Sind verschlüsselte Websites bald Standard?

Sind verschlüsselte Websites bald Standard?

Immer mehr Gründe sprechen dafür, verschlüsselte Verbindungen für Websites einzurichten. Ob Website-Betreiber ohne SSL-Zertifikat zukünftig sogar Nachteile haben: Produktmanager Mischa Dlouhy hat die Antwort.

Neue Entwicklungen begünstigen SSL

Bei Browsern und Suchmaschinen sieht Dlouhy Entwicklungen, die Verschlüsselung für Websites zukünftig zum Standard erheben könnten. Dazu kommt das gestiegene Sicherheitsbewusstsein der Internetnutzer durch die Spionageaffäre rund um die NSA. Könnte SSL deshalb bald zur Website dazu gehören – wie Airbags, Sicherheitsgurte und ABS beim modernen Auto?

1. Strengere Browser-Kennzeichnung für Websites

„Browser kennzeichnen Verschlüsselung oder fehlende Verschlüsselung immer stärker“, sagt Dlouhy. „Die Idee, die sie verfolgen ist, alle Websites zukünftig SSL-verschlüsselt zu haben, um das Internet sicherer zu machen. Dabei intensivieren Browser vor allem die Kennzeichnung fehlender und veralteter Verschlüsselung. So bekommt Verschlüsselung viel mehr Aufmerksamkeit, wenn Warnsymbole im Browser auf fehlende oder unsichere SSL-Verbindungen hinweisen, als wenn nur sichere Verbindungen mit einem Schloss symbolisch als sicher angezeigt werden.“

2. Neue Browser-Funktionen bald nur für Websites mit SSL-Zertifikat?

Browser wie Mozilla versuchen die Verschlüsselung für Websites sogar so weit voran zu treiben, dass sie in Erwägung ziehen, ausgewählte neue Browser-Funktionen nur noch für Websites mit SSL-Zertifikat anzubieten. „Nach gemischten Reaktionen der Internet-Community wurde Mozilla vorsichtiger in der Kommunikation“, sagt Dlouhy. Trotzdem sei es wahrscheinlich, dass Mozilla früher oder später versuchen wird, sich durchzusetzen.

3. Browser unterstützen Entwicklung von kostenlosen Zertifikaten

Um die Entwicklung rund um SSL zu befeuern, hat Mozilla mit der Electronic Frontier Foundation (EFF) und anderen Organisationen die SSL-Zertifizierungsstelle „Let’s Encrypt“ gegründet, die im Juli mit einer Testphase beginnen wird und Mitte September offiziell startet.

Der Vorteil: Die Zertifikate sind kostenlos und sollen sich einfach installieren lassen. Ob sie von allen Browsern unterstützt werden und auch für Kunden von STRATO Hosting-Paketen nutzen lassen, bleibt abzuwarten. Aktuell ist nur ein Beispielprozess auf der Let’s-Encrypt-Website beschrieben: „Dabei ist unklar, ob und wie dieser zukünftig auch für große Shared-Webhosting-Plattformen anwendbar sein wird. Wir behalten die Entwicklung im Auge“, sagt Dlouhy.

Wer wenig Arbeit mit Zertifikaten haben möchte und auf die Sicherheit und Erfahrung von Symantec-Zertifikaten vertraut, kann sie bei den STRATO Hosting-Paketen im Kundenlogin bestellen. „Unsere Zertifikate von Symantec werden von allen Browsern akzeptiert und automatisch ausgetauscht, wenn Sicherheitslücken auftreten. Bei kostenlosen Zertifikaten müssen sich Kunden darum selbst kümmern und über Entwicklungen und Trends auf dem Laufenden sein“, sagt Dlouhy.

4. SSL-Verschlüsselung als Ranking-Faktor für Suchmaschinen

Zu den Entwicklungen der Browser kommen die Entwicklungen bei Google & Co. dazu: Auch für Suchmaschinen wird SSL wichtiger. Am 6. August 2014 hat Google im Blogpost „HTTPS as a ranking signal“ bestätigt, SSL-Verschlüsselung von Websites als Ranking-Faktor zu betrachten.

Sollte jetzt jeder seine Website auf SSL umstellen?

Ob sich Website-Betreiber für SSL-Zertifikate entscheiden, ist eine Motivationsfrage: „Wenn es nur darum gehen soll, Google zu pushen, würde ich es aktuell noch nicht empfehlen, da der Effekt für das Google-Ranking allein nicht groß genug ist“, sagt Dlouhy. „Die Frage ist, ob mehrere Gründe für eine SSL-Verschlüsselung sprechen, zum Beispiel neben dem Google Ranking auch die Zielgruppe der eigenen Website, für die die Vertrauenswürdigkeit der Website vielleicht eine überdurchschnittlich große Rolle spielt. Das ist von dem Angebot auf der Website abhängig.“

Könnte SSL Standard werden?

Durch die Entwicklungen rund um SSL bei Browsern und Suchmaschinen wird folgendes deutlich: „Wenn SSL-Verschlüsselungen für Kunden zukünftig noch einfacher werden und die Entwicklungen so weiter gehen wie bisher, wird es früher oder später wohl keine Websites ohne SSL mehr geben“, sagt Dlouhy.

Teilen

  1. Avatar

    Thorsten sagte am

    Letsencrypt etabliert sich nun, die aktive Unterstützung und Mitarbeit durch Branchengrößen wie Cisco, Akamai, Mozilla etc zeigt Wirkung.
    Die Frage ist nun: Wann erlaubt auch Strato, daß man letsencrypt generierte und verifizierte Zertifikate hochlädt.
    In uralten Webpaketen mit reinen Markdown/HTML5-Seiten ist das augenscheinlich zB nicht möglich.
    Strato könnte hier vielen Kunden helfen, die ihre Webpärsenz mit SSL absichern wollen.
    Vielen Dank.

    Antworten
    • Avatar

      Christina Witt sagte am

      Hallo Thorsten,

      wir begrüßen Let’s Encrypt sehr. Es wird dazu beitragen, dass die Datenübertragung durch zunehmende Verschlüsselung im Internet noch sicherer wird. Allerdings befindet sich Let’s Encrypt noch in der Beta, sodass wir erst noch abwarten müssen, wie sich Let’s Encrypt weiter entwickelt, bevor wir eine Entscheidung zum Einsatz im Shared Webhosting treffen. Damit unsere Entscheidung für Let’s Encrypt positiv ausfällt, muss es nicht nur so sicher und beständig sein wie Lösungen von etablierten Anbietern wie Symantec, sondern ebenso einfach zu nutzen – am besten per Knopfdruck. Im Bereich virtueller und dedizierter Server können Kunden selbst entscheiden, ob sie Let’s Encrypt nutzen. Wir werden sie mit Anleitungen dabei unterstützen.

      LG
      Christina

      Antworten
      • Avatar

        powerweb sagte am

        Hallo Christina,
        es wäre sehr nett, wenn es neben der Symantec SSL Lösung und dem offiziellen Start für Let’s Encrypt in PowerWeb, eine Möglichkeit für die technikaffinen PowerWeb Kunden gäbe letsencrpyt Zertifikate in PowerWeb Pakete integrieren zu dürfen.
        LG
        Jörg

        Antworten
        • Avatar

          Christina Witt sagte am

          Hallo Jörg,

          wir geben Dein Feedback weiter. Unsere Kollegen von der Technik haben Let’s Encrypt aber auf dem Radar. Schau gern in die anderen Kommentare unter diesem Beitrag, da erfährst Du mehr…

          Liebe Grüße
          Christina

          Antworten
          • Avatar

            Martin sagte am

            Ja ein Letsencrypt für die Powerweb Pakete wäre extrem wichtig. Bis wann wird das denn bereit gestellt?

            Hat sich da endlich was getan?

          • Avatar

            Christina Witt sagte am

            Hallo Martin,

            wir beobachten Let’s Encrypt und finden die Entwicklung positiv. Dennoch ist Let’s Encrypt nach dem Verlassen der Betaphase noch nicht so erprobt wie Zertifikate „normaler“ Cert-Agencies. Damit wir uns im Shared-Webhosting für Let’s Encrypt entscheiden, muss es so sicher und beständig sein, wie Lösungen von etablierten Anbietern, zum Beispiel Symantec. Deshalb hat sich aktuell auch noch nichts getan. Wir unterstützen jedoch unsere Kunden mit Root-Rechten dabei, Let’s Encrypt einzurichten. So haben wir beispielsweise am Freitag einen Blogartikel zu Let’s Encrypt bei Servern live gestellt: https://blog.strato.de/lets-encrypt-auf-server-einrichten-anleitung-fuer-kostenlose-ssl-zertifikate/

            Liebe Grüße
            Christina

      • Avatar

        Erik sagte am

        „müsste es nicht nur so sicher und beständig sein wie Lösungen von etablierten Anbietern, wie wir sie von Symantec anbieten“ ….
        symantec ist so sicher, dass google symantec droht die zertifikate aus chrome rauszuwerfen. also augen auf bei der zertifikat-suche.

        Antworten
        • Avatar

          Christina Witt sagte am

          Hallo Erik,

          danke für Deinen Kommentar. Wir haben ihn an die Kollegen von Symantec weitergegeben, die sich dazu hier im Blog melden möchten.

          Liebe Grüße
          Christina

          Antworten
        • Avatar

          Julia Link sagte am

          Hello Erik,

          In keeping with industry standards and best practices, Symantec notified major browsers in November, including Google, that they should remove or untrust a legacy root certificate from their lists called the VeriSign Class 3 Public Primary Certification Authority G1 (PCA3-G1). We advised this action because this particular root certificate is based on older, lower-strength security that is no longer recommended, hasn’t been used to generate new certificates in several years, and will now be repurposed to provide transition support for some of our enterprise customers’ legacy, non-public applications.

          By announcing that they will be blocking this root certificate, Google has indicated that they intend to do exactly as we requested, a step that other browsers started taking in 2014.

          You can find more information on why Symantec requested all browsers (not just Chrome) remove the legacy root certificate here: http://www.symantec.com/connect/blogs/removal-root-certificate-pca3-g1

          Kind regards,
          Julia

          Antworten
      • Avatar

        Anonymous sagte am

        Naja, also jetzt ist Let’s Encrypt ja schon länger nicht mehr in der Beta, also gibt es noch eine Chance für PowerWeb Kunden?

        Antworten
  2. Avatar

    Jochen Schmitt sagte am

    Es wäre Nett, wenn Let’s Emcrypt auch unter Plesk 12 unterstützt würde.

    Antworten
  3. Avatar

    Thomas sagte am

    Wir es in Zukunft bei den Hosting Angeboten von Strato „Let’s Encrypt“ Zertifikate geben? Dadurch müssten sich die Kosten deutlich reduzieren lassen.

    Antworten
    • Avatar

      Nicole Stutterheim sagte am

      Hallo Thomas,

      wir begrüßen Let’s Encrypt sehr. Es wird dazu beitragen, dass die Datenübertragung durch zunehmende Verschlüsselung im Internet noch sicherer wird. Wir sind gespannt, wie sich Let’s Encrypt entwickelt und, ob es sich zukünftig in die Welt der großen Shared-Hosting-Plattformen integrieren lässt. Dafür muss es nicht nur so sicher und beständig sein wie Lösungen von etablierten Anbietern, wie wir sie von Symantec anbieten, sondern ebenso einfach zu nutzen – am besten per Knopfdruck. Im Bereich virtueller und dedizierter Server können Kunden selbst entscheiden, ob sie Let’s Encrypt nutzen. Wir werden sie mit Anleitungen dabei unterstützen.

      Viele Grüße
      Nicole

      Antworten
  4. Avatar

    Edward Snowden sagte am

    SSL ist in der derzeitigen Form kaputt, weil man nur anhand des HTTPS noch lange nicht weiß, ob man mit dem richtigen Server verbunden ist. Siehe das Beispiel, als Leute mit bösen Absichten einfach ein eigenes Zertifikat für die Google-Domain bei einer chinesischen Zertifizierungsstelle registriert haben und dann über Phishing die Zugangsdaten zu Google-Accounts abgreifen konnte. Wäre schön, wenn Strato nicht nur Werbung für SSL macht, sondern auch gleich den nötigen Schritt geht, damit man der Verbindung auch trauen kann: DNSSEC gibt es schon seit mehreren Jahren, aber alle großen Hoster weigern sich, das abzubieten. Es liegt nicht an der DENIC, Strato muss seine Hausaufgaben machen… P.S. Zu DNSSEC gehört natürlich auch DANE für den sicheren Mailtransport. Und HTTP Public Key Pinning (HPKP), was schon heute vom Firefox und Chrome standardmäßig geprüft wird, Strato aber nicht automatisch bei allen SSL-Zertifikaten mit einrichtet. Und HSTS (HTTP Strict Transport Security), was ebenfalls nicht automatisch bei Strato aktiviert wird. Lets Encrypt und das klassische SSL sind gut, Strato könnte und sollte aber noch so viel mehr machen und würde damit auf einen Schlag Millionen Domains sicherer machen…

    Antworten
    • Avatar

      Christina Witt sagte am

      Hallo Edward Snowden,

      vielen Dank für Deinen Kommentar.
      Wir melden uns in Kürze dazu.

      LG
      Christina

      LG
      Christina

      Antworten
      • Avatar

        Anonym sagte am

        Hallo Frau Witt, die Antwort würde mich auch interessieren, da vor Kurzem auch ein „Mitbewerber“ mit großen Maildiensten DNSSEC und DANE-Unterstützung angekündigt hat… Dieser Eintrag liegt jetzt mehrere Wochen zurück… Wie ist der Begriffe „in Kürze“ bei Strato definiert, auf welchen Zeitraum muss man sich einstellen? Wenn schon eine Antwort mit „in Kürze“ angekündigt wird, sollte diese Antwort eigentlich auch innerhalb weniger Tage folgen… DNSSEC und DANE werden immer wichtiger, welchen Plan verfolgt Strato hier? Ist die Einführung aktiv in Entwicklung und bis Jahresende verfügbar, oder ist DNSSEC ein Thema, das bei Strato nur auf der Beobachtungsliste steht und in absehbarer Zeit nicht unterstützt wird?

        Antworten
        • Avatar

          Kea Terwey sagte am

          Hallo,
          auch auf deine Frage geben wir schnellstmöglich eine Antwort.
          Viele Grüße,
          Kea

          Antworten
        • Avatar

          Christina Witt sagte am

          Hallo „Anonym“,
          wir entschuldigen uns vielmals, dass die Antwort hier so lange gedauert hat. Sie ist urlaubsbedingt schlichtweg untergegangen – ein Fehler unsererseits. Details können wir zu DNSSEC aktuell nicht nennen. Wir wissen aber, dass DNSSEC ein wichtiges Thema ist und haben es auf dem Schirm. Allerdings ist DNSSEC insbesondere für Domain-Service Anbieter, die mehrere Millionen Domains verwalten, ein sehr aufwändig umzusetzendes Thema.

          Viele Grüße
          Christina

          Antworten
  5. Avatar

    andi sagte am

    Warum bewerbt ihr bei uns die SSL Zertifikate, obwohl beim Versuch des Abschlusses eine Fehlermeldung kommt: Kann nicht für Strato Webshop Domains abgeschlossen werden.
    Verstehe ich nicht.
    Grüße

    Antworten
    • Avatar

      Christina Witt sagte am

      Hallo Andi,

      an einer Möglichkeit, eine durchgängige Verschlüsselung für Shops einzurichten, arbeiten wir aktuell. Leider können wir dafür noch keinen Zieltermin nennen.

      Besonders wichtig ist aber die Verschlüsselung der Zahlungsabwicklung für Kunden im Shop – und die ist in unseren Shops bereits verschlüsselt.

      Viele Grüße
      Christina

      Antworten
      • Avatar

        Pete sagte am

        Hallo Christina,

        ich möchte nächstes Jahr einen Online Shop eröffnen. Habt ihr schon Fortschritte bei der durchgängigen Verschlüsselung für Shops gemacht? Vielen Dank für deine Antwort und Unterstützung.

        Beste Grüße,
        Pete

        Antworten
Weitere Kommentare laden

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen