Im Januar hat Google damit begonnen, Webseitenbesucher in der Adressleiste ihres Chrome-Browsers vor unsicheren »Verbindungen« (Seiten) zu warnen – Seiten, die über das bis dato »normale« Protokoll HTTP (Hypertext Transfer Protocol) geladen werden und die Kontaktinformationen, Passwörter, Kreditkartennummern oder andere vertrauliche Daten abfragen.
Mit der neuen Version des Browsers (Google Chrome 68) geht Google noch einen Schritt weiter: Ab Juli 2018 werden alle unverschlüsselten Webseiten explizit als »Nicht sicher« gekennzeichnet – unabhängig davon, ob sie tatsächlich vertrauliche Daten abfragen oder nicht. Und da Google Chrome für rund 67 Prozent der Internetnutzer weltweit der Browser der Wahl ist, könnten unsere Besucher glauben, hier wäre etwas nicht in Ordnung und wären verunsichert, obwohl wir keine vertraulichen Daten über unsere Webseite sammeln.
Ab Juli wird nur eine Webseite, die man über das »sichere« Protokoll HTTPS (Hypertext Transfer Protocol Secure) erreicht, dem Besucher als »Sicher« angezeigt, zu erkennen an dem https:// in der Adresszeile und dem grünen Schloss.
HTTPS verschlüsselt Webseiten auf dem Weg vom Webserver zum Browser. Die dadurch gesicherte Verbindung schützt vertrauliche Informationen wie Passwörter und Kontodaten vor Diebstahl und Verfälschung, weswegen Banken schon seit Jahren ausschließlich HTTPS nutzen. Jetzt wird es auf diesem Weg auch von uns verlangt.
HTTPS setzt aber voraus, dass man dem Besucher bzw. seinem Browser klarmacht, dass er tatsächlich auf der Seite ist, auf der er glaubt zu sein. Dazu muss sich die Webseite dem Browser gegenüber ausweisen. Hierfür verwendet man ein so genanntes SSL-Zertifikat, das man beschaffen und auf der Webseite zur Prüfung bereitstellen (lassen) muss.
SSL steht für Secure Socket Layer. Das ist auch wieder ein Protokoll und verwendet eine kleine Datendatei, die auf den Webserver geladen wird und einen kryptografischen Schlüssel digital an Domain-, Server- und Hostnamen sowie (bei höherer Sicherheitsstufe) die Identität des Webseiteninhabers bindet. Die Daten werden beim Beantragen eines SSL-Zertifikats von einer Zertifizierungsstelle überprüft, und auf dieser Basis wird ein »individuelles« Zertifikat ausgestellt.
Je nachdem, wie viele Informationen man übermitteln möchte und wie stark diese geschützt werden sollen, kann man zwischen unterschiedlich starken Verschlüsselungen (Sicherheitsstufen) wählen. Bei besonders sicheren Verbindungen (Banken!) wird neben dem grünen Schloss statt »Sicher« übrigens der Name des Zertifikatsinhabers angezeigt. Allerdings ist so etwas für einen normalen Webseitenbetreiber zu komplex und zu teuer. Wenn man mit der rechten Maustaste auf das Schloss klickt, erhält man nähere Informationen zum Zertifikat.
Beim Aufrufen einer Webseite fragt der Browser die Identität des Webservers ab. Der Webserver sendet eine Kopie seines SSL-Zertifikats an den Browser. Der Browser überprüft, ob das SSL-Zertifikat glaubwürdig ist. Ist das der Fall, sendet er eine Nachricht an den Webserver. Der Webserver sendet anschließend eine digital signierte Bestätigung zurück und aktiviert HTTPS, um eine verschlüsselte Kommunikation einzuleiten.
Mit der Umstellung von HTTP auf HTTPS und dem Erwerb und der Einrichtung eines SSL-Zertifikats können wir zu mehr Sicherheit beim Datenaustausch beitragen und – was wichtiger ist – wir verlieren nicht durch die ominöse Markierung »Nicht sicher« das Vertrauen in uns und unser Online-Angebot.
Ganz nebenbei kümmern wir uns damit auch um das Ranking unserer Webseite bei Google. Denn ab Juli wird Google Webseiten ohne SSL-Verschlüsselung und Verwendung von HTTPS »abstrafen«, sodass diese im Ranking dann schlechter dastehen.