Interview zur Umstellung auf https
mit David Schneider, Geschäftsführer Bytecorps Programmierung, Reichshof
Im Mai 2015 wurde die Seite lambertschuster.de von http auf das sichere Protokoll https umgestellt. 
Daten zwischen Webserver und Browser werden künftig verschlüsselt übertragen – ein echtes Plus für die Leser und User. David Schneider, maßgeblich verantwortlich für die Umstellung auf https, erklärt im Interview, worum es dabei geht und welche Herausforderungen zu meistern waren.
Interview: Silke Wiegand
Frage: Die Internetseite lambertschuster.de wurde kürzlich einer Umstellung auf https unterzogen, also auf das Kommunikationsprotokoll, mit dem Daten vor Missbrauch geschützt und abhörsicher übertragen werden. Warum ist dieser Schritt erfolgt, wo es sich bei der Seite doch vor allem um eine Wissensdatenbank handelt und nicht um einen Shop, in dem wirklich sensible Daten übertragen werden?
David Schneider: Die Inhalte auf Seite lambertschuster.de stehen kostenlos zur Verfügung. Aber bei einigen Dokumenten, die dort zum Download angeboten werden, zum Beispiel eBooks, sollen die Nutzer mit einem „Like“ oder „Tweet“ bezahlen. Das heißt nichts anderes, als dass ein User seinen eigenen Facebook- oder Twitter-Account nutzt, um die Seite anderen zu empfehlen. Ist das erfolgt, erhält der User Zugriff auf die kostenlosen Downloads. Dabei werden schon sehr sensible Daten übertragen, und dann gehen bei manchen Usern bereits die Alarmglocken an. Im konkreten Fall war es so, dass während des ‚Likens‘ oder ‚Tweetens‘ ein Sicherheitshinweis erschien, der den User darauf hingewiesen hat, dass seine Daten unverschlüsselt übertragen werden. Das hat viele Leser abgeschreckt. Um dem entgegenzuwirken – denn es sollen ja noch viele solche Inhalte erstellt werden – haben wir die Umstellung auf https vollzogen.
Gleichzeitig heißt es ja auch, dass Google dem Thema Sicherheit in Bezug auf das Ranking immer mehr Beachtung schenken wird. Inwieweit hat das bei der Umstellung auf https eine Rolle gespielt?
DS: Ja, ganz richtig, Google hat bereits letzten Herbst angekündigt, dass die Sicherheit von Websites künftig auch ein Ranking-Faktor wird, dass also Seiten mit https und Sicherheitszertifikat auch besser bewertet werden. Aber es ist nun keinesfalls so, dass das zu einem Hauptkriterium wird und dass man generell besser gerankt wird, wenn es ein Sicherheitszertifikat gibt. Zumindest muss jetzt nicht jeder sofort eine Umstellung auf https machen. Nach wie vor gilt, dass Internetseiten vor allem eines sein müssen: nützlich und informativ für den Besucher. Wenn sie darüber hinaus allerdings auch noch nachweislich sicher sind, dann kann das für das Ranking nur positiv sein. Bei lambertschuster.de war eine Umstellung auf https daher sinnvoll.
Hat denn ein fehlendes Sicherheitszertifikat umgekehrte Auswirkungen – kann es also sein, dass eine Seite nicht nur nicht oben gerankt, sondern abgewertet wird?
DS: Das kann passieren, es kommt jedoch darauf an, wie oft eine Seite überhaupt aufgerufen wird. Wenn viele Besucher auf eine im Grunde sehr gut gelistete Seite kommen und dann wegen einer Sicherheitswarnung abspringen, dann hat das in der Tat negative Auswirkungen, da hohe Absprungraten ein schlechtes Signal an Google sind.
Was bedeutet https genau und wie gelingt es, damit die Daten abhörsicher zu übertragen?
DS: https steht für HyperText Transfer Protocol Secure, also für ein sicheres Hypertext-Übertragungsprotokoll. Standardmäßig verwenden Websites das Protokoll http – also ohne den Sicherheitsaspekt. Bei https erfolgt eine Verschlüsselung der Daten per SSL/TLS. Das bedeutet, dass die Verbindung zwischen Webserver und Browser nur noch in verschlüsselter Form stattfindet, also dass Daten nicht mehr als Text, sondern als verschlüsselte Datenpakete übermittelt werden. Das schafft Sicherheit beim Transfer. Vertrauliche Daten können nach der Umstellung auf https dann nicht mitgelesen oder mitgehört und folglich auch nicht manipuliert werden.
Verschlüsseln, entschlüsseln – reduziert das nicht die Geschwindigkeit der Seite – also Sicherheit vor schneller Ladezeit bei Umstellung auf https?
DS: Ja und nein. Das wird in Fachkreisen zum Thema Umstellung auf https heiß diskutiert, aber ich denke, inzwischen ist das Mehr an Ladezeit durch https dank allgemein höherer Bandbreiten kein so großes Problem mehr. Außerdem hat sich die Technologie enorm weiterentwickelt, so dass es ohnehin nicht mehr so sehr ins Gewicht fällt. Was die Seite lambertschuster.de betrifft, so haben wir zeitgleich auch zahlreiche Maßnahmen getroffen, um bessere Ladezeiten zu erreichen. Und das funktioniert jetzt sehr gut.
[Zum Artikel: Schneller im Web: schnelle Ladezeiten für Ihre Website]
Eine Umstellung auf https ist sicher nicht einfach nur ein Knopfdruck. Was muss man da genau machen?
DS: Nein, leider ist das alles andere als ein Knopfdruck. Eine Seite, noch dazu eine so hochkomplexe und umfangreiche Internetseite wie die von lambertschuster.de auf https umzustellen, ist äußerst anspruchsvoll, und es hat am Anfang an vielen Stellen gehapert. Es fängt schon mit dem Webhosting-Paket an – dieses muss für die eigene Homepage ein SSL-Zertifikat vorsehen. Dann braucht man das eigentliche Zertifikat. SSL-Zertifikate werden von verschiedenen Anbietern nach bestimmten Kriterien vergeben, den Antrag dafür stellt der Webhoster. Da dieser quasi für die Seite bürgt, lässt er sich das bezahlen. Viele Hoster bieten aber auch eigene Zertifikate an, die bei der Umstellung auf https automatisch integriert werden.
Das klingt gar nicht so kompliziert…
DS: Bis dahin ist es noch vergleichsweise einfach. Schwierig ist vor allem die komplette Umstellung auf https selbst, denn dabei müssen alle internen Links und Ressourcen, alle Plugins, kurzum, alle Anfragen, die noch von außen über das http-Protokoll ankommen, auf https umgeleitet werden, damit sämtliche Datenübertragungen verschlüsselt erfolgen. So zum Beispiel auch alte Backlinks, etwa von externen Blogs. Ein weiteres Problem: Social Media. Sämtliche Facebook-Likes, die bereits von Lesern vergeben wurden, galten ja bisher für die Seite in http. Jetzt aber hat sich die URL geändert. Mit dem vorangestellten https ‚denkt‘ Facebook aber, es handele sich um eine komplett neue Website und gibt folgerichtig NULL Likes für die Seite zurück. So muss man also den Social-Media-Plattformen ‚beibringen‘, dass die neuen https-URLs vorher die Seiten mit http-URL waren, damit die Likes auch übernommen werden.
Jetzt wird es doch kompliziert. Wie haben Sie das gelöst?
Mit einer Ausnahmeregelung – im wahrsten Sinne des Wortes. Beispiel Facebook: Der Facebook-Crawler setzte voraus, dass über die „alte“ URL noch eine positive Rückmeldung kommt und kein Fehler. Das heißt, es musste eine Ausnahme für Facebook eingerichtet werden, sodass der Crawler nicht wie alle anderen Besucher auf https, sondern noch auf die „alte“ http-Version von lambertschuster.de geleitet wird. Erst dann funktionierte es auch mit Facebook. Bei XING habe ich in diesem Zusammenhang tatsächlich einen Fehler aufgedeckt. Hier wird jetzt seitens XINGs nachgebessert, sodass auch das Teilen über XING und https funktioniert.
Frage: Gibt es Unterschiede bzw. Abstufungen bei den Sicherheitszertifikaten? Sind also einige sicherer als andere?
DS: Es gibt verschiedene Varianten von SSL-Zertifikaten, die sich, grob gesagt, im Grad der Verifizierung und Verschlüsselung unterscheiden. Zum Beispiel prüft bei einem Standard-Zertifikat die Zertifizierungsstelle nur, ob der Auftraggeber auch der Inhaber einer Domain ist. Eine Stufe weiter wird auch noch die Identität des Auftraggebers selbst geprüft. Bei einem erweiterten SSL-Zertifikat prüft die Zertifizierungsstelle darüber hinaus noch, ob der Antragsteller wirklich berechtigt ist, die Verschlüsselung zu beantragen. Bei letzterem ist dann auch noch die Verschlüsselung höher.
[Übersicht: http://www.kuketz-blog.de/ssl-zertifikate-und-ihre-unterschiede/]
Zertifikate haben ja üblicherweise eine Laufzeit. Wie lang ist die bei Websites und was passiert, wenn sie abgelaufen sind?
DS: Fast jeder, der das Internet nutzt, hat schon einmal einen Hinweis auf ein abgelaufenes Sicherheitszertifikat bekommen. Der Witz ist, dass diese Seiten trotzdem immer noch sicherer sind als alle Seiten mit http. Aber nach einer Umstellung auf https haben sie eben ein Zertifikat, und wenn das abläuft, erscheint dieser Hinweis, und der Nutzer denkt, dass die Seite nicht sicher ist. Darüber muss man sich im Klaren sein: Wenn https, dann muss auch immer ein aktuelles Sicherheitszertifikat vorliegen, sonst kann man sich das Ganze auch sparen. Die übliche Laufzeit liegt bei einem Jahr.
Was kann man zusammenfassend zum Thema Umstellung auf https sagen?
DS: Die Sicherheit von Websites, also die abhörsichere und nicht manipulierbare Übertragung von Daten zwischen Server und Browser, wird immer wichtiger. Letztlich denke ich, dass es schon jetzt ein gewisser Wettbewerbsvorteil ist, wenn man seine Seite mit https betreibt, weil die Nutzer sich dort sicherer fühlen und die Seite öfter aufgerufen wird. Außerdem macht Google keinen Hehl daraus, dass die Sicherheit von Internetseiten mehr und mehr zum Rankingfaktor wird und damit bei der Suchmaschinenoptimierung zunehmend Gewicht bekommt. Es gibt die Möglichkeit, nur die Bereiche auf https umzustellen, die sensible Daten verarbeiten, zum Beispiel in Online-Shops. Das kann man machen, aber es wäre nicht im Sinne des Users und auch nicht im Sinne des Betreibers. Beide Seiten gewinnen, wenn Daten über sichere Protokolle übertragen werden. Ich empfehle daher allen Website-Betreibern, zumindest auf lange Sicht über eine Umstellung auf https nachzudenken.
Vielen Dank für das Gespräch, Herr Schneider.
(Bilder: Fotolia © Doreen Salcher | © Lambert Schuster)