Tobias Scheible Cyber Security & IT-Forensik Dozent
10 häufigsten Fehlern bei der HTTPS-Implementierung

10 häufige Fehler bei der Einführung von HTTPS

Nachdem Google verlauten ließ, dass die Absicherung der Verbindung per HTTPS einen positiven Einfluss auf das Ranking hat und die Initiative Let’s Encrypt kostenlose Zertifikate bereitstellt, verwenden immer mehr Websites HTTPS. Dadurch wird die Sicherheit bei offenen Internetverbindungen, wie zum Beispiel in öffentlichen WLANs, deutlich erhöht. Allerdings gibt es einige Punkte, die beachtet werden müssen. SEMrush hat eine Infografik veröffentlicht, die übersichtlich die 10 häufigsten Problemfelder behandelt.

Sonntag, 21. Mai 2017
2 Kommentare
Web Development
SSL, TLS, HTTPS

Zur Absicherung von HTTP-Verbindungen wird TLS eingesetzt, welches mit einem System aus Zertifikaten realisiert wird. Es ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Wird TLS in Verbindung mit HTTP eingesetzt, spricht man von HTTPS. Transport Layer Security (TLS) ist eine Weiterentwicklung des SSL-Protokolls durch die Internet Engineering Task Force (IETF). Seit der Version 3.0 wird das Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht. Für gewöhnlich authentifiziert sich zuerst der Server gegenüber dem Client nach dem Verbindungsaufbau durch den Webbrowser mit einem Zertifikat. Dann schickt entweder der Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl oder die beiden Parteien berechnen mit dem Diffie-Hellman-Schlüsselaustausch-Algorithmus ein gemeinsames Geheimnis. Aus dem Geheimnis wird dann ein kryptografischer Schlüssel abgeleitet. Dieser Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln und zum Schutz der Nachrichten-Integrität und Authentizität mit einer Prüfsumme abzusichern.

Die Initiative für kostenlose TLS-Zertifikate Let’s Encrypt hat die Zahlen ausgewertet, die Firefox über die Telemetry Funktion sammelt. Die Statistik zeigt, dass seit dem 13. März 2017 im Durchschnitt mehr als 50% aller Seitenaufrufe per HTTPS erfolgen. Wer seine Seite noch nicht umgestellt hat, sollte darüber nachdenken. Es bringt nur Vorteile und der Aufwand hält sich in Grenzen: entweder selbst Let’s Encrypt einrichten oder einen Webhoster mit Let’s Encrypt Unterstützung wählen (z.B. Mittwlad, Variomeida, ADITSYSTEMS, Netways, Host Europe, …). Dabei hilft die Infografik zu den 10 häufigsten Fehlern bei der HTTPS-Implementierung von SEMrush:

10 häufige Fehler bei der Einführung von HTTPS - Infografik
[Infogtafik] 10 häufige Fehler bei der Einführung von HTTPS | Quelle: SEMrush
Infografik über 10 häufige Fehler bei der Einführung von HTTPS [Infogtafik] 10 häufige Fehler bei der Einführung von HTTPS



Zum Überprüfen der SSL Verbindung bietet sich der SSL Server Test von SSL Labs an.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Marc Master am 27. Juni 2017 um 18:56 Uhr

Hi Tobias!
vielen Dank für die Tipps. Habe diesen Artikel abgespeichert, da der Text gute Punkte enthält, die mir später sicherlich behilflich sein werden.
Schön formatierter Text.

Grüße.
Marc

Sascha am 27. August 2017 um 14:57 Uhr

Hallo Tobias, schöner Artikel.

Versuche mich gerade daran die Webseite auf https umzustellen. Jedoch nicht so einfach wie gedacht und ist mehr wie nur eine kleine Umstellung im WordPress Backend.

Mein Problem sind die gemischten Inhalte, interne Links und Banner von anderen Seiten. Viele bieten noch keine https Version an. Wie gehst du damit um? Sollte man lieber vorerst ganz auf https verzichten?
Grüße
Sascha

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.