Sichere Webseiten und die Webbrowser

  • Moin,


    da ja einige hier im Forum auch eine Webseite betreiben ein paar Infos, was bei den naechsten Browser Versionen passieren wird:


    Google und andere grosse Unternehmen forcieren extrem die Verwendung von Verschluesselung fuer Webseiten, erkennbar am gruenen Schloss (https, Port 443, SSL). Die Browser Chrome und Chromium zeigen bereits Webseiten ohne Verschluesselung (http, Port 80) als unsicher an. Der Firefox hat es bereits eingebaut und ab Version 70 wird diese Funktion als Standard aktiviert sein. Microsoft hat es im Edge (Windows 10) auch eingebaut. Der naechste Schritt wird dann sein, dass das gruene Schloss entfaellt, d.h. Seiten werden nicht mehr als sicher angezeigt, sondern nur noch unsichere Seiten gut sichtbar als unsicher gekennzeichnet. Ausserdem ist davon auszugehen, dass die Suchmaschinen unsichere Webseiten abwerten, d.h. dass die letztendlich aus den Suchergebnissen verschwinden werden (sicher ueber einen laengeren Zeitraum, aber darauf wird es hinauslaufen). Das ist fuer private Seiten nicht so sehr kritisch, aber fuer Unternehmen, die Webmarketing betreiben und Geld ueber ihre Seiten verdienen (Shops usw.) , duerfte das katastrophal enden, wenn diese nicht auf Verschluesselung umstellen. Abgesehen davon, Online-Shops muessen zwingend verschluesselte Seiten fuer die Erfassung von personenbezogenen Daten verwenden (DGSVO).


    Lange Jahre war das immer ein Problem, dass man fuer die Verschluessung das noetige Zertifikat teuer erstehen musste, fuer eine rein private Seite ein Hemmniss. Seit einiger Zeit gibt es aber Let's Encrypt. Das ist ein Zusammenschluss, um sichere Webseiten zu foerdern. Dort kann man kostenlos ein Zertifikat fuer seine Webseite erstellen. Einige Webhoster bieten das sogar direkt an.


    Wenn ihr also nicht moechtet, dass die naechsten Browsergenerationen ein fettes rotes "not secure" in der URL Zeile anzeigen und so eventuelle Besucher verschreckt werden, dann solltet ihr eure Seite mit einem Zertifikat versehen und auf https umstellen. Die letzten Statistiken von Google und Mozilla kommen uebrigens auf ca. 80% fuer verschluesselte Seiten im Netz, das ist also bereits sehr weit fortgeschritten.


    Weitere Infos dazu gibt es direkt bei https://letsencrypt.org/


    73, Tom

  • Hallo Tom,


    die Telekom hat vor ein paar Monaten alle bei ihr gehosteten Webseiten mit Let's Encrypt versehen, ohne dass man etwas dafür tun oder bezahlen musste.


    72/73 de Ingo, DK3RED - Don't forget: the fun is the power!

  • Moin Ingo,

    die Telekom hat vor ein paar Monaten alle bei ihr gehosteten Webseiten mit Let's Encrypt versehen, ohne dass man etwas dafür tun oder bezahlen musste.

    Das ist vorbildlich! Ich verfolge die "normalen" Hoster nicht so sehr, da ich einen eigenen root Server raeumlich fast direkt am DE-CIX Knoten habe. Aber ich glaube, bei Ionos (frueher 1&1) muss man das auch nur mit ein paar Klicks aktivieren, bei Strato wird es vermutlich aehnlich sein.


    73, Tom

  • Moin Tom und danke für die Info.


    Gibt es diesen von Dir geschilderten Sachverhalt bzw. die Entwicklungsrichtung irgendwo in deutsch kurz und knapp online? Betrifft mich nicht, aber in einem anderen Hobbybereich einige, die ich gerne davon in Kenntnis setzen würd.

  • Moin Michael,


    ich weiss es nicht, ich habe noch nie danach geschaut.


    Es gibt ein paar Seiten von anderen Anbietern, die ich auf die Schnelle gefunden habe und die den Sachverhalt erlaeutern:


    https://www.cyon.ch/blog/HTTPS…rt-bevorzugt-sichere-URLs

    https://auftritt1.de/sichere-website-ssl-zertifikat-https/

    https://www.heise.de/security/…-weltweit-zu-3870427.html

    https://der-internetcoach.de/m…ps-umstellen-ja-oder-nein

    https://morethandigital.info/w…ht-sicher-meldung-chrome/

    https://www.drweb.de/sicher-ist-sicher-https-76633/

    https://www.heise.de/newsticke…als-unsicher-3963924.html

    https://www.soeren-hentzschel.…nd-https-in-adressleiste/


    Einige Hoster haben dazu noch Erlaeuterungen:

    https://www.ionos.de/digitalgu…ite-auf-ssl-und-https-um/

    https://www.hosteurope.de/blog…unkte-sollten-sie-achten/


    Hier die Seite mit ersten Infos dazu von Google aus dem Jahre 2014:

    https://webmasters.googleblog.…ps-as-ranking-signal.html

    Ein Video dazu habe ich auch noch gefunden:


    Ich habe das jetzt nicht alles selbst gelesen und kann daher die Qualitaet nicht beurteilen, weil ich die Infos meist aus den englischsprachigen Newslettern beziehe. Knackpunkt ist auch immer der Begriff "geschaeftsmaessig", denn das wird allgemein als auf Wiederholung ausgelegt und betrifft damit nicht nur kommerzielle Webseiten.


    Einige Infos, bzgl. dem Datenschutz und der noetigen Verschluesselung findet man in der DSGVO, im TMG und beim BSI.


    73, Tom

  • Hallo Tom,

    danke für die Erinnerung.

    Bei meinem Hoster 1blu lies sich das Let’s Encrypt Zertifikat problemlos aktivieren. Ist in der 1blu-FAQ gut beschrieben, dass auch eine Anpassung der .htaccess notwendig ist.

    73, Roland

  • Hallo Tom!


    Danke für den Hinweis - obwohl ich die ssl/https Notwendigkeit kenne, habe ich bei der eigenen Website darauf vergessen...


    Mit letsencrypt bietet es auch mein webhoster in OE gratis an (Einziges Manko: damit sind keine Subdomains zu verschlüsseln. Macht aber nichts).