Sind verschlüsselte Websites bald Standard?

Sind verschlüsselte Websites bald Standard?

Immer mehr Gründe sprechen dafür, verschlüsselte Verbindungen für Websites einzurichten. Ob Website-Betreiber ohne SSL-Zertifikat zukünftig sogar Nachteile haben: Produktmanager Mischa Dlouhy hat die Antwort.

Neue Entwicklungen begünstigen SSL

Bei Browsern und Suchmaschinen sieht Dlouhy Entwicklungen, die Verschlüsselung für Websites zukünftig zum Standard erheben könnten. Dazu kommt das gestiegene Sicherheitsbewusstsein der Internetnutzer durch die Spionageaffäre rund um die NSA. Könnte SSL deshalb bald zur Website dazu gehören – wie Airbags, Sicherheitsgurte und ABS beim modernen Auto?

1. Strengere Browser-Kennzeichnung für Websites

„Browser kennzeichnen Verschlüsselung oder fehlende Verschlüsselung immer stärker“, sagt Dlouhy. „Die Idee, die sie verfolgen ist, alle Websites zukünftig SSL-verschlüsselt zu haben, um das Internet sicherer zu machen. Dabei intensivieren Browser vor allem die Kennzeichnung fehlender und veralteter Verschlüsselung. So bekommt Verschlüsselung viel mehr Aufmerksamkeit, wenn Warnsymbole im Browser auf fehlende oder unsichere SSL-Verbindungen hinweisen, als wenn nur sichere Verbindungen mit einem Schloss symbolisch als sicher angezeigt werden.“

2. Neue Browser-Funktionen bald nur für Websites mit SSL-Zertifikat?

Browser wie Mozilla versuchen die Verschlüsselung für Websites sogar so weit voran zu treiben, dass sie in Erwägung ziehen, ausgewählte neue Browser-Funktionen nur noch für Websites mit SSL-Zertifikat anzubieten. „Nach gemischten Reaktionen der Internet-Community wurde Mozilla vorsichtiger in der Kommunikation“, sagt Dlouhy. Trotzdem sei es wahrscheinlich, dass Mozilla früher oder später versuchen wird, sich durchzusetzen.

3. Browser unterstützen Entwicklung von kostenlosen Zertifikaten

Um die Entwicklung rund um SSL zu befeuern, hat Mozilla mit der Electronic Frontier Foundation (EFF) und anderen Organisationen die SSL-Zertifizierungsstelle „Let’s Encrypt“ gegründet, die im Juli mit einer Testphase beginnen wird und Mitte September offiziell startet.

Der Vorteil: Die Zertifikate sind kostenlos und sollen sich einfach installieren lassen. Ob sie von allen Browsern unterstützt werden und auch für Kunden von STRATO Hosting-Paketen nutzen lassen, bleibt abzuwarten. Aktuell ist nur ein Beispielprozess auf der Let’s-Encrypt-Website beschrieben: „Dabei ist unklar, ob und wie dieser zukünftig auch für große Shared-Webhosting-Plattformen anwendbar sein wird. Wir behalten die Entwicklung im Auge“, sagt Dlouhy.

Wer wenig Arbeit mit Zertifikaten haben möchte und auf die Sicherheit und Erfahrung von Symantec-Zertifikaten vertraut, kann sie bei den STRATO Hosting-Paketen im Kundenlogin bestellen. „Unsere Zertifikate von Symantec werden von allen Browsern akzeptiert und automatisch ausgetauscht, wenn Sicherheitslücken auftreten. Bei kostenlosen Zertifikaten müssen sich Kunden darum selbst kümmern und über Entwicklungen und Trends auf dem Laufenden sein“, sagt Dlouhy.

4. SSL-Verschlüsselung als Ranking-Faktor für Suchmaschinen

Zu den Entwicklungen der Browser kommen die Entwicklungen bei Google & Co. dazu: Auch für Suchmaschinen wird SSL wichtiger. Am 6. August 2014 hat Google im Blogpost „HTTPS as a ranking signal“ bestätigt, SSL-Verschlüsselung von Websites als Ranking-Faktor zu betrachten.

Sollte jetzt jeder seine Website auf SSL umstellen?

Ob sich Website-Betreiber für SSL-Zertifikate entscheiden, ist eine Motivationsfrage: „Wenn es nur darum gehen soll, Google zu pushen, würde ich es aktuell noch nicht empfehlen, da der Effekt für das Google-Ranking allein nicht groß genug ist“, sagt Dlouhy. „Die Frage ist, ob mehrere Gründe für eine SSL-Verschlüsselung sprechen, zum Beispiel neben dem Google Ranking auch die Zielgruppe der eigenen Website, für die die Vertrauenswürdigkeit der Website vielleicht eine überdurchschnittlich große Rolle spielt. Das ist von dem Angebot auf der Website abhängig.“

Könnte SSL Standard werden?

Durch die Entwicklungen rund um SSL bei Browsern und Suchmaschinen wird folgendes deutlich: „Wenn SSL-Verschlüsselungen für Kunden zukünftig noch einfacher werden und die Entwicklungen so weiter gehen wie bisher, wird es früher oder später wohl keine Websites ohne SSL mehr geben“, sagt Dlouhy.

Teilen

  1. Avatar

    Merlin sagte am

    Sehr geehrte Damen und Herren,

    da Sicherheit im Internet und sichere Datenübertragung ein wichtiges Thema für meine Kollegen und mich ist, würde wir gerne unsere Domains mit SSL-Zertifikaten von Let’s Encrypt verschlüsseln. Leider habe ich hierzu keinerlei Optionen bei Ihnen finden können. Nach einiger Rechereche im Internet bin ich auf diesen Blog gestoßen und sehe, das Sie das Thema seit November 2015 „prüfen“. Am 30. März 2016 schrieb Ihre Kollegin Christina Witt, dass hierzu „in Kürze“ eine Anleitung für zur Verfügung stehen wird. Jetzt lese ich, das es keine Unterstützung für LetEncrypt bei Webhosting Paketen geben wird, obwohl es sich zu einem guten Produkt entwickelt hat?! Woher aufeinmal der Sinneswandelvon „wir begrüßen Let’s Encrypt sehr.“ ?

    Aktuell besitze ich privat zwei Pakete bei einem anderen Anbieter (1blu), mit welchen ich Top zufrieden bin. Hier ist eine Integration von LetsEncrypt bei den Webhosting-Paketen problemlos möglich.
    Trotzdem entschieden wir uns, für das professionelle Hosting unserer Website zu „eine der größten Hosting-Plattformen Europas“ zu kommen, in der Hoffnung hier sehr gut bei einem starken und fairen Partner aufgehoben zu sein. Bitte lassen Sie mich diese Entscheidung nicht bereuen.

    Ich finde wir alle haben aber wenigstens die wahren Hintrgründe dieser Entscheidung verdient… Wie die anderen in dem Blog sehe auch ich nur finanzielle Gründe dahinter. Ich habe auch nichts dagegen, dass ein WebPaket durch fehlende Einnahmen bei SSL-Zertifikaten bei Strato etwas teurer ist. Qualität hat halt Ihren Preis und das ist auch vollkommen ok. (obwohl es andere Anbieter ja auch ohne schaffen. Die Liste auf der LE Website ist da sehr lang).
    Gegen was ich jedoch was habe ist unehrlichkeit und intransparenz. Leider habe ich das Gefühl, das man als Kunde fast drei Jahre lang hingehalten wird mit Ausflüchten und vagen Aussagen. Die Beta abwarten ok, aber mittlerweile hat sich LetsEncrypt zu einer sicheren Lösung am Markt entwickelt, also Strato, woran liegt es??? Große Unterstützer wie Cisco, Akamai und noch viele mehr (Liste auf der LE Website einsehbar) stehen hinter dem Projekt.

    Bitte, bitte, bitte gehen Sie ehrlich mit Ihren Kunden um! Wenn Sie sich dazu nicht äußern können/dürfen, dann bitte jemand der das kann. Sie haben das ja schon oft genug „weitergegeben“. Andernfalls sehen wir uns leider gezwungen Strato zu verlassen und uns einen anderen Partner zu suchen.

    Ich hoffe auf eine gute zukünftige Zusammenarbeit.

    Viele Grüße

    Merlin

    Antworten
    • Avatar

      Thomas Ritter sagte am

      Hallo Merlin,

      vielen Dank für Deine offene Kritik. Auch wir sind an einer transparenten Diskussion interessiert und freuen uns, wenn dies hier auf unserem Blog stattfindet.

      Eine kurze Erklärung zu unserer Entscheidung bzgl. DigiCert. Wir arbeiten einige Zeit mit DigiCert zusammen und haben bisher sehr gute Erfahrungen gemacht. Uns überzeugt die langjährige Erfahrung und der hohe Qualitätsanspruch, was DigiCert aktuell auch zum Marktführer macht. Wir sind zufrieden mit dieser Partnerschaft und dem Angebot, das DigiCert bereitstellt. Wir beobachten aber natürlich auch den Markt und mögliche Alternativen. Unsere V-Server-Kunden können auch bereits LE nutzen.

      Dennoch habe ich für Kunden im Shared Webhosting keine anderen Nachrichten. Sobald sich was dazu ändert, erfährst Du es auf unseren Kanälen.

      Schöne Grüße
      Thomas

      Antworten
      • Avatar

        Merlin sagte am

        Hallo Thomas,

        danke Dir für Deine Antwort. Man muss aber dazu sagen, das sich bei V-Servern mit root-Zugriff eine Aktivierung von LE immer möglich ist. Wir haben uns aktiv gegen einen V-Server entschieden, da dies einen höheren Administrationsaufwand in Bezug auf die IT-Sicherheit erfordert (Server absichern, Updates etc…). Dies würden wir lieber dem Hoster überlassen, sodass wir uns ganz auf den Webauftritt konzentrieren können.

        Kannst Du denn sagen, ob LE in Zukunft beim Shared Webhosting auf der „To-Do-Liste“ steht, oder ob das Thema auf unbestimmte Zeit auf Eis liegt?
        Das Angebot mit dem kostenlosen SSL-Zertifikat, welches von Anfang an dabei ist, hilft uns leider nicht viel weiter, da wir mindestens zwei Subdomains für die interne Nutzung benötigen. Ein kostenloses Wildcard Zertifikat für eine Domain wäre hier zumindest eine Lösung, auch für andere Kunden denke ich.
        Da sich der Support dahingehend leider nicht kooperativ zeigte, werden wir leider von unserer 30-Tage Zufreidenheitsgarantie gebrauch machen müssen.

        Trotzdem danke Dir für die Aufklärung des aktuellen Stands der LE implementierung
        Viele Grüße

        Merlin

        Antworten
        • Avatar

          Thomas Ritter sagte am

          Hallo Merlin,

          ich finde es natürlich bedauerlich, dass Du aus diesem Grund den Vertrag wieder kündigen möchtest. Ich kann Deinen Wunsch auch persönlich gut nachvollziehen, aber leider gibt es zu dem Thema keine Neuigkeiten: LE steht für SWH aktuell nicht auf dem Fahrplan. Sollte es hierzu Neuigkeiten geben, erfährst Du es über unsere Kanäle.

          Ich wünsche Dir dennoch viel Erfolg mit Deinen Projekten.

          Schöne Grüße
          Thomas

          Antworten
          • Avatar

            Merlin sagte am

            Hallo Thomas,

            vielen Dank für Deine Rückmeldung und Deine Ehrlichkeit. Gut zu wissen, das es in Zukunft erstmal nicht auf dem Plan steht. Bitte an Strato hier in Zukunft von Anfang an transparent mit den Kunden umzugehen und sie nicht drei Jahre lang im ungewissen zu lassen. Auf Grund des guten Austauschs werden uns nochmal überlegen auf einen V-Server von Strato zu wechseln.

            Viele Grüße

            Merlin

          • Avatar

            Thomas Ritter sagte am

            Hallo Merlin,

            vielen Dank für das Feedback. Wir versuchen immer ehrlich und transparent ggü. unseren Kunden zu kommunizieren. Ich würde mich freuen, wenn Du Dir das mit dem V-Server nochmal gut überlegst. Detailfragen kannst Du gerne auch jederzeit an die Kollegen aus dem Support stellen. Du erreichst sie über Facebook, Twitter oder über Hilfe & Kontakt.

            Schöne Grüße
            Thomas

  2. Avatar

    Thomas Kluge sagte am

    Hallo,

    die ständige Argumentation mit Sicherheit und Verlässlichkeit als Grund für die völlig überteuerten kostenpflichtigen Zertifikate hat bei den jüngsten Entwicklungen in dem Umfeld (war da nicht was mit Symantec?) ein arges „Geschmäckle“. Da wäre doch die Zeit wirklich mehr als reif für LE!
    Viele Grüße
    Thomas

    Antworten
    • Avatar

      Michael Poguntke sagte am

      Hallo Thomas,

      ich bedaure, wenn unser Angebot in Bezug auf SSL-Zertifikate nicht Deinen Ansprüchen entspricht und nehme das gerne als Verbesserungsvorschlag auf.

      Viele Grüße
      Michael

      Antworten
      • Avatar

        Dr. Christopher Wilmes sagte am

        Hallo Michael,
        Deine Antwort kann doch nicht wirklich ernst gemeint sein, oder?
        Also mit meinem größten Respekt, die „SSL-Politik“ von Strato ist derzeit – und bleibt voraussichtlich in der Zukunft – schlichtweg miserabel und regelrecht dreist.
        Es gibt Anbieter kostenloser SSL-Zertifikate sowie unzählige Anbieter deutlich günstigerer Zertifikate. Strato unterstützt hingegen ausschließlich die „eigenen“ Produkte bzw. nur das, woran Strato (mit-)verdient.
        Sogar die Akkreditierung als intermediate Zertifizierungsinstanz (oder Reseller, welcher als eigene CA auftreten darf) ist – angenommen man betreibt 25+ Strato SSL-Domains – unter Umständigen kostengünstiger als die ganz einfachen Zertifikate von Strato zu erwerben.
        Das ist wirklich traurig und ein hundsmiserabler Service.
        Deine Antwort (inhaltlich:) >>Sorry, dass unsere Produkte DIR nicht passen, aber super sind sie dennoch<< ist einfach nur dreist. Hier werden Nutzer nicht nur seit über 3 Jahren hingehalten, sondern dann auch noch verhöhnt. Das ist für mich unbegreiflich und auch ein Grund, warum ich auch definitiv meine Verträge kündigen werde und den Anbieter wechseln werde. Letztendlich gibt es kaum einen Anbieter, welcher so unglaublich schlechten Service anbietet wie Ihr (Strato bzw die STRATO AG).
        Für Rückfragen – oder auch für generellen Kontakt durch Strato oder Strato-Nutzer stehe ich wirklich gerne via E-Mail [E-Mail-Adresse von Blog-Redaktion gelöscht] zur Verfügung. Ich erlaube die Nutzung und Speicherung meiner Daten durch die Strato AG sowie jeder Privatperson und jedem Unternehmen, widerspreche jeglicher Zusendung von Werbung, erbitte aber ausdrücklich den direkten Kontakt.

        Mit den Besten Grüßen,
        Christopher Wilmes
        CEO der iRevolution Group SE & Co. OHG

        Antworten
        • Avatar

          Thomas Ritter sagte am

          Hallo Christopher,

          ich kann Deinen Unmut persönlich nachvollziehen, Dir aber bedauerlicherweise keine andere Antwort geben. Wir schnüren Standardpakete, mit denen wir die Bedürfnisse unserer Kunden zufriedenstellen wollen. Von der Qualität dieser Pakete sind wir auch überzeugt. Es kommt aber so natürlich vor, dass Kunden mit speziellen Bedürfnissen sich nicht in unserer Angebotsstruktur wiederfinden. Ich geben Deinen Kommentar zu unserer SSL-Politik sehr gerne an die entsprechenden Ansprechpartner weiter.

          Ich habe übrigens auch Deine E-Mail-Adresse aus dem Kommentar gelöscht. Ich bitte um Verständnis, dass wir die Angabe persönlicher E-Mail-Adresse nicht zulassen können. Andere Nutzer können sich aber gerne in diesem Thread mit Dir austauschen. So haben alle Leser etwas davon.

          Schöne Grüße
          Thomas

          Antworten
  3. Avatar

    Morten sagte am

    Hallo, mich würde angesichts der drohenden Symantec-Abschaltung auch interessieren, wann der Support für LE endlich kommt. Ich habe 4 rein private Domänen mit denen ich kein Geld verdiene. Daher sind teure Symantec Zertifikate gerade jetzt keine Option. Trotzdem entwickelt sich das Web weiter und http ohne s ist einfach nicht mehr zeitgemäß. Mit LE wäre das kein Problem. Wann ist es denn soweit???

    Antworten
Weitere Kommentare laden

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen