/ Security

Benötige ich HTTPS?

Ja, Sie benötigen HTTPS!

In diesem Artikel finden Sie eine Zusammenstellung von Aussagen und Antworten, die zeigen, wie wichtig der Einsatz von HTTPS ist und wie fatal der Verzicht.

"Es gibt keine sensiblen Daten auf meiner Website."

Sie haften für die Inhalte Ihrer Webseite! Nur weil Sie Ihre Webseite sicher bei einem Hoster Ihres Vertrauens bereitstellen lassen, heißt das nicht, dass sie auch sicher über das Internet übertragen wird. Das Internet besteht aus unzähligen Instanzen, die von Unternehmen oder staatlichen Einrichtungen betrieben und überwacht werden. Wollen Sie wirklich riskieren, dass auf dem Weg zu Ihren Besuchern, fremde Inhalte, wie Skripte, Bilder oder Werbung ohne Ihr Wissen auf Ihrer Seite platziert werden? Oder Inhalte gegen Ihre Interessen geändert werden? Es wäre sogar möglich Ihre Webseite gezielt zu nutzen, um andere Webseiten anzugreifen!

All das passiert tagtäglich auf Flugreisen, bei öffentlichen WLAN-Hotspots oder unter staatlicher Hand in China und sogar bei einer Vielzahl von Internet-Service-Providern. HTTPS verhindert all dies. Es stellt sicher, dass die Integrität Ihrer Daten gewahrt wird und erkennt, ob Ihre Daten manipuliert werden. Wenn Sie nur jene Daten verschlüsseln, die Geheimnisse enthalten, geben Sie den Angreifern automatisch ein konkretes Ziel, auf dass sie sich fokussieren können.

Verschlüsseln Sie Ihre Daten ab dem ersten Bit und geben Angreifern somit keine Chance.

Zudem zeigen Sie auch so Ihren Kunden und Besuchern, dass Sie Wert auf IT-Security legen. Allein diese Außenwirkung sollte nicht vernachlässigt werden. Oder wie vertrauenswürdig finden Sie Webseiten, auf denen Sie von Ihrem Browser gewarnt werden, dass diese unsicher sind?

"Meine Webseite beinhaltet aber keine Kontaktformulare oder sammelt Informationen über meine Besucher."

Das spielt keine Rolle. HTTPS schützt weit mehr als nur Kontaktanfragen. HTTPS stellt sicher, dass URL, HTTP-Header und sämtliche Inhalte vertraulich übertragen und vor Manipulation durch Dritte geschützt werden.

"Die Webseite wird zwar via HTTP ausgeliefert, unserer Kontaktformulare werden jedoch mit HTTPS ausgewertet."

Dieses Vorgehen ist so gut, als wenn Sie komplett auf HTTPS verzichten würden. Alles was der Angreifer tun muss, ist den Link zum Kontaktformular oder sogar die Zieladresse des Formulars auf seine eigene Server zeigen zu lassen. Sie haben keine Möglichkeit dies zu erkennen, weil die Seite vorher mit HTTP ausgeliefert wurde.

Verschlüsseln Sie die komplette Seite und leiten HTTP-Anfragen auf HTTPS um.

"Zertifikate sind mir zu teuer!"

Sie sind kostenlos.

"HTTPS ist sehr schwer einzurichten und muss gewartet werden."

Wir helfen Ihnen gern dabei. Schreiben Sie uns einfach

"Angreifer können meine Website immer noch imitieren, auch wenn ich HTTPS verwende."

Angreifer können es versuchen, aber solange Ihr privater Schlüssel privat bleibt, werden gängige Browser Sicherheitswarnungen generieren, wenn ein Angreifer ein nicht übereinstimmendes oder ungültiges SSL/TLS-Zertifikat verwendet. Oder anders gesagt: HTTPS garantiert die Echtheit Ihrer Seite.

"Domain-validierte (DV) Zertifikate sind nicht sicher."

Doch, sind Sie. Wichtig ist: Verlieren Sie nicht die Kontrolle über Ihre DNS-Einträge. Wählen Sie eine kompetente Zertifizierungsstelle. Was die reine Kryptographie ablangt, gibt es absolut keinen Unterschied zwischen einem DV-Zertifikat und einem Zertifikat mit erweiterter Validierung (EV).

"Die CA kann jeder Zeit für Dritte, ohne mein Wissen, ein Zertifikat ausstellen oder es gibt andere Sicherheitsbedenken mit der CA."

Um Probleme mit den CAs an sich zu mindern, sollten Sie CAA Records (Certification Authority Authorization) verwenden, um genau zu regeln, welche CAs Zertifikate für Ihre Domain ausstellen dürfen. Zudem haben Sie die Möglichkeit über das Public Key Pinning eine zusätzliche Kontrollinstanz zu realisieren.

"HTTPS versteckt nicht die Größe des Inhalts und legt so hinweise für Angreifer offen."

TLS 1.3 und HTTP/2 haben Padding-Frames, um die Größe des Chiffretextes künstlich zu vergrößern.

"HTTPS versteckt nicht den DNS-Lookup."

Das ist korrekt. Denn DNS ist nicht mit HTTP gleichzusetzen. Das sollte aber dennoch kein Grund sein auf HTTPS zu verzichten.

"HTTPS ist langsam."

Nein, ist es nicht. Websites mit modernen Servern laden schneller über HTTPS als über HTTP; aufgrund von HTTP/2.

"Phishing Seiten verwenden HTTPS."

Dann sollten Sie das auch tun ;)

"Unsere Website zeigt Anzeigen über HTTP an."

Das ändert nichts an der Tatsache, dass Ihre Website HTTPS benötigt. Der Einsatz von HTTPS mit Inhalten, die über HTTP ausgeliefert werden, verursacht "Mixed-Content"-Warnungen im Browser. Also sollten Sie entweder Ihren Anbieter wechseln oder ihn überzeugen die Inhalte via HTTPS auszuliefern.

"Alles funktioniert über HTTP ganz gut, wir hatten noch nie Probleme"

Das dachten schon viele namenhafte Firmen. Bis die ersten Browser begannen, HTTP-Seiten als unsicher zu markieren.

"TLS-Proxies brechen die Garantien von HTTPS."

Das ist nur dann der Fall, wenn der Computer des Endbenutzers dahin gehend modifiziert wird, dem TLS-Proxy zu vertrauen. Dies erfordert jedoch Administratorberechtigungen. Außerdem kann der Webserver das Abfangen der HTTPS-Verbindung in der Regel erkennen.

"Ich möchte aber weiterhin via HTTP und HTTPS meine Seite bedienen können."

Der einzige Grund, warum Sie Verbindungen zu Port 80 auf Ihren Servern erlauben sollten, besteht darin, alle Anfragen an Port 443 weiterzuleiten und dann die Verbindung auf Port 80 zu schließen.

"Meine Seite ist nur intern oder über ein VPN zugänglich."

Die Frage ist: Wie sehr vertrauen Sie dem Unternehmen, welches die Infrastruktur bereitstellt und der Hardware die im Netzwerk eingesetzt wird?

"Wir hashen unsere Passwörter"

Das ist gut, solange Sie die Hashes via HTTPS übermitteln.

"HTTPS beeinflusst SEO."

Das ist absolut korrekt. HTTPS verbessert Ihr SEO!

"Es sollte die Aufgabe des Browsers sein, die Nutzer zu schützen."

Korrekt, aber nicht weit genug gedacht. Browser können die Sicherheit nur dann garantieren, wenn der Server über ein HTTPS-Zertifikat Anmeldeinformationen bereitstellt. Als Website-Inhaber, ist es Ihre Verantwortung, diese Anmeldeinformationen für Ihre Kunden zur Verfügung zu stellen.

Quelle: https://doesmysiteneedhttps.com/