Chrome warnt seit Version 56 im Januar 2017 immer dringender vor unsicheren Seiten. Als unsicher sah Chrome zunächst nur Seiten mit Passwörtern und Kontoinformationen, die mit http aufgerufen werden.
Nach und nach sind die Warnungen eindringlicher geworden, bis schließlich nur noch Seiten mit dem https-Protokoll ohne Warnung passieren. Das gilt inzwischen auch nicht mehr nur für Chrome, sondern für alle Browser.
Das http-Protokoll war in der Vergangenheit der Normalfall für alle Webseiten. https-Seiten kam erst im letzten Jahr mit Macht, aber nur wenigen Besuchern fällt auf, dass es Seiten mit und ohne Schloss in der Navigationsleiste gibt. Weder der zarte und eher versteckte Warnhinweis auf unsicheren Seiten noch das https:// springen kaum einem Besucher ins Auge, denn die Browser unterdrücken das http:// und https://.
Bei den Seiten für Online-Banking sind die Benutzer allerdings eher für die Sicherheit ihrer Daten sensibilisiert. Wo liegt der Unterschied zwischen http und https?
Was bewirkt HTTPS?
Das kleine s bewirkt gleich zwei Unterschiede:
- Die Webseite mit https hat ein Zertifikat von einer offiziellen Zertifizierungsstelle, die den Browsern bekannt ist und der sie vertrauen.
- Die Webseite überträgt Daten in Formularfeldern verschlüsselt.
Die verschlüsselte Übertragung von privaten Informationen ist der wichtige Schritt zum Schutz vor Hackern und Spammern. Verschlüsselte Zugangsdaten fallen den Viren und Trojanern auf unseren Rechnern nicht mehr ohne Gegenwehr in die Hände.
Sommerweide für Hacker und Spammer
Auf einem Rechner, der ohne Wissen seines Benutzers mit einem Virus oder Trojaner verseucht ist, kommen Hacker und Spammer z.B. an die Zugangsdaten für den Mailserver. Der eigene Rechner versendet so lange Spam-Emails, bis die IP-Adresse des Benutzers in den Blacklists auffliegt und der Provider den Mail-Account sperrt.
- Vielleicht liest der Virus auch die Emailadressen aus unserem Adressbuch … dann bekommen alle unsere Kontakte einen kräftigen Zuwachs an Spam-Emails.
- Vielleicht kommt der Hacker auch an die Zugangsdaten für den FTP-Account und innerhalb kürzester Zeit sitzt Malware im eigenen Internet-Auftritt.
Ein Virus oder Trojaner auf dem eigenen Rechner – na, dafür haben wir doch die Antiviren-Software! Schwups und weg? Von wegen. Bis der Virus beseitigt ist, hat er den Rechner abgegrast und schon unzähligen weitere Opfer gesammelt.
Das Verschlüsseln von Zugangsdaten und Daten in Online-Formularen verhindert das einfache Ausspionieren.
Seiten auf der sicheren Seite
- Schritt 1 ist die Anschaffung eines Zertifikats. Zertifikate werden von Zertifizierungsstellen ausgestellt und rangieren heute von kostenlos (Zertifikate von Let's Encrypt) bis zu den teuren Zertifikaten für Shops und Hochsicherheitsanwendungen wie Banking.
- Schritt 2 ist die Installation des Zertifikats auf dem Server.
- Schritt 3 ist das Ersetzen von http:// in den URLs von Bildern, Anhängen und Links auf der eigenen Webseite. Bei Content Management Systemen wie WordPress oder Drupal muss dieser Schritt in den Dateien des Themes, den Einstellungen des CMS und in der Datenbank durchgeführt werden. Das macht man entweder in der Datenbank (z.B. mit PHP-MyAdmin) oder mit einem Plugin.
- Schritt 4 ist die Anweisung an den Server, die Webseite nur noch über https auszusenden.
- Schritt 5 kommt hinzu, wenn Analyse-Programme wie Analytics oder Piwik benutzt werden. Eventuell muss der Account auch noch in den Webmaster-Tools abgemeldet und als neuer Account mit der Adresse https angemeldet werden.
Mehr zum Thema Sichere Webseiten
- SSL für Banking, Login und Shopping Besonders kritisch sind der Besuch bei der Seite der Bank, das Login bei Facebook & Co und natürlich bei den Seiten von Online-Händlern.