Going HTTPS

HTTPS auf der eigenen Website installieren
Kommentare

HTTPS steht bekanntermaßen für Hypertext Transfer Protocol Secure und dient der gesicherten Kommunikation über ein Netzwerk bzw. das Internet im Allgemeinen. Wer darüber nachdenkt seine Website auf HTTPS umzustellen, sollte weiterlesen, denn wir werden im Folgenden ein paar Basics besprechen,  welchen Nutzen ein Umstieg auf HTTPS haben kann und wie ihr es auf einer Website implementieren könnt.

Gerade wenn es um Websites geht, auf denen Geld transferiert wird oder empfindliche, persönliche Daten angegeben werden müssen, sollte wert auf eine sichere Verbindung gelegt werden – User achten in diesem Kontext zunehmend auf die URI und sind sich des Unterschieds zwischen HTTP und HTTPS sehr wohl bewusst.

HTTPS verheißt zwei Dinge: Empfindliche Daten werden so verschlüsselt, dass sie nur vom Website-eigenen Server, dem Zertifikat-Inhaber, wieder entkryptet werden können. Folglich würde eine Man-in-the-Middle-Attacke lediglich dazu führen, dass der Hacker bedeutungslosen Gibberish-Text erhält. Darüber hinaus stellt HTTPS die Authentifizierung der „richtigen“ Website sicher. Möglich ist dies durch Zertifikate und durch Verschlüsselung.

HTTPS-Zertifikate

Um die eigene Website auf HTTPS umzustellen, braucht man ein Zertifikat. Es handelt sich dabei um ein digitales Dokument, das die Website einreicht, um dem User und dem Web Browser  ihre Identität zu beweisen. Ein Zertifikat kann entweder Self- oder Third Party Signed sein. Beide Varianten haben Vor- und Nachteile: Wenn ein Zertifkat von sich aus „unterschrieben“ ist, wird ihm von Browsern nicht vertraut und der User erhält eine Warnmeldung. Allerdings bietet sich diese Variante zunächst zum Testen von Applikationen an, da sie kostenlos ist. Die Third-Party-Variante ist von einer Certification Authority verifiziert und ausgestellt und wird von Browsern akzeptiert. Allerdings wird das Zertifikat jährlich abgerechnet, die Kosten können sich dabei von wenigen bis hin zu Hunderten Dollar belaufen.

HTTPS-Verschlüsselung

Im Verschlüsselungs- und Endschlüsselungs-Ablauf kommen zwei Keys ins Spiel – ein Key ist öffentlicht, einer privat. Wenn also der User aufgefordert wird, vertrauliche Informationen zu senden, wird der Website-Server den Browser des Users mit dem öffentlichen Key auffordern, die Daten zu verschlüsseln und zu übersenden. Wenn diese verschlüsselte Nachricht am Server ankommt, wird der private Key genutzt, um die Daten wieder zu entschlüsseln. Das Key-Paar ist festgelegt, funktioniert also immer nur in Kombination.

HTTPS implementieren

Um ein Zertifikat zu erhalten, das man dann im Website-Server installiert, braucht man zunächst einen Private Key und einen Certificate Signing Request, die man im hostenden Server unter Angabe der persönlichen Informationen (Name des Businesses, Ort usw.) generieren muss. Self-Signed-Zertifikate und solche, die von einer CA ausgestellt sind, müssen jeweils unterschiedlich installiert werden. Mehr Infos und ein paar hilfreiche Links findet ihr hierzu im Blog-Post „HTTPS Basics“ von Mufleeh Sadique.

Nächste Schritte

Nachdem HTTPS installiert wurde, sind noch einige Modifikationen an der Website und dem Server nötig: Links müssen entsprechend umbenannt und ein Server Setup durchgeführt werden. Letzteres soll User, die über unsichere URIs auf gesicherte Seiten zugreifen wollen, automatisch umleiten. Wie ihr das Setup durchführt, könnt ihr ebenfalls im Artikel von Sadique nachlesen, es sind nur wenige Handgriffe.

Zum Abschluss sei noch empfohlen, dass ihr eure Seite testweise von verschiedenen Browser aus aufruft, um zu prüfen, ob alle gesicherten Seiten als solche angezeigt werden.

Aufmacherbild: render of https protected web page von Shutterstock / Urheberrecht: Fulop Zsolt

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -