteile der Netzwerkadresse, durch die eine genaue Zuordnung von Verbindungen zwischen Client und Server möglich ist.
Beim Aufruf einer entsprechenden Webseite wird diese zunächst mit dem HTTPS-Layer verschlüsselt. Ebenso werden die vom Server an den Browser weitergeleiteten Daten verschlüsselt. Über den HTTP-Secure-Sublayer des Webbrowsers werden sie für die Nutzer dann wieder entschlüsselt, sodass diese die entsprechende Webseite wie gewohnt aufrufen können.
Sicherheit und Grenzen von HTTP Secure
Die Sicherheit, die HTTPS gewährleisten kann, hängt neben der Verschlüsselung auch von der Implementierung im Browser und dem Server ab. Der Unterschied zum regulären HTTP liegt allein in der Verschlüsselung, weshalb die Sicherheit durch die Mächtigkeit der Verschlüsselungstechnik bestimmt wird. Das SSL-Zertifikat gilt gegenwärtig zwar als relativ sicher, allerdings ist die sichere Übermittlung der Daten allein für einen umfassenden Schutz nicht ausreichend, denn Datensicherheit erfordert gleichermaßen eine gesicherte Speicherung beim Empfänger. Zudem ist zu berücksichtigen, dass die übertragenen Informationen am Endsystem jeweils in entschlüsselter Form vorliegen, weshalb sie nur so sicher sein können wie der eingesetzte Computer. Darüber hinaus treten gelegentlich SSL-Sicherheitslücken wie Heartbleed auf. Bei diesem schweren Programmfehler konnten in älteren Versionen der Open-Source-Software OpenSSL verschlüsselte Verbindungen privater Daten ausgelesen werden.
Abgrenzung zu S-HTTP
Verwechslungsgefahr besteht aufgrund der gleichen Buchstaben mit der Version S-HTTP. Auch diese HTTP-Variante ist auf mehr Sicherheit ausgerichtet. Sie wurde 1995 vom damaligen Unternehmen EIT entworfen und als Standard vorgeschlagen. Im Hinblick auf die gebotene Sicherheit unterscheidet sich diese Version jedoch stark von der Verschlüsselung durch HTTP Secure, weshalb die beiden Begriffe nicht durcheinandergebracht werden sollten.
Einsatz und Bedeutung
Als Standard wird das Hypertext Transfer Protocol Secure insbesondere auf solchen Webseiten eingesetzt, die mit der Eingabe sensibler Informationen durch den Nutzer verbunden sind und deshalb eine Verschlüsselung dieser Daten notwendig machen. Wesentliche Einsatzbereiche sind daher Online-Bankgeschäfte sowie passwortgesicherte Accounts. Letztere umfassen Online-Shopping-Accounts im E-Commerce, E-Mail-Accounts sowie Konten auf sozialen Netzwerken. Bei einer Attacke auf solche Accounts und die dort hinterlegten Informationen kann ein großer persönlicher Schaden entstehen. Manche Webseiten erfordern jedoch auch ohne Account die Eingabe persönlicher Daten. Online-Reisebüros oder Anbieter für Flüge und Hotels beispielsweise sehen vor, dass die Daten der Reisenden online an den Anbieter weitergeleitet werden.
Daher ist es insbesondere aus Sicht des Nutzers von Vorteil, auf entsprechenden Seiten im Internet auf eine sichere Verbindung zu achten, um den Schutz der sensiblen Informationen zu gewährleisten. Die Verwendung von HTTP Secure können Nutzer auf einfache Weise durch einen Blick auf den Beginn der Adresszeile in Erfahrung bringen. Meistens wird das sichere Protokoll auch optisch hervorgehoben sowie durch ein kleines Schloss-Symbol gekennzeichnet:
Screenshot mit Kennzeichnung der sicheren Verbindung von
Stellenwert in der SEO und weitere Vor- und Nachteile
Im August 2014 hat der Suchmaschinenbetreiber Google einen Blogbeitrag veröffentlicht, der die Nutzung von HTTP Secure als Ranking-Faktor hervorhebt. Dies ist einer der seltenen Fälle, in denen Google offiziell bestätigt hat, dass ein bestimmtes Verfahren positive Auswirkungen auf die Position in den Suchergebnisseiten (SERPs) hat. Google empfiehlt jedem Webseitenbetreiber, dessen Internetseite mit sensiblen Informationen arbeitet, die Nutzung von HTTP Secure und gegebenenfalls die Umstellung.
Abgesehen von diesem positiven Effekt auf das Ranking einer Website, besteht ein weiterer Vorteil von HTTP Secure darin, dass es ohne Installation zusätzlicher Software auskommt. Die Anwendung steht daher jedem Webseitenbetreiber zur Verfügung. Zudem erhöht die Verwendung von HTTPS das Vertrauen der Besucher und potentiellen Kunden, denen das Kürzel in der Browserzeile eine sichere Verbindung signalisiert.
Gegenüber den Sicherheitsvorteilen fallen die Nachteile eher gering aus. Zu berücksichtigen ist, dass mit der SSL-Verschlüsselung Zusatzkosten für entsprechende Zertifikate anfallen. Damit steigen auch die Kosten bei zunehmendem Traffic, was für kleinere Seiten ins Gewicht fallen kann.
Zusammenfassend zeigt sich also, die Verwendung von HTTPs kaum Nachteile mit sich bringt und das Übertragungsprotokoll deshalb und insbesondere aufgrund der Relevanz für die Suchmaschinenoptimierung unbedingt genutzt werden sollte.
https://www.sistrix.de/frag-sistrix/google-algorithmus-aenderungen/https-ranking-faktor-update/was-ist-eine-ssl-verschluesselung-und-welche-rolle-spielt-diese-bei-seo/
Was sind SSL, TLS und HTTPS?
#
256-Bit-Verschlüsselung Verfahren, bei dem ein elektronisches Dokument mit Hilfe eines Algorithmus, dessen Schlüssel 256 Bits lang ist, kodiert wird. Je länger der Schlüssel, desto stärker die Kodierung.
A
Asymmetrische Kryptographie Dabei handelt es sich um Verschlüsselungen, die während des Kodierungs- und Dekodierungsverfahrens ein Paar aus 2 Schlüsseln voraussetzen. In der Welt von SSL und TLS nennen wir sie öffentliche und private Schlüssel.
C
Certificate Signing Request (CSR) Zu Deutsch: Zertifikatsunterzeichnungsanfrage – ein maschinell lesbares Formular einer DigiCert-Zertifikatsanwendung. Ein CSR enthält in der Regel den öffentlichen Schlüssel und den kennzeichnenden Namen des Anfordernden.
Certification Authority (CA) Zu Deutsch: Zertifizierungsstelle – Eine Einheit, die dazu autorisiert ist, Zertifikate im Rahmen eines CPS (Certification Practice Statement) auszustellen, auszusetzen, zu erneuern oder zu widerrufen CAs werden durch einen kennzeichnenden Namen auf allen Zertifikaten und CRLs, die sie herausgeben, identifiziert. Eine Certification Authority muss ihren öffentlichen Schlüssel veröffentlichen oder ein Zertifikat von einer höhergestellten CA vorlegen, um die Gültigkeit ihres öffentlichen Schlüssels nachzuweisen, falls sie einer primären Certification Authority untergeordnet ist. DigiCert ist eine primäre Certification Authority (PCA).
Cipher-Suite Hierbei handelt es sich um ein Set aus Schlüsselaustauschprotokollen, die die Authentifizierungs-, Verschlüsselungs- und Nachrichtenauthentifizierungsalgorithmen enthalten, die innerhalb von SSL-Protokollen verwendet werden.
Common Name (CN) Zu Deutsch: Allgemeiner Name – Ein Attributwert innerhalb des kennzeichnenden Namens eines Zertifikats. Bei SSL-Zertifikaten ist der Common Name der DNS-Hostname der zu sichernden Website. Bei Software Publisher-Zertifikaten ist der Common Name der Unternehmensname.
Verbindungsfehler Wenn Sicherheitsprobleme den Beginn einer sicheren Sitzung verhindern, werden beim Versuch auf eine Website zuzugreifen Verbindungsfehler angezeigt.
D
Domain Validation (DV) SSL-Zertifikate Das einfachste aller SSL-Zertifikate, bei dem nur der Besitz des Domainnamens validiert wird, bevor das Zertifikat ausgestellt wird.
E
Elliptic Curve Cryptography (ECC) Zu Deutsch: Elliptische Kurvenkryptographie – Erstellt Kodierungsschlüssel basierend auf der Idee, dass Punkte auf einer Kurve zur Erstellung des öffentlichen/privaten Schlüsselpaars verwendet werden. Es ist äußerst schwierig, diese mit den von Hackern oft angewandten Methoden der rohen Gewalt zu knacken und bietet eine schnellere Lösung mit weniger Rechenleistung als eine reine RSA-Kettenverschlüsselung.
Verschlüsselung Verfahren, bei dem lesbare Daten (einfacher Text) in eine nicht lesbare Form (verschlüsselter Text) umgewandelt werden, so dass die Originaldaten entweder nicht wieder hergestellt werden können (einfache Verschlüsselung) oder nicht ohne die Verwendung eines inversen Dekodierungsverfahrens wieder hergestellt werden können (wechselseitige Verschlüsselung).
Erweiterte Validation (EV) SSL-Zertifikate Das umfassendste aller sicheren Zertifikate, das die Domain validiert, einer sehr strengen Authentifizierung des Unternehmens bedarf und in der Adressleiste angezeigt wird.
K
Schlüsselaustausch Dies ist die Art und Weise, auf die Benutzer und Server ein sicheres Pre-Master-Secret für eine Sitzung festlegen.
M
Master Secret Das Schlüsselmaterial, das für die Generierung von Kodierungsschlüsseln, MAC-Secrets und Initialisierungsvektoren verwendet wird.
Message Authentication Code (MAC) Zu Deutsch: Nachrichtenautentifizierungscode – Eine einfache Hash-Funktion, die über eine Nachricht und ein Secret arrangiert wird.
O
Organization Validation (OV) SSL-Zertifikate Eine Art SSL-Zertifikat, das den Besitz der Domain und die Existenz des dahinterstehenden Unternehmens validiert.
P
Pre-Master Secret Das Schlüsselmaterial, das zur Ableitung des Master Secrets verwendet wird.
Public Key Infrastructure (PKI) Zu Deutsch: Öffentliche Schlüsselinfrastruktur — Architektur, Organisation, Techniken, Praktiken und andere Verfahren, die gemeinsam die Umsetzung und den Betrieb eines zertifikatbasierten öffentlichen kryptographischen Schlüsselsystems unterstützen. Die PKI besteht aus Systemen, die zusammenarbeiten, um das öffentliche kryptographische Schlüsselsystem und möglicherweise andere, damit verbundene Services bereitzustellen und umzusetzen.
S
Sicherer Server Server, der die Host-Webseiten mit Hilfe von SSL oder TLS schützt. Wenn ein sicherer Server verwendet wird, wird der Server dem Benutzer authentifiziert. Darüber hinaus werden die Informationen des Benutzers vom SSL-Protokoll des Webbrowsers des Benutzers verschlüsselt, bevor sie über das Internet versendet werden. Informationen können nur durch die Hostseite entschlüsselt werden, die sie angefordert hat.
SAN (Subject Alternative Name) SSL-Zertifikate Art von Zertifikat, mit dem mehrere Domains mit einem SSL-Zertifikat gesichert werden können.
SSL Steht für Secure Sockets Layer. Protokoll für Webbrowser und Server, mit dem über das Internet gesendete Daten authentifiziert, kodiert und dekodiert werden können.
SSL-Zertifikat Server-Zertifikat, das die Authentifizierung des Servers zum Benutzer ermöglicht, sowie die Verschlüsselung von Daten, die zwischen dem Server und dem Benutzer übertragen werden. SSL-Zertifikate werden direkt von DigiCert verkauft und ausgestellt, sowie durch die von DigiCert verwaltete PKI für SSL-Center.
SSL-Handshake Ein Protokoll, das innerhalb von SSL zur Sicherheitsverhandlung verwendet wird.
Symmetrische Verschlüsselung Verschlüsselungsmethode, bei der derselbe Schlüssel während der Kodierungs- und Dekodierungsverfahren verwendet wird.
T
TCP Transmission Control Protocol, eines der Hauptprotokolle in jedem Netzwerk.
W
Wildcard SSL-Zertifikate Art von Zertifikat, das zur Sicherung mehrerer Subdomains verwendet wird.
6 Gründe für die sichere Website mit SSL Zertifikat HTTPS
Für die Umstellung auf eine sichere Website (HTTPS) mit SSL Zertifikat gibt es sechs gute Gründe.
1) Eine sichere Website bildet Vertrauen beim Nutzer.
Google ist weiterhin stark interessiert, das Internet sicherer zu machen. Im aktuellen Chrome Browser werden unsichere Verbindungen als „nicht sicher“ angezeit. Dieser Hinweis ist momentan noch dezent, aber das könnte sich zukünftig ändern. Nachlesen kann man das im Google Security Blog.
Das vielleicht zukünftige Warnsignal können die Benutzer von Chrome schon jetzt aktivieren. Einfach in der Chrome Browserzeile „chrome://flags“ eingeben und bestätigen. Bis zum Punkt „Mark non-secure origins as non-secure“ scrollen. Jetzt die Einstellung „Default“ auf „Always mark HTTP as actively dangerous“ ändern.
So sah der dezente Warnhinweis vor der Umstellung aus:
So könnte zukünftig der Hinweis für eine nicht sichere Website aussehen:
Dieses deutliche und abschreckende rote Warnsignal kann schon den ein oder anderen Besucher Ihrer Website irritieren! Wie wirkt das auf Sie?
Eine mit SSL / TLS verschlüsselte Website nutzt das HTTPS Protokoll. Sie zeigt dem Nutzer ein grünes Schloss in der Chrome Browserzeile an. Das schafft Vertrauen bei den Besuchern der Webseite.
2) Sicherer Datentransfer bei SSL verschlüsselten Websites
„Verschlüsselte Verbindungen sind im Kommen: Bereits 71 der 100 meistbesuchten Webseiten setzen laut Google auf HTTPS. Gegenüber dem Vorjahr bedeutet das einen Anstieg um fast 50 Prozent.“
Quelle: Heise.de
Der Datenaustausch erfolgt mit einer SSL / TLS Verschlüsselung und bietet einen sicheren Transfer.
Immer mehr Nutzer sind für das Thema Sicherheit sensibilisiert und legen Wert auf eine sichere Datenverbindung. Für eine zukunftssichere Internetseite ist eine Umstellung sehr empfehlenswert oder sogar ein muss.
3) Ranking Signal bei Google für HTTPS
Google hat bereits 2014 bekannt gegeben, daß verschlüsselte Webseiten einen kleinen Bonus gegenüber nicht verschlüsselten Webseiten erhalten.
Wer Zeit und Lust hat, kann sich bei Youtube das Video über die Beweggründe und Entstehung ansehen.
Google belohnt eine sichere Website mit HTTPS Verbindung, was sich positiv auf das Ranking auswirken kann.
Im Dezember 2015 informierte Google, daß HTTPS URLs einen weiteren kleinen Ranking-Boost im vergangenen Jahr erhalten haben.
4) Bessere Performance der Seitenladezeit mit HTTP/2
Im Gegensatz zu HTTP/1.1 kann HTTP/2 die Daten direkt gleichzeitig vom Server laden.
Bei HTTP/1.1 werden maximal acht Verbindungen aufgebaut. Die Datenpakete werden nacheinander angefordert und heruntergeladen. Das kostet Zeit und beeinträchtigt die Nutzererfahrung.
Der aktuelle Webstandard HTTP/2 funktioniert nur in Verbindung mit einer verschlüsselten Webseite. Zur Performancesteigerung benötigt man also man eine verschlüsselte HTTPS Verbindung (SSL Zertifikat) und einen Server der HTTP/2 unterstützt.
Der Leistungsunterschied wird hier veranschaulicht.
Keycdn bietet einen Test an, ob Ihr Server oder das CDN HTTP/2 unterstützt.
5) Datenschutz personenbezogener Daten oder sensibler Daten.
Sensible Daten
Anmeldedaten, wie zum Beispiel Benutzername und Kennwort für Shops, Banken oder Foren.
Zu personenbezogenen Daten
zählen beispielsweise schon die Emailadresse und der Name. Das bedeutet, wenn auf einer Webseite die Kontaktaufnahme über ein Kontaktformular angeboten wird, werden hier personenbezogene Daten elektronisch übertragen.
Ob dafür aus rechtlicher Sicht eine verschlüsselte Webseite zwingend erforderlich ist, kann ich nicht beurteilen. Mit einer HTTPS-Verschlüsselung sind Sie aber vermutlich auf der sicheren Seite.
Das Kontaktformular wird per HTTPS an den Webserver übertragen. Der Abruf der Emails vom Server sollte sicherheitshalber ebenfalls verschlüsselt erfolgen.
Wer Spaß und Freude an der Deutung von Gesetzestexten hat, kann sich hier und auch hier informieren.
6) Kostenlose TLS Zertifikate von Let’s Encrypt
Für alle, die bisher nicht bereit waren, ein paar Euro pro Monat für eine verschlüsselte Internetseite oder Blog auszugeben. Seit 2015 gibt es eine kostenlose Alternative.
Let’s Encrypt bietet kostenlose TLS-Zertifikate. Diese Zertifikate sollten für die meisten Websitebetreiber ausreichen.
Ab Januar 2018 sind sogar Wildcard-Zertifikate geplant.
Was gibt es bei der Umstellung auf HTTPS zu beachten?
Von Google wird die Umstellung auf HTTPS wie ein Domainumzug gewertet. Um Rankingverluste zu vermeiden, muss von der alten URL auf die neue HTTPS-URL korrekt umgeleitet werden. Bei meiner Website gab es temporär einen kleinen Rankingverlust, schlussendlich hat sich das Ranking aber kurz darauf verbessert.
Die Social Shares von Facebook und Google+ gehen verloren, da es eben zwei unterschiedliche Domains sind. Die vormals unverschlüsselte Webseite und die neue verschlüsselte Variante.
Hier eine Möglichkeit, wie es gelingen kann, die alten Shares wieder zu aktivieren.
Unterstützt der Server kein HTTP/2 kann sich die Performance geringfügig verschlechtern. Faktisch bewegt sich das aber im Bereich von Millisekunden und kann aus meiner Sicht getrost vernachlässigt werden.
Sie möchten Ihre Homepage auf SSL/TLS Verschlüsselung umstellen? Dann nehmen Sie einfach Kontakt auf.
Gefällt Ihnen der Artikel? Dann bitte teilen. Ich danke!
