Was ist HTTPS Everywhere?
HTTPS Everywhere ist eine auf Best Practices beruhende Initiative, die sicherstellen soll, dass Websitebesucher vor Online-Bedrohungen geschützt sind. Der Begriff bezieht sich darauf, dass Ihre gesamte Website (und nicht nur einzelne Webseiten) über HTTPS als ein durch TLS/SSL abgesichertes Webprotokoll geschützt wird. Kurz gesagt wird jede Seite Ihrer Website durch TLS/SSL-Verschlüsselung geschützt und daher in Web-Browsern nicht als unsicher angezeigt.
HTTPS ermöglicht die Authentifizierung der Identität, Verbindung und Datenintegrität einer Website und verschlüsselt alle zwischen der Website und dem Benutzer geteilten Informationen (darunter auch Cookies). So können die Daten vor unbefugter Einsicht, Nutzung und Manipulation geschützt werden. Eine sichere Verbindung während der gesamten Browsersitzung ist entscheidend, um Benutzer vor Spoofing, der Einschleusung von Schadcode und „Man-in-the-Middle“-Angriffen zu schützen.
Browser und die Durchsetzung von HTTPS
Es reicht heute nicht mehr aus, Benutzerverbindungen nur teilweise zu schützen. Wenn Sie HTTPS auf Ihrer Website nicht durchgängig einsetzen, dann sind nur gewisse Seiten durch die Verschlüsselung und Authentifizierung über TLS/SSL geschützt, während andere Seiten für Datendiebstahl, die Einschleusung von externen Inhalten, die Modifizierung von Inhalten und Datenschutzverletzungen durch Internetüberwachung anfällig sind. Eine sporadische Implementierung von TLS/SSL entspricht weder den sicherheitstechnischen Erwartungen und Rechten der Benutzer noch erfüllt diese Vorgehensweise die Erwartungen der Betreiber von Browsern und Betriebssystemplattformen.
Im Rahmen eines mehrjährigen Vorhabens zur Förderung des Einsatzes von sind gängige Browseranbieter wie Google, Mozilla und Apple dazu übergegangen, Benutzern mithilfe von Warnmeldungen von einem Besuch auf Webseiten, die nur HTTP einsetzen, abzuraten. Gleichzeitig soll auf diese Weise die Umstellung auf sichere HTTPS-Websites gefördert werden.
Warum ist die Nutzung von HTTPS Everywhere wichtig?
Online-Geschäfte beruhen auf Kundenvertrauen. Um dieses Vertrauen zu gewinnen, müssen Sie jede Webseite, die Besucher aufrufen, umfassend schützen – nicht nur die Anmeldeseite und den Warenkorb. Änderungen an Internetstandards und Web-Browsern bevorteilen Websites, die HTTPS verwenden, und benachteiligen aktiv die nicht gesicherten Websites, die bei HTTP bleiben. Zum Beispiel gesteht Google seit 2014 den Suchergebnissen für Seiten, die über HTTPS zugänglich sind, einen Ranking-Vorteil zu. Google zeigt auch über einen Hinweis in der Adressleiste von HTTPS-Seiten an, dass diese sicher sind. Darüber hinaus zeigt Google Chrome seit Juli 2018 eine Sicherheitswarnung für alle Seiten an, die über HTTP bereitgestellt werden.
Chrome war der erste namhafte Browser, der Benutzern eine Warnung auf allen HTTP-Seiten anzeigte. Andere Browser sind diesem Beispiel gefolgt, als sich im Internet das Prinzip „Secure by Default“, also die standardmäßige Nutzung der sichersten Einstellungen, durchsetzte. Heute setzen viele neue Internettechnologien und Browserfunktionen die Nutzung von HTTPS voraus. Dazu gehören unter anderem HTTP/2, ein von Grund auf verbessertes Internetkommunikationsprotokoll, das die Performance einer Website erheblich steigern kann, sowie Browserfunktionen wie Ortungsdienste, Benachrichtigungen, Service Worker, der AMP-Standard von Google und neue Komprimierungsmethoden. Kurz gesagt ist eine Website ohne HTTPS nicht mehr zeitgemäß.
Die drei wichtigsten Tipps für die Umstellung auf HTTPS Everywhere
1. Vergewissern Sie sich, dass alle für Sie wichtigen Services von Drittanbietern, wie Werbung oder Analysedienste, auf Ihrer Website über HTTPS verfügbar sind. So vermeiden Sie Probleme aufgrund von „gemischten Inhalten“.
2. Kaufen Sie zusätzliche TLS/SSL-Zertifikate, falls verschiedene Teile Ihrer Website auf unterschiedlichen Servern oder Domains ausgeführt werden.
3. Leiten Sie alle Ihre Webseiten zu den entsprechenden HTTPS-Seiten um und aktualisieren Sie Google Webmaster bzw. Google Search Console. Wenn Sie auf HTTPS Everywhere umstellen, wirkt sich das auch auf Ihre SEO-Einstellungen aus. Google und andere Suchmaschinen betrachten dies nämlich als eine Verschiebung der Website (ähnlich wie eine Verschiebung zu einem neuen Domainnamen).