Direkt zum Inhalt

Unsichere Seiten?

Jan 2017
HTTP und HTTPS – Warum und was muss an meiner Homepage geändert werden?

Chrome warnt seit Version 56 im Januar 2017 nach und nach immer dringender vor unsicheren Seiten. Als unsicher sieht Chrome zunächst nur Seiten mit Passwörtern und Kontoinformationen, die mit dem http-Protokoll aufgerufen werden.

Nach und nach sollen die Warnungen eindringlicher werden, bis schließlich nur noch Seiten mit dem https-Protokoll ohne Warnung passieren.

Das http-Protokoll war bislang der Normalfall für alle Webseiten. https-Seiten kam erst im letzten Jahr mit Macht, aber nur wenigen Besuchern fällt auf, dass es Seiten mit und ohne Schloss in der Navigationsleiste gibt. Weder der zarte und eher versteckte Warnhinweis auf unsicheren Seiten noch das https:// springen kaum einem Besucher ins Auge, denn die Browser unterdrücken das http:// und https://.

Meine Seitemeineseite.deMeine sichere Seitemeineseite.de

Bei den Seiten für Online-Banking sind die Benutzer allerdings eher für die Sicherheit ihrer Daten sensibilisiert. Wo liegt der Unterschied zwischen http und https?

Was bewirkt HTTPS?

Das kleine s bewirkt gleich zwei Unterschiede:

  1. Die Webseite mit https hat ein Zertifikat
  2. überträgt die Daten in Formularfeldern verschlüsselt.

Die verschlüsselte Übertragung von privaten Informationen ist der wichtige Schritt zum Schutz vor Hackern und Spammern. Verschlüsselte Zugangsdaten fallen den Viren und Trojanern auf unseren Rechnern nicht mehr ohne Gegenwehr in die Hände.

Sommerweide für Hacker und Spammer

Auf einem Rechner, der ohne Wissen seines Benutzers mit einem Virus oder Trojaner verseucht ist, kommen Hacker und Spammer z.B. an die Zugangsdaten für den Mailserver. Der eigene Rechner versendet so lange Spam-Emails, bis die IP-Adresse des Benutzers in den Blacklists auffliegt und der Provider den Mail-Account sperrt.

  • Vielleicht liest der Virus auch die Emailadressen aus unserem Adressbuch … dann bekommen alle unsere Kontakte einen kräftigen Zuwachs an Spam-Emails.
  • Vielleicht kommt der Hacker auch an die Zugangsdaten für den FTP-Account und innerhalb kürzester Zeit sitzt Malware im eigenen Internet-Auftritt.

Ein Virus oder Trojaner auf dem eigenen Rechner – na, dafür haben wir doch die Antiviren-Software! Schwups und weg? Von wegen. Bis der Virus beseitigt ist, hat er den Rechner abgegrast und schon unzähligen weitere Opfer gesammelt.

Das Verschlüsseln von Zugangsdaten und Daten in Online-Formularen verhindert das einfache Ausspionieren.

Seiten auf der sicheren Seite

  1. Schritt 1 ist die Anschaffung eines Zertifikats. Zertifikate werden von Zertifizierungsstellen ausgestellt und rangieren heute von kostenlos (Zertifikate von Let's Encrypt) bis zu den teuren Zertifikaten für Shops und Hochsicherheitsanwendungen wie Banking.
  2. Schritt 2 ist die Installation des Zertifikats auf dem Server.
  3. Schritt 3 ist das Ersetzen von http:// in den URLs von Bildern, Anhängen und Links auf der eigenen Webseite. Bei Content Management Systemen wie WordPress oder Drupal muss dieser Schritt in den Dateien des Themes, den Einstellungen des CMS und in der Datenbank durchgeführt werden. Das macht man entweder in der Datenbank (z.B. mit PHP-MyAdmin) oder mit einem Plugin.
  4. Schritt 4 ist die Anweisung an den Server, die Webseite nur noch über https auszusenden.
  5. Schritt 5 kommt hinzu, wenn Analyse-Programme wie Analytics oder Piwik benutzt werden. Eventuell muss der Account auch noch in den Webmaster-Tools abgemeldet und als neuer Account mit der Adresse https angemeldet werden.

Neuen Kommentar schreiben

Klartext

  • Keine HTML-Tags erlaubt.