Aktivierung von HTTPS für alle Webseiten

Webseiten-Betreiber, die unser Webhosting nutzen, müssen sich nicht um SSL kümmern. Unser System stellt alle Zertifikate, die für verschlüsselte Verbindungen nötig sind, automatisch und kostenlos über das großartige Let’s Encrypt aus, wenn die Webseite das erste Mal per SSL aufgerufen wird. Nur diese erste Verbindung zeigt einen Zertifikatsfehler an, doch sobald das Zertifikat vorhanden ist, wird es automatisch verlängert. Diese Technik hat den Aufwand, den unsere Kunden für SSL betreiben müssen, fast auf Null reduziert.

Eine Webseite per SSL erreichbar zu machen ist allerdings nur ein Teil-Lösung. Die Webseite darf nämlich – und das ist der springende Punkt – auch nicht mehr per HTTP (also unverschlüsselt) aufrufbar sein. Ist die Seite auch über HTTP erreichbar sind Downgrade-Attacken (ein Angreifer erzwingt eine unverschlüsselte Verbindung) möglich. Der Angreifer kann dann weiterhin Daten der Verbindung auslesen und verändern. Ein sicheres Setup erfordert also, dass die Webseite ausschließlich per SSL erreichbar ist.

Derzeit hosten wir 318.653 Webseiten auf unseren Webhosting-Infrastruktur. Von diesen haben nur 35.844 (11,2 %) Webseiten „SSL erzwingen“ aktiviert. Obwohl bereits ca. 34% der Requests per HTTPS geladen werden ist diese Zahl deutlich zu gering. Grundsätzlich gibt es nur einen Grund, weshalb „SSL erzwingen“ nicht aktiv sein sollte: wenn unsichere Ressourcen (z.B. Bilder, Javascript, CSS etc) geladen werden müssen, und der Server, auf dem diese Ressourcen liegen, kein HTTPS unterstützt. Das ist aber immer seltener der Fall. Zudem wird spätestens mit der EU-DSGVO eine unverschlüsselte Übertragung personenbezogener Daten (und dazu reicht schon ein Kontakt- oder Anmeldeformular) extrem problematisch. Google Chrome wird auch in naher Zukunft bei Webseiten, die nicht per SSL geladen werden, ein „nicht sicher“ in der Adresszeile zeigen. Es ist höchste Zeit, SSL zu nutzen!

Wir aktivieren daher schrittweise zwischen dem 19.3. und dem 23.3. für alle bei uns gehosteten Webseiten „SSL erzwingen“. In 99,9% aller Fälle ist kein weiteres Handeln erforderlich. Wir setzen die Option und die Webseite leitet beim Aufruf per HTTP auf HTTPS um, zusätzlich wird ein „Content-Security-Policy“-Header mit „upgrade-insecure-requests“ ausgeliefert. Der Browser schreibt aufgrund des gesetzten Headers alle HTTP-URLs auf HTTPS um.

Sollten nach der Aktivierung von „SSL erzwingen“ CSS, Javascript oder andere Ressourcen nicht mehr geladen werden findest Du mehr Informationen zur Fehlerbehebung in unserem Hilfe-Artikel zu „Mixed Content„. Den Status von „SSL erzwingen“ kannst Du unter „Websites & Domains“ einsehen: ist „SSL erzwingen“ aktiv, dann ist das Schloss oben rechts geschlossen. Ein Klick auf das Schloss schaltet „SSL erzwingen“ ein oder aus.

Es gibt keinen Grund zu warten: wir empfehlen, „SSL erzwingen“ schon jetzt zu aktivieren.

2 Kommentare

  1. Ein Schritt in die richtige Richtung. Weiter so!

  2. Nur als kleiner Hinweis für alle die externe Ressourcen einbinden bzw. absolute URLs verwenden. Eine absoluter URL ohne Protokoll ist immer eine gute Variante, da die meisten (wichtigen) Seiten mittlerweile ihre Inhalte ebenfalls per HTTPS ausliefern. D.h. nicht „http://foo.bar/something.css“ verwenden sondern „//foo.bar/something.css“. Damit hat man das Mixed-Content-Problem nicht mehr.

Kommentare sind geschlossen.