Dieser Tage kam Post von Google Search Console. Ab Oktober 2017, so die Mitteilung, erscheint in Chrome vor einer Domain der Hinweis NICHT SICHER, »wenn Nutzer auf einer HTTP-Seite Text in ein Formular eingeben oder eine HTTP-Seite im Inkognitomodus besuchen.« Nicht länger weist also ein dezentes kleines i in einem Kreis auf den Umstand hin, dass diese Website keine Verschlüsselung bei der Datenübertragung benutzt. Vielmehr heißt es nun also drastisch: HTTP NICHT SICHER. Ferner bestätigt Google damit einmal mehr den langfristigen Plan, »alle über HTTP bereitgestellten Seiten als „nicht sicher“ zu kennzeichnen«.
Warnung für Kommentarfunktion
So ganz neu ist diese Verkündung nicht. Dass Sie Ihre persönlichen Daten oder gar Ihre Kreditkartennummer nicht auf einer Website hinterlassen sollten, die nicht unter HTTPS läuft, sollte mittlerweile landläufig bekannt sein. Doch die Mail, die ich nun bekam, bezog sich konkret auf nur eine Domain, die ich bei Search Console verwalte. Im Gegensatz zu allen anderen dort von mir gemeldeten Domains benutzt dieses als Blog die Kommentarfunktion. Und damit erfüllt sie das K.O.-Kriterium: Sobald nämlich auf einer HTTP-Seite Texteingabefelder wie < input type="text" > oder < input type="email" > erscheinen, gibt Chrome zukünftig die deutliche Warnung aus.
Kontaktformulare nur unter HTTPS
Macht das Sinn? Immerhin reden wir hier von der Möglichkeit für Nutzer, einen Text zum Zwecke der Veröffentlichung zu hinterlassen. Es geht also nicht darum, persönliche Informationen zu verschicken, die nur für den Betreiber der Website bestimmt sind. Das wäre zum Beispiel bei einem Kontaktformular der Fall. Weshalb schon seit geraumer Zeit bekannt ist, dass jede Webseite, die ein solches Kontaktformular zur Verfügung stellt, über HTTPS betrieben werden muss. Selbiges gilt auch für Websites, die einen Newsletter anbieten. Denn auch hier hinterlassen Nutzer ihre Namen und E-Mail-Adressen.
Die Krux an der Sache mit der Kommentarfunktion ist dann meines Verständnisses nach auch die E-Mail-Adresse. Die ist zum Verschicken des Kommentars nötig, nicht aber für die Veröffentlichung gedacht. Entsprechend gehört sie in den Bereich der persönlichen Daten, die zu schützen sind. Ergo: Auch jedes Blog, das die Kommentarfunktion nutzt, muss die Verschlüsselung bereitstellen.
HTTP NICHT SICHER
Lassen wir es uns auf der Zunge zergehen: Jede Domain, die in nicht allzu ferner Zukunft noch ohne Verschlüsselung funktioniert, erhält die explizite Kennzeichnung NICHT SICHER.
Stellen wir uns die Website einer Arztpraxis vor
NICHT SICHER praxis-mustermann.de
oder die eines Versicherungsmaklers
NICHT SICHER mustermann-versicherungen.de
Schön auch die eines Handwerkers
NICHT SICHER elektro-sanitaer-mustermann.de
Auch wenn keine dieser drei fiktiven Websites über ein Kontaktformular, einen Newsletter oder die Kommentarfunktion verfügt, sprich: gar keine Datenübertragung seitens des Nutzers ermöglicht, braucht sie auf lange Sicht die Datenverschlüsselung.
HTTP auf HTTPS umzustellen benötigt SSL-Zertifikat
Letztlich bleibt die Umstellung von HTTP auf HTTPS keinem erspart. Denn darin sind sich die Browser-Hersteller weitgehend einig: HTTP NICHT SICHER. Die Umstellung an sich wäre jetzt auch nicht das ganz große Problem. Würden alle Hostinganbieter in all ihren Hostingpaketen entsprechende SSL-Zertifikate inklusive anbieten, wäre den meisten Website-Betreibern schon immens geholfen. Denn ein SSL-Zertifikat ist die Grundvoraussetzung für die Umstellung.
Doch leider spricht die Realität eine andere Sprache. Von Kunden höre ich immer wieder, dass es laut Hostinganbieter in ihrem Paket gar keine oder nur kostenpflichtige Zertifikate gäbe. Letztere sind sicherlich sinnvoll für Websites mit zum Beispiel Bezahlfunktion. Das einfache Blog, das nur seine Kommentarfunktion verschlüsseln will, käme jedenfalls mit einem kostenfreien SSL-Zertifikat wie Let’s Encrypt wunderbar zurecht. Im Zweifel bleibt dann nur der Wechsel in ein teureres Paket – oder der Wechsel zu einem anderen Anbieter. Dabei ist gerade Letzteres dann schon wieder mit Aufwand verbunden.
SSL-Zertifikat ist vorhanden – und wie geht es dann weiter?
Ist das SSL-Zertifikat mitsamt der passenden Weiterleitung von HTTP zu HTTPS einmal aktiviert, ist vielleicht schon alles gut. Vielleicht braucht es aber zudem noch die Bereinigung der Website von allen HTTP-Verweisen. Solange auf der Website nämlich noch HTTP-Links vorhanden sind, erkennen die Browser sogenannten Mixed Content – und kennzeichnen die Website noch immer als NICHT SICHER. Tipps zur Umsetzung von HTTP zu HTTPS gibt es im Beitrag WordPress HTTPS einrichten.
Beitragsbild: Britta Kretschmer
Schreibe einen Kommentar