Was Sie über Dinge wie HTTP und HTTPS wissen sollten
Zuletzt aktualisiert am 23. September 2019 von Claus Nehring
Einleitung
Ist Ihnen das schon einmal aufgefallen? Eigentlich geben Sie ja nur eine Webadresse in der Form www.xyz.com in Ihren Browser ein. Aber danach dem Seitenaufruf steht in der Adresszeile auf einmal http://www.xyz.com oder https://www.xyz.com und Ihr Browser zeigt Ihnen an, ob er diese Website als sicher oder nicht erachtet.
Aber was ist in diesem Moment eigentlich passiert? Und warum sagt Ihr Browser auf einmal, dass diese Website nicht sicher sei? Und was ist der Unterschied zwischen HTTP und HTTPS? Und ist das überhaupt wichtig für Sie?
Und mit genau diesen Fragen beschäftigt sich dieser Artikel in leicht verständlicher Form. Und ja, es ist wichtig für Sie. Besonders dann, wenn Sie eine eigene Website betreiben oder das in Erwägung ziehen. Und auch sonst kann’s ja nicht schaden, wenn Sie’s wissen, oder?
Eine ganz kurze technische Erklärung
Keine Bange, allzu technisch wird’s hier nicht. Grundsätzlich beschreiben die Kürzel HTTP und HTTPS nämlich so ziemlich das gleiche, nämlich ein Transportprotokoll zur Datenübertragung. Webseiten, deren Adresse in Ihrem Browser mit HTTP beginnt, benutzen das ursprünglich Anfang der 90er Jahre geschaffene Übertragungsprotokoll für Internet-Seiten.
Und das funktioniert auch ganz tadellos, ist nur nicht besonders sicher. Das liegt ganz einfach daran, dass die übermittelten Daten nicht verschlüsselt werden. Und dass diese Daten über eine Unzahl verschiedener Knoten von Ihrem Webbrowser zu dem zuständigen Webserver übertragen werden. Und das halt im Prinzip jeder mitlesen kann, der Zugriff auf einen dieser Knoten hat.
Stellen Sie sich HTTP also in etwa so vor, als würden Sie jemanden in einem Restaurant über drei Tische mit begeisterten Zuhörern hinweg den PIN-Code Ihrer Kreditkarte zurufen. Täten Sie nicht, oder?
Nun ist das alles gar nicht so schlimm, solange keine sensiblen Daten im Spiel sind. Aber wenn Sie Kontonummern, PIN-Codes oder Passwörter versenden, dann ist das nicht so toll. Und genau hier kommt HTTPS ins Spiel.
HTTPS ist im Grunde ein um eine Verschlüsselungsfunktion ergänztes HTTP. Diese Verschlüsselung nennt sich TLS (vielfach wird auch noch SSL gesagt, auch wenn’s eigentlich nicht mehr stimmt) und sorgt eigentlich nur dafür, dass Ihr Browser die übertragenen Daten so verschlüsselt, dass sie nur vom Empfangsserver wieder verschlüsselt werden können. Jeder interessierte Lauscher dazwischen bekommt also nur Kauderwelsch zu hören.
Und außerdem sorgt das Protokoll dafür, dass die von Ihrem Webbrowser empfangenen Daten auch tatsächlich vom gewünschten Webserver kommen und nicht auf dem Weg zu Ihnen von irgendjemanden verändert wurde.
Eine deutlich technischere und erheblich detaillierte Erklärung des ganzen können Sie bei Interesse auf tausenden von Websites und natürlich auch in diesem Wikipedia-Artikel finden. Mir geht’s auf dieser Seite eigentlich nur darum, dass der Sinn des Ganzen klar wird.
Mehr zur geschichtlichen Entwicklung des Internet finden Sie übrigens bei Interesse in meinem Artikel „Die Entstehungsgeschichte des Internet“.
Darum braucht Ihre Website HTTPS
Das heißt aber ja eigentlich auch, dass Ihre Website HTTPS nur dann braucht, wenn auch sensible Daten übertragen würden. Und das war bis vor einigen Jahren auch tatsächlich so, trifft aber heute (glücklicherweise) nicht mehr zu.
Google hat nämlich im Jahr 2018 nicht sehr überraschend (weil doch sehr viele Websites gekapert wurden und die Benutzer teilweise kräftig erleichtert haben) angekündigt, dass alle Websites ohne SSL-Zertifikat (also mit HTTP) künftig als „nicht sicher“ markiert würden. Und von Google dementsprechend auch mit einem schlechteren Rang im Google-Index bestraft würden.
Und im Jahr 2018, genau genommen im Mai, trat auch die Datenschutz-Grundverordnung (DSGVO) in Kraft, die den Begriff des Datenschutzes ja bekanntlich erheblich ausdehnt und Websitebetreibern einige zusätzliche Maßnahmen auferlegt. Jede Spekulation über das Zusammentreffen dieser beiden Ereignisse wäre übrigens genau das, eine reine Spekulation eben.
Auf jeden Fall werden Sie als Websitebetreiber seit 2018 mehrfach gestraft, wenn Sie HTTPS nicht nutzen. Einmal von Google mit schlechteren Suchergebnissen und zum zweiten vom Gesetzgeber oder einem der (leider immer noch sehr aktuellen und unangenehm teuren) Abmahnvereine. Denn jede gewerblich genutzte Website unterliegt dieser Datenschutz-Grundverordnung (und das ist beinahe jede Website).
Mehr zu den Auswirkungen der DSGVO finden Sie in meinem Artikel „Wie erreiche ich eine DSVGO-Konformität“ und mehr zum Thema Suchergebnisse in meinem Artikel „SEO – Wie verbessere ich mein Ranking bei Google & Co.“.
So bekommt Ihre Website HTTPS
Nachdem die grundsätzliche Idee von HTTPS und die Folgen der Nichtnutzung nach der Lektüre der ersten Absätze jetzt wohl klar sein sollten, geht es jetzt um die Frage, wo Sie HTTPS denn eigentlich herbekommen und was Sie dafür tun müssen.
Und das ist auch nicht so sehr kompliziert. Sie benötigen dafür ein sogenanntes SSL-Zertifikat (das eigentlich TLS-Zertifikat heißen müsste, siehe oben), das auf Ihrer Website installiert wird. Sowohl die Beantragung des Zertifikats als auch die Installation desselben sollte eigentlich Ihr Webprovider für Sie vornehmen.
Bei einem Hosting Ihrer Website auf meinem Webserver übernehme ich diese Arbeit übrigens für Sie und stelle Ihnen dafür die mir von meinem Hosting-Provider VC-Server berechneten Kosten in Rechnung. Das sind derzeit (die Zertifizierungsstelle ist übrigens SECTIGO) für ein Zertifikat der Klasse 1 für ein Jahr 21 € und für 2 Jahre 39 €.
Es gibt auch Zertifikate der Klasse 3, bei denen die Identität des Eigentümers sehr viel gründlicher geprüft wird. Ein Zertifikat der Klasse 1 sollte aber für die meisten kleineren Websites völlig ausreichend sein.
Grundsätzlich könnten Sie Ihre Zertifikate übrigens auch gratis bekommen, beispielsweise über den Anbieter „Let’s Encrypt“. Aber wenn Ihr Hosting-Provider diese Zertifikate nicht unterstützt, kann die Einrichtung leicht teurer werden als der Kauf eines Zertifikats von einem unterstützten Anbieter.
Bei manchen Providern ist übrigens (vor allem in den höherpreisigen Paketen) das Zertifikat bereits im Paketpreis enthalten.
Nach dem Zertifikat muss die Website umgestellt werden
Nachdem das Zertifikat nun einmal vorliegt und auf Ihrem Webserver installiert ist, muss nun noch die Website umgestellt werden. Das heißt eigentlich nichts anderes als die Änderung aller Links und Adressen von HTTP zu HTTPS.
Und unter WordPress geht das auch tatsächlich recht einfach. Ein paar Änderungen in der Verwaltung von WordPress, ein Plug-In, dass alle Referenzen in den WordPress-Datenbanken umstellt und nach 1 – 2 Stunden ist der Umstellung erledigt. Eine einfache Anleitung in ein paar Schritten finden Sie beispielsweise in meinem Artikel „Die WordPress-Umstellung auf HTTPS in ein paar Schritten„.
Bei den von mir erstellten Websites binde ich im Allgemeinen ein SSL-Zertifikat direkt ein, damit entfällt dann jede Umstellungsarbeit. Sie können sich aber auch gerne an mich wenden, wenn Sie eine eventuelle Umstellung Ihrer bestehenden Website lieber nicht selbst vornehmen möchten.
Fazit
Das Fazit ist in diesem Fall recht einfach, weil es schlicht keine Alternative gibt. Wenn Sie kein SSL-Zertifikat installieren und wenn Sie HTTPS nicht nutzen, werden Sie von allen Seiten abgestraft.
Also rüsten Sie Ihre Website bitte möglichst schnell auf HTTPS auf und erfreuen Sie sich möglichst bald an dem netten Schloss und der Einstufung als „Sicher“ in Ihrem bevorzugten Webbrowser.
Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.