US-Regierung und Wikipedia stellen ganz auf HTTPS um – sollten Website-Besitzer es ihnen gleichtun?

Originaleintrag von David Sancho (Senior Threat Researcher)

Vergangene Woche wurden in der Welt der Online-Sicherheit einige interessante Neuigkeiten bekannt. So kündigte die US-Regierung an, dass sämtliche Websites, die von Bundesbehörden betrieben werden, spätestens ab Ende 2016 nur noch HTTPS verwenden dürfen. Desgleichen ließ die Wikimedia Foundation (allgemein bekannt für ihr „Produkt“ Wikipedia) verlautbaren, dass auch sie für ihre eigenen Sites die Verwendung von HTTPS verpflichtend machen werde, und zwar bereits „innerhalb einiger Wochen“.
Wenn große Organisationen vollständig und ausschließlich auf HTTPS umstellen und Browserhersteller ebenfalls dafür plädieren (Mozilla zum Beispiel hat zu Protokoll gegeben, dass neue Funktionen am Ende nur für Sites, die HTTPS unterstützen, zur Verfügung stehen werden), stellt sich die Frage, ob auch kleinere Site-Besitzer und -Betreiber diesen Schritt vollziehen sollten. Sollten etwa Endanwender auf die Betreiber ihrer Lieblings-Sites Druck ausüben, auf HTTPS umzustellen? Würde das die Online-Sicherheit wirklich erhöhen?

Die Antwort lautet kurz und bündig Ja. Site-Betreiber sollten auf jeden Fall in Erwägung ziehen, für ihre Sites HTTPS-Unterstützung anzubieten. Viele Menschen haben schon verstanden, dass eine breite Unterstützung von HTTPS die Sicherheit im Web zumindest langfristig erhöhen würde. Web-Giganten wie Google und Mozilla sowie internationale Gremien wie die Internet Engineering Task Force (IETF) und das World Wide Web Consortium (W3C) haben sich alle für diesen Schritt ausgesprochen. Neue Sites sollten ohnehin von Beginn an HTTPS nutzen. Das ist die Richtung, in die sich das Web heutzutage bewegt, und jede neue Site sollte schon bei ihrer Erstellung die Sicherheit und Privatsphäre ihrer Anwender berücksichtigen. Die Besitzer und Betreiber bestehender Sites sollten so bald wie unter praktischen Gesichtspunkten möglich die Unterstützung von HTTPS einrichten, vor allem wenn dort sensible Daten verarbeitet werden.

Website-Administratoren sollten zudem bedenken, dass auch Suchmaschinen die Nutzung von HTTPS in ihre Algorithmen zur Berechnung des Site-Rankings einfließen lassen könnten, zumindest langfristig. Google macht genau das bereits heute. Obwohl der Einfluss auf das Ranking aktuell noch nicht sehr stark ist, könnte sich das im weiteren Verlauf durchaus ändern. Site-Besitzer sind deshalb gut beraten, die Initiative zu ergreifen und ihre Nutzer in ein Webzeitalter zu führen, das die Sicherheit und Privatsphäre gewährleistet.

HTTPS: Ein guter Anfang

Freilich ist es wichtig, darauf hinzuweisen, dass die verpflichtende Nutzung von HTTPS zwar einen wichtigen Schritt in Richtung erhöhter Online-Sicherheit darstellt, die diesbezüglichen Bemühungen dort jedoch nicht haltmachen sollten. Mit HTTPS tritt definitiv eine Verbesserung ein, um eine perfekte und vollumfängliche Lösung des Online-Sicherheitsproblems handelt es sich dabei jedoch nicht.

Am besten lässt sich HTTPS mit dem Versand eines Briefes in einem sicheren Behälter, einem Safe zum Beispiel, vergleichen. Ein Angreifer könnte nun den Behälter gegen seinen eigenen, zwar sicheren, aber gefälschten Safe austauschen und den Brief stehlen, sobald er geöffnet wird (gleichbedeutend mit dem Diebstahl der entschlüsselten Daten vom Rechner des jeweiligen Anwenders), oder dem Nutzer einen sehr sicheren Safe mit einer darin versteckten Bombe schicken (entspricht der Umleitung einer Nutzeranfrage auf eine bösartige Site durch einen sicheren Übertragungskanal). HTTPS widmet sich dem Sicherheitsproblem während des Transports, das heißt während die Daten über das Internet verschickt werden. Andere Probleme bei der Online-Sicherheit löst es jedoch nicht und war auch niemals dafür gedacht.

Die Bemühungen, HTTPS-Implementierungen zur Norm im Web zu machen, stellen definitiv einen Schritt in die richtige Richtung dar und die Besitzer und Betreiber von Websites sollten sich auf jeden Fall dieser Entwicklung anschließen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.