barrichello87 - Fotolia

F

Was sind die Herausforderungen bei der Migration von HTTP zu HTTPS?

Ein Übergang von HTTP zu HTTPS sollte für jede Webseite von Unternehmen angestrebt werden. Welche Aspekte und Fallstricke gilt es dabei zu beachten?

HTTPS erhöht bekanntermaßen die Sicherheit bei der Übertragung von Daten im Internet. Aber der Übergang zu dem verschlüsselten Protokoll hat sich immer wieder als schwierig erwiesen. Manche Organisationen, wie etwa das United States Patent and Trademark Office (USPTO), sind sogar wieder zu HTTP zurückgekehrt. Welches sind die wesentlichen Hürden und welche Maßnahmen sollten Unternehmen ergreifen, die zu HTTPS wechseln wollen oder müssen?

Das erwähnte USPTO hatte auf seiner Webseite Schwierigkeiten bei der Migration von HTTP zu HTTPS und musste deswegen zumindest vorübergehend zur unverschlüsselten Variante zurückkehren. Seit dem Juni 2015 schreibt die amerikanische Regierung allen US-Behörden vor, auf den öffentlich zugänglichen Webseiten sichere Verbindungen zu ihren Diensten anzubieten, um die übertragenen Daten besser zu schützen. Das ist deswegen so wichtig, weil alle zu diesen Seiten gesendeten und von dort empfangenen Daten bislang unverschlüsselt übertragen wurden. Dadurch bestand das Risiko, dass ein Angreifer die Verbindungen hätte belauschen können.

Die Migration zu HTTPS (Hypertext Transfer Protocol Secure) ist in den vergangenen Jahren deutlich einfacher geworden. Es tauchen aber immer noch Bedenken und Probleme auf, wenn dieser Schritt durchgeführt werden soll. Einige große Anbieter wie Google warnen die Nutzer mittlerweile, wenn diese mit Google Chrome eine Seite besuchen, die sensible Daten enthalten könnte und die nur HTTP (HyperText Transfer Protocol) verwendet. Zu einem späteren Zeitpunkt wird Google Chrome vermutlich sogar vor allen Webseiten warnen, die nur HTTP anbieten. Auch Mozillas Firefox weist die Endanwender entsprechend auf nicht verschlüsselte Verbindungen hin.

In der Vergangenheit haben die vergleichsweise hohen Kosten viele Organisationen an einem Wechsel zu SSL (Secure Sockets Layer) gehindert. Mittlerweile bietet aber Let’s Encrypt kostenlose Zertifikate für Jedermann an. Das hat dem Übergang zu HTTPS zu einem deutlichen Schub verholfen.

HTTPS-Umstellung: Wichtige Faktoren

Es gibt jedoch ein paar Punkte, die bei der Migration zu HTTPS beachtet werden sollten, als da wären: welcher Webserver wird genutzt, welche Schlüssel sind verfügbar und ist TLS 1.2 (Transport Layer Security) möglich. Außerdem kann es auf einem Server zu einem höheren technischen Overhead kommen, wenn HTTPS-Verbindungen eingeführt werden. Unternehmen sollten deswegen vorher sicherstellen, dass sie die nötige Hardware einsetzen, um auch in Zukunft alle Anfragen beantworten zu können. In der Praxis ist das allerdings bei jeder Organisation anders und tritt auch möglicherweise gar nicht auf. Es ist jedoch auf jeden Fall besser, diesen Punkt vorher zu prüfen.

Zudem ist es eine gute Idee, die aktuellen Verschlüsselungsmethoden zu verwenden, wenn es der Webserver denn erlaubt. Dadurch erhöht sich die Sicherheit der SSL-Verbindungen erheblich. Es reicht jedoch nicht, nur ein SSL-Zertifikat auf den Webserver aufzuspielen, um für eine umfassende Sicherheit der Verbindungen zu sorgen. Der Einsatz von TLS 1.1 oder 1.2 erhöht die Sicherheit weiter. Dies ist aber abhängig von der Art der Kundenanfragen auf die jeweilige Webseite und variiert je nach Organisation erheblich.

Bei der Migration zu HTTPS wird außerdem der Einsatz von Perfect Forward Secrecy empfohlen, um die einzelnen Sitzungen vor kompromittierten Schlüsseln zu schützen. Außerdem sollte die Seite mit Hilfe eines SSL-Checks überprüft werden, um Konfigurationsfehler aufzuspüren. Unternehmen wie Qualys oder DigiCert bieten dies als kostenlosen Dienst an. Sollten noch SSL-Probleme oder andere Sicherheitsbedenken bestehen, zeigt sie so ein Scan in der Regel an.

Außerdem gibt es noch einige wichtige Hausaufgaben nach der Migration zu HTTPS zu erledigen. So sollte ein 301-Redirect eingerichtet werden, um alle HTTP-Anfragen automatisch auf HTTPS umzuleiten. Damit gelangen auch alle Nutzer, die auf eine Seite noch per HTTP zugreifen, automatisch auf die aktuelle HTTPS-Version. Wenn dies nicht erledigt wird, ist für diese Nutzer möglicherweise gar kein Zugriff mehr möglich.

Interne Links und Verbindungen überprüfen

Wichtig ist es zudem, alle internen Links zu überprüfen, so dass es zu keinen Einbrüchen der Performance kommt, die auch die SEO-Bewertung einer Webseite negativ beeinflussen können. Darüber hinaus sollte überprüft werden, wo die SSL-Verbindungen enden. Auf dem Server selbst oder wird Load Balancing eingesetzt?

Sofern Ende-zu-Ende-Verschlüsselung benötigt wird und Load Balancing genutzt wird, muss sichergestellt werden, dass die Verbindungen wieder verschlüsselt werden, wenn sie nach der Entschlüsselung durch den Load Balancer weiter zum Webserver übertragen werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Nutzung von Zertifikaten und Schlüsseln stark angestiegen

Die Ausfallsicherheit von Webservern verbessern

Forbidden Attacks: Gefahr für HTTPS-Verbindungen

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close