Seit 2014 legt Google bereits Wert darauf, dass Webseiten eine sichere Verbindungsmethode anbieten. Wenn eine Webseite also kein HTTPS (Hypertext Transfer Protocol Secure) unterstützt, kann dies die Platzierung der Webseite in den Suchergebnissen negativ beeinflussen1. Zudem ist es wichtig, dass sensible Daten (beispielsweise über ein Kontaktformular) sicher übertragen werden, dies ist beispielsweise in der DSGVO festgelegt. Inzwischen ist es Standard, dass Webseiten eine sichere Verbindung über HTTPS anbieten.
In Firefox kann man beispielsweise erkennen, dass HTTPS genutzt wird, wenn im Eingabefeld für Webadressen der Anfang https:// statt http:// ist. In Google Chrome kann links neben dem Eingabefeld auf einen Regler geklickt werden, dort wird dann „Verbindung ist sicher“ angezeigt.
HTTPS aktivieren
Wenn du einen Homepagebaukasten benutzt, wird oftmals HTTPS automatisch aktiviert, oder du findest im Kundenportal eine Einstellung, um diese Option zu setzen.
Bei einem Webhoster gibt es ebenfalls oftmals die Möglichkeit, sogenannte SSL/TLS-Zertifikate zu beziehen. Eine kostenlose Möglichkeit wird oftmals durch LetsEncrypt angeboten und ist vollkommen ausreichend. Manchmal muss jedoch ein Zertifikat kostenpflichtig bezogen werden, wenn diese Möglichkeit nicht angeboten wird. Ich habe mich entschieden, für diese Webseite ein kostenloses LetsEncrypt Zertifikat zu beziehen und dieses entsprechend bei meinem Webhoster konfiguriert, wie im folgenden Bild ersichtlich:
Falls du deinen eigenen Server betreibst, wird dies höchstwahrscheinlich Apache oder Nginx sein. Hier gibt es die Möglichkeit, ein kostenloses LetsEncrypt Zertifikat beispielsweise mit CertBot automatisiert zu installieren. Alternativ kann ein Zertifikat auch manuell installiert werden, dazu gibt es zahlreiche gut dokumentierte Anleitungen.
Wenn die entsprechenden Konfigurationen durchgeführt wurden, sollte die Seite über die entsprechende https:// Adresse erreichbar sein und als sicher angezeigt werden.
Wenn möglich, sollte auch darauf geachtet werden, eine automatische Erneuerung der Zertifikate einzurichten und starke Sicherheitsparameter zu wählen.
von http:// auf https:// weiterleiten: HSTS
Zusätzlich ist es empfehlenswert, wenn alle unsicheren http:// Anfragen automatisch auf die sichere https:// Variante umgeleitet werden. Dafür kann beispielsweise der HTTP Strict-Transport-Security response header (HSTS) genutzt werden. Dieser muss bei einem eigenen Server entsprechend konfiguriert werden. Es sollte eine möglichst hohe Lebensdauer gewählt werden.
Bei Baukästen und Webhostern gibt es oftmals eine Option, eine Weiterleitung im Kundenportal zu setzen. Im Bild weiter oben heißt die Einstellung beispielsweise „HTTPS-Weiterleitung“. Dabei handelt es sich zwar meist nicht um HSTS, aber der Effekt ist ähnlich. Anfragen werden entsprechend auf die sichere Variante umgeleitet. Ein Nachteil besteht darin, dass die anfängliche HTTP-Verbindung immer noch für einen Man-in-the-Middle-Angriff anfällig ist. Hier hat man jedoch oftmals keine Möglichkeiten zur ordentlichen HSTS-Konfiguration gegeben.
Verschlüsselung prüfen
Um zu prüfen, ob der Webserver soweit korrekt konfiguriert ist und nur sichere Verschlüsselungsalgorithmen2 anbietet, kann dieser mit verschiedenen Tools überprüft werden. Eine einfache Möglichkeit besteht in der Nutzung von https://www.ssllabs.com/ssltest/. Dort kann kostenlos über das Eingabeformular im Browser ein Bericht zu der eingegebenen Seite erstellt werden. Alle Ergebnisse schlechter als A deuten dabei auf Nachbesserungsbedarf hin. Wer technischer unterwegs und somit im Umgang mit der Kommandozeile fit ist, kann beispielsweise testssl.sh nutzen.
Als unsicher markierte Verschlüsselungsalgorithmen sollten entsprechend deaktiviert werden. Bei der Nutzung eines Webhosters oder Baukasten hat man hier oftmals nur begrenzte Möglichkeiten, muss sich oftmals an den Support wenden. Wer einen eigenen Server betreibt, kann diese Konfiguration einfach selbst durchführen.
Weitere Optimierungen
Für technisch versierte Menschen und sicherheitskritische Webanwendungen gibt es neben diesen grundlegenden Einstellungen auch noch weitere Einstellungen, die gesetzt werden können. Diese beziehen Elemente wie DNS oder eine CSP mit ein. Beispielsweise kann DNS CAA oder DNSSEC konfiguriert werden. Zusätzlich können diverse HTTP header gesetzt werden, beispielsweise Expect-CT, Content-Security-Policy, X-Frame-Options und ähnliche.
- https://developers.google.com/search/blog/2014/08/https-as-ranking-signal?hl=de ↩︎
- Technisch gesehen Cipher Suites und nicht einzelne Algorithmen ↩︎