Tobias Scheible
Web-Entwickler, Ingenieur & Dozent
10 häufigsten Fehlern bei der HTTPS-Implementierung

Datum: Sonntag, 21. Mai 2017

Autor: Tobias Scheible

Kommentar(e): 2 Kommentare

Kategorie: Infografiken

Tags: HTTPS, SSL, TLS

10 häufige Fehler bei der Einführung von HTTPS

Nachdem Google verlauten ließ, dass die Absicherung der Verbindung per HTTPS einen positiven Einfluss auf das Ranking hat und die Initiative Let’s Encrypt kostenlose Zertifikate bereitstellt, verwenden immer mehr Websites HTTPS. Dadurch wird die Sicherheit bei offenen Internetverbindungen, wie zum Beispiel in öffentlichen WLANs, deutlich erhöht. Allerdings gibt es einige Punkte, die beachtet werden müssen. SEMrush hat eine Infografik veröffentlicht, die übersichtlich die 10 häufigsten Problemfelder behandelt.

Zur Absicherung von HTTP-Verbindungen wird TLS eingesetzt, welches mit einem System aus Zertifikaten realisiert wird. Es ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Wird TLS in Verbindung mit HTTP eingesetzt, spricht man von HTTPS. Transport Layer Security (TLS) ist eine Weiterentwicklung des SSL-Protokolls durch die Internet Engineering Task Force (IETF). Seit der Version 3.0 wird das Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht. Für gewöhnlich authentifiziert sich zuerst der Server gegenüber dem Client nach dem Verbindungsaufbau durch den Webbrowser mit einem Zertifikat. Dann schickt entweder der Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl oder die beiden Parteien berechnen mit dem Diffie-Hellman-Schlüsselaustausch-Algorithmus ein gemeinsames Geheimnis. Aus dem Geheimnis wird dann ein kryptografischer Schlüssel abgeleitet. Dieser Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln und zum Schutz der Nachrichten-Integrität und Authentizität mit einer Prüfsumme abzusichern.

Die Initiative für kostenlose TLS-Zertifikate Let’s Encrypt hat die Zahlen ausgewertet, die Firefox über die Telemetry Funktion sammelt. Die Statistik zeigt, dass seit dem 13. März 2017 im Durchschnitt mehr als 50% aller Seitenaufrufe per HTTPS erfolgen. Wer seine Seite noch nicht umgestellt hat, sollte darüber nachdenken. Es bringt nur Vorteile und der Aufwand hält sich in Grenzen: entweder selbst Let’s Encrypt einrichten oder einen Webhoster mit Let’s Encrypt Unterstützung wählen (z.B. Mittwlad, Variomeida, ADITSYSTEMS, Netways, Host Europe, …). Dabei hilft die Infografik zu den 10 häufigsten Fehlern bei der HTTPS-Implementierung von SEMrush:

10 häufige Fehler bei der Einführung von HTTPS - Infografik
[Infogtafik] 10 häufige Fehler bei der Einführung von HTTPS | Quelle: SEMrush
Infografik über 10 häufige Fehler bei der Einführung von HTTPS [Infogtafik] 10 häufige Fehler bei der Einführung von HTTPS



Zum Überprüfen der SSL Verbindung bietet sich der SSL Server Test von SSL Labs an.

  • Artikel teilen:

Über Tobias Scheible

Tobias Scheible

Tobias Scheible arbeitet als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen. Dort ist er als Autor und e-Tutor im Masterstudiengang Digitale Forensik tätig und leite im Bachelorstudiengang IT Security Praktika rund um das Thema Informationssicherheit. Darüber hinaus ist er Mitinitiator des Kompetenzzentrums Cyber Security Lab, welches Forschungsprojekte auf dem Gebiet der IT-Sicherheit koordiniert. Zusätzlich hält er Vorträge und Workshops zu aktuellen Themen der IT-Sicherheit.

Alle Blog-Artikel Website Facebook Twitter Xing

Kommentare

Marc Master

Hi Tobias!
vielen Dank für die Tipps. Habe diesen Artikel abgespeichert, da der Text gute Punkte enthält, die mir später sicherlich behilflich sein werden.
Schön formatierter Text.

Grüße.
Marc

Sascha

Hallo Tobias, schöner Artikel.

Versuche mich gerade daran die Webseite auf https umzustellen. Jedoch nicht so einfach wie gedacht und ist mehr wie nur eine kleine Umstellung im WordPress Backend.

Mein Problem sind die gemischten Inhalte, interne Links und Banner von anderen Seiten. Viele bieten noch keine https Version an. Wie gehst du damit um? Sollte man lieber vorerst ganz auf https verzichten?
Grüße
Sascha

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

nach oben