Wenn Browser plötzlich rot sehen und eine SSL-Verschlüsselung zum Muss wird
Ende April 2017 gab Google bekannt, dass der Google Chrome Browser in naher Zukunft vor Websites warnt, die über keine oder keine ausreichende SSL-Verschlüsselung verfügen. Die Kennzeichnung von Websites als „unsicher“ wird ab der kommenden Version des Chrome Browsers ausgegeben. Die Veröffentlichung von Version 62 ist zu Ende Oktober 2017 geplant.
Die Markierung als „unsicher“ gilt insbesondere für Websites, auf denen sich Formulare befinden und in denen Benutzer ihre Daten eintragen und absenden. Dazu gehören Kontaktformulare, Newsletter-Anmeldeformulare oder auch Login-Formulare. Bei einer nicht verschlüsselten Übertragung werden Daten im Klartext verschickt. Problematisch hierbei ist: Abgefangene Daten können gelesen werden.
Eine per SSL / HTTPS verschlüsselte Website sorgt für einen geschützten Datenaustausch. Benutzer fühlen sich bei der Nutzung einer Website und bei der Eingabe ihrer Daten sicher. Zudem tragen SSL-Zertifikate zu einer erhöhten Sicherheit im Web bei. Ein weiterer Pluspunkt: sie steigern die Sichtbarkeit einer Website bei Google und anderen Suchmaschinen.
Eine nicht verschlüsselte Website hingegen kann zu einem Imageschaden und einem Rankingverlust führen – HTTPS ist seit dem 17. August 2014 ein offizieller Ranking-Faktor von Google. Des Weiteren besteht durch die fehlende / unzureichende Verschlüsselung ein erhöhtes Abmahnrisiko.
Welche Zertifikate gibt es?
Für die Absicherung von Websites gibt es unterschiedliche Zertifikate:
- Single-Domain Zertifikate – gültig für eine Domain
- Wildcard Zertifikate – gültig für eine unbegrenzte Anzahl direkter Subdomains / First-Level-Subdomains einer Domain
- Multi-Domain Zertifikate – gültig für eine Vielzahl unterschiedlicher Domains
Die Laufzeiten variieren je nach Anbieter und Modell. Ab dem 01. März 2018 dürfen SSL-Zertifikate nur noch mit einer Laufzeit von 27 Monaten ausgestellt werden. Daher empfehlen wir den Kauf eines Zertifikates für eine Laufzeit von 36 Monaten.
Wie gut sind kostenlose Zertifikate – ist „Let’s Encrypt“ eine Alternative?
Seit Mitte 2016 bietet „Let’s Encrypt“ kostenlose SSL-Zertifikate an. Hinter Let’s Encrypt verbirgt sich eine Non-Profit Zertifizierungsstelle (Englisch: Certification Authority, kurz: CA), die es sich zum Ziel gesetzt hat, HTTPS zum Standard des World Wide Web zu machen. Dabei soll jedem Websitebetreiber ermöglicht werden, seine Website einfach und kostenlos zu verschlüsseln. Um dies zu ermöglichen, hat Let’s Encrypt einen automatisierten Prozess für die Ausstellung von SSL-Zertifikaten geschaffen. Die Gültigkeit der Let’s Encrypt-Zertifikate beträgt 90 Tage.
Zwei Fragen, die dabei zweifelsohne aufkommen: Wie gut sind kostenlose Zertifikate im Vergleich zu kostenpflichtigen? Und ist kostenlos wirklich kostenlos?
Ein SSL-Zertifikat ist nicht automatisch unsicherer, nur weil es kostenlos ist. Zertifikate gelten als sicher, egal ob kostenpflichtig oder kostenlos.
Die Frage, ob kostenlos wirklich kostenlos ist, lässt sich nur mit einem „Jein“ beantworten:
Auf der einen Seite lautet die Antwort „Ja“, denn das SSL-Zertifikat selbst ist kostenlos.
Auf der anderen Seite lautet die Antwort hingegen klar „Nein“, denn mit der Anschaffung eines Zertifikates allein, ist es nicht getan. Hinzu kommen Aufwände für die Implementierung und Konfiguration sowie für die regelmäßige Erneuerung der Zertifikate alle 90 Tage.
Ist der Einsatz von Let’s Encrypt im professionellen Umfeld empfehlenswert?
Wie im vorherigen Abschnitt bereits erläutert, gelten die kostenlosen SSL-Zertifikate von Let’s Encrypt als genauso sicher wie kostenpflichtige Zertifikate. Die Gültigkeit dieser Zertifikate ist mit 90 Tagen vergleichsweise gering – die „klassischen“ Zertifikate haben in der Regel eine Gültigkeit von 12, 24 oder 36 Monaten – allerdings ist die geringere Laufzeit grundsätzlich unproblematisch.
Ein Einsatz von Let’s Encrypt im professionellen Umfeld ist empfehlenswert, sofern eine entsprechende technische Infrastruktur existiert, die eine vollautomatisierte Konfiguration der Systeme erlaubt. MFC verfügt über solch eine technische Infrastruktur, wodurch wir Let’s Encrypt-Zertifikate mit unserem Konfigurationsmanagement Puppet automatisiert konfigurieren und verwalten können.
Warum eine SSL-Verschlüsselung zum Muss wird
Wir nehmen an, dass die Kennzeichnung von Websites als „unsicher“ lediglich der erste Schritt ist, um Websites ohne SSL-Verschlüsselung zu bestrafen. Wir gehen davon aus, dass auch die anderen gängigen Browser dazu übergehen werden, unverschlüsselte Websites deutlich auffälliger als „unsicher“ zu kennzeichnen, als es bisher bereits der Fall ist. Eine als unsicher gekennzeichnete Website erweckt immer einen unseriösen Eindruck.
Um diese Kennzeichnung zu vermeiden und einem damit verbundenen Vertrauensverlust entgegenzuwirken, sollte das Back- und Frontend einer Website auf HTTPS umgestellt werden – und das am besten vor der Veröffentlichung der neuen Chrome-Version Ende Oktober 2017. Ob Sie dabei auf kostenpflichtige oder kostenlose SSL-Zertifikate setzen, spielt in puncto Sicherheit erst einmal keine Rolle.
Wir freuen uns, wenn Ihr diesen Beitrag teilt.
Kommentare
Keine Kommentare gefunden.