Wer auf HTTPS verzichtet, geht ein großes Risiko ein

22. Jan 2018

Matthias Burtscher

4 Min.

Nicht sicher!

Letzter Aufruf zur Umstellung auf HTTPS

Wieso HTTPS für eure Website wichtig ist, haben wir schon vor zwei Jahren erklärt. „Das dürfte genügen, um die letzten Zweifler zu überzeugen“, hatten wir gedacht …

Doch nach wie vor werden wir genötigt, unsere Zugangsdaten auf unverschlüsselten Websites einzutippen und schicken sie völlig ungeschützt auf ihre Reise durch das Internet. Selbst 40 Prozent der größten Unternehmen Vorarlbergs verzichten nach wie vor auf HTTPS. Das muss sich ändern!

Oh Schreck! Wie unseriös.

Viele scheinen immer noch davon überzeugt zu sein, dass der „normale Benutzer“ es ohnehin nicht bemerkt, ob eine Seite verschlüsselt ist oder nicht. Auch wenn die Hinweise in modernen Browsern (noch) subtil sind, sind sie zahlreich und werden mit jedem Browser-Update besser sichtbar.

Auf SSL-gesicherten Webseite zeigt die Adressleiste an, dass es sich um eine sichere Seite handelt.

Nutzer, die auf dem Großteil der Websites den Hinweis „Sicher“ zu sehen bekommen, werden sich zurecht fragen, ob denn die anderen Seiten unsicher sind. Und wer möchte schon, dass Kunden negative Adjektive mit dem eigenen Unternehmen verbinden?

Entschließen sich Nutzer der Sache auf den Grund zu gehen, wird’s noch peinlicher:

Zugegeben, bei klassischen Websites kann man das schon mal übersehen. Fahrlässig ist jedoch, wenn Passwörter, persönliche Daten oder Zahlungsinformationen unverschlüsselt übertragen werden. Passiert das in einem öffentlichen Wi-Fi-Netzwerk oder im Büro, kann jeder mitlesen.

Um Kunden zu schützen, haben die Entwickler von Firefox bereits vor Monaten einen nicht zu übersehenden Hinweis eingebaut, der darauf hinweist:

Neben der Sicherheit eurer Nutzer trägt HTTPS auch dazu bei, dass Inhalte unverändert beim Empfänger ankommen. Ohne HTTPS ist es zum Beispiel auch möglich, dass Anbieter von öffentlichen Wi-Fi-Netzwerken ungefragt Werbung in eure Seiten einfügen.

Immer noch nicht überzeugt? Dann kommen wir nun zu unserem finalen Argument …

Google und das Geld!

Die eigene Website an erster Stelle bei Google. Wer möchte das nicht? Immerhin informieren sich auch B2B-Kunden über das Internet. Deshalb stecken Unternehmen auch viel Geld in On- und Off-Site-Optimierung sowie Werbeanzeigen über Google AdWords.

Vor diesem Hintergrund auf SSL-Verschlüsselung zu verzichten, mutet paradox an und gleicht der Verbrennung von Geld. Google hat bereits 2014 angekündigt, HTTPS als Ranking-Faktor zu berücksichtigen und die Gewichtung nach und nach zu erhöhen. Drei Jahre später ist HTTPS eine der grundlegendsten und am einfachsten zu treffenden SEO-Maßnahmen.

Wesentlich wichtiger für das Ranking eines Portales ist jedoch seine Performance. Und diese lässt sich z.B. mit dem neuen HTTP/2-Protokoll signifikant steigern, da Ressourcen parallel übertragen werden können. Ihr ahnt es schon: HTTP/2 funktioniert nur mit HTTPS.

So einfach wie nie.

Wer bereits vor einigen Jahren mit SSL-Zertifikaten gearbeitet hat, weiß, dass das schnell viel Geld kosten kann. Die Zertifizierer haben sich das Ausstellen von Zertifikaten für Websites gut bezahlen lassen und so wurde schon rein aus Kostengründen oft darauf verzichtet. Doch seit Google’s Vorstoß mit HTTPS everywhere hat sich einiges getan!

Dank Let’s Encrypt können SSL-Zertifikate für jede Art von Online-Auftritt seit April 2016 völlig kostenlos und automatisiert bezogen werden. Hostinganbieter wie All-Inkl integrieren dieses direkt in ihre Hosting-Pakete, andere wie DomainFactory bieten ein kostenloses Zertifikat für jedes Webhosting-Paket. Wer in der Cloud unterwegs ist, hat es noch einfacher. Der AWS Certificate Manager zum Beispiel stellt kostenlose Zertifikate für die Nutzung mit Amazon Web Services aus.

Wichtig zu wissen: Die neuen Gratis-Zertifikate stehen ihren überteuerten Vorgängern in Punkto Sicherheit in nichts nach. Wer Extended Validation oder Wildcard-Zertifikate benötigt, muss jedoch nach wie vor die klassische Variante wählen.

Get it or regret it!

Die Umstellung auf HTTPS ist bereits lange überfällig. Wenn eure Website jetzt noch keine verschlüsselte Verbindung bereitstellt, dann solltet ihr das so rasch wie möglich ändern. Wenn Nutzer auch Passwörter oder persönliche Daten übermitteln, besser heute als morgen.