Mit Kanonen auf Spatzen geschossen: Google kündigt an künftig HTTPS Verschlüsselung als Ranking Faktor zu werten

Was genau bedeutet HTTPS Verschlüsselung eigentlich?

Ohne detailliert auf technische Details eingehen zu wollen bezeichnet eine HTTPS Verschlüsselung, dass eine verschlüsselte Nachricht an einen Server geschickt wird und dort wieder entschlüsselt werden kann. In der Praxis begegnet uns eine per HTTPS / SSL gesicherte Verbindung zu einem Server beispielsweise beim Einkauf in einem beliebigen Online Shop. Beim auslösen der Bestellung im Warenkorb werden wir nach Kreditkarteninformationen gefragt – ohne Zweifel extrem sensible Daten von denen wir nicht wollen, dass sie in die falschen Hände geraten. Aus diesem Grund werden die Kreditkartendaten verschlüsselt übertragen – nur derjenige, der über den richtigen Schlüssel verfügt, kann die empfangenen Daten auch wieder entschlüsseln.

Im Normalfall ist die Verbindung nicht nur verschlüsselt, sondern der Anbieter wird zusätzlich noch mit seinem sog. „SSL Zertifikat“ von einer „vertrauenswürdigen“ Stelle verifiziert.
Das SSL Zertifikat selbst ist eine Summe aus einem öffentlichen Schlüssel, einer ID und einer Prüfsumme.
Die Verifizierung des SSL Zertifikat ist aber für die Verschlüsselung nicht zwingend erforderlich – die Verifizierung besagt lediglich, dass der Server, der die Kreditkarteninformationen aus unserem Beispiel empfangen soll, derjenige ist für den er sich ausgibt. Die wahrscheinlich bekannteste dieser vertrauenswürdigen Stellen ist VeriSign. Webseitenbetreiber, die ihre Webseite (genauer: den Datentransfer zwischen der Webseite und den Browsern der Besucher) verschlüsseln lassen möchten, können dies grundsätzlich auch ohne Verifizierung tun, dann wird Ihnen allerdings der Hinweis aus unserem Screenshot angezeigt!

Hinweis über ein SSL Zertifikat unter Mozilla Firefox welches nicht von einer Vertrauenswürdigen Stelle verifiziert wurde

Das verifizierte SSL Zertifikat und die Verschlüsselung

Erst im Zusammenspiel der Verschlüsselung und der Autorisierung des Empfängers kommt die ersehnte Sicherheit im Datenverkehr ins Spiel. Die Daten werden auf dem Weg vom Browser zum Server verschlüsselt und beide Stellen verfügen über die notwendigen Passwörter um die Nachricht zu decodieren. Das HTTPS / SSL Zertifikat bestätigt dem Browser noch vor dem absenden, dass der Empfänger der ursprünglich beabsichtigte ist.

Wofür brauchen wir eine HTTPS / SSL Verschlüsselung?

Wie oben dargestellt ist innerhalb einer gesicherten Verbindung der Datenaustausch zwischen Server und Browser gegen einen Lauschangriff von Aussen gesichert – beide Stellen kommunizieren nur miteinander, wenn beiden der Schlüssel und die ID bekannt ist. Wenn einem der beiden Beteiligten mindestens einer der beiden Informationen fehlt, gibt der Browser ein visuelles Signal an den Nutzer weiter und kommuniziert nur noch nach Aufforderung durch den Benutzer mit der anderen Stelle.
Innerhalb der gesicherten Verbindung ist ein abhören der ausgetauschten Informationen nahezu unmöglich, weswegen Shopbetreiber beim Austausch von Kreditkarteninformationen heute praktisch nicht mehr auf HTTPS /SSL verzichten können.

Innerhalb einer unverschlüsselten Verbindung können die zwischen beiden Seiten ausgetauschten Informationen „abgehört“ und „mitgelesen“ werden. Zwar muss sich der „Spion“ in der Regel im selben Netzwerk („LAN“) aufhalten, aber für einen gewieften Informationsdieb stellt diese Hürde im Vergleich kaum ein ernstzunehmendes Problem dar. Kaum jemand betreibt sein heimisches WLAN ausreichend sicher und so ist der Datenverkehr zwischen allen im heimischen Netzwerk betriebenen Geräten und deren Webservern ein offenes Buch. Oft reicht bei den aktuellen starken WLAN Antennen ein Parkplatz direkt vor dem Haus, ein Notebook mit WLAN Empfänger und ein bisschen Geduld beim hacken des Passwortes.

Ein weiterer Anwendungsfall sind öffentliche WLAN Netze, beispielsweise in Bahnhöfen, Flughäfen oder auch Cafe`s. Betreibt man sein Smartphone, Tablet oder Notebook in ungesicherten und öffentlichen Netzwerken, kann jeder, der sich zur gleichen Zeit im Cafe und Netzwerk befindet, mit wenig Aufwand mitlesen und ganze Datenpakete einfach und weitesgehend unbemerkt aus dem eigenen Endgerät schmuggeln.
Die SSL Verschlüsselung bietet also Schutz vor unberechtigtem Mitlesen und abhören in unserem ganz alltäglichen Umgang mit dem Internet.

Wo sind Grenzen von HTTPS / SSL?

Wie schon mehrfach angeklungen greift eine Verschlüsselung ausschliesslich in der Verbindung, der direkten Kommunikation zwischen Browser und Webserver. Werden Kreditkarteninformationen verschlüsselt übertragen, sind diese Informationen im Moment des Austausches, des Transportes vor dem Abhören sicher. Wenn die Daten-empfangende Stelle diese Informationen allerdings im Anschluss an den Empfang ungesichert auf dem Server speichert, zeugt dies von Unkenntnis und Gleichgültigkeit des Empfängers und zum anderen zeigt es auch die Grenze von HTTPS / SSL auf.

Warum bevorzugt Google nun verschlüsselte Webseiten?

Die offizielle Begründung von Google spricht von dem Wunsch, führende Technik vorzuleben, sie einzusetzen und so weltweite Standards in der Informationstechnologie zu setzen. Wer Informationsdieben das Handwerk legen will, sollte die HTTPS / SSL Verschlüsselung bzw. der Zertifizierung von Webseiten in der Tat forcieren – Google ist sicherlich ein perfekter Vorreiter und gutes Vorbild um dem Ziel ein sicheres Internet zu schaffen einen Schritt näher zu kommen.
Wer sich aber mit der Geschichte und den wirtschaftlichen Erfolgen sowie mit der Investitionspolitik des Konzerns auseinandersetzt wird schnell erkennen, dass fast immer wirtschaftliche Motivation hinter vorgeschobenen moralischen Zielen steht. Insofern bleibt abzuwarten ob Google in naher Zukunft entweder SSL Zertifizierungsstellen aufkauft oder selbst SSL Zertifikate zum Schleuderpreis anbietet um andere Anbieter vom Markt zu drängen.

Wie wichtig ist es nun die eigene Webseite zu verschlüsseln?

Schwierig zu beantworten! Sofern Sie ein Shopbetreiber sind, oder datenschutzrechtlich relevante Informationen auf der Webseite erheben oder verarbeiten (Namen, Adressen, Nutzernamen und / oder Passwortkombinationen), ist eine SSL Verschlüsselung unumgänglich. Zwar sollte die Hauptmotivation für die Verschlüsselung dann die schutzwürdigkeit der persönlichen Daten der eigenen Kunden sein, aber unter dem Strich lohnt die Verschlüsselung in diesem Fall immer.

Auch Betreiber großer Community Seiten verarbeiten persönliche Daten, so ist die Verschlüsselung auch hier definitiv zu empfehlen. Kommerzielle Webseitenbetreiber, die innerhalb ihres Online Marketings alles ausgeschöpft haben was die Optimierung von Onpage Faktoren und die Pflege relevanter Links von aussen möglich machen, sollten auch auf die Verschlüsselung der Transportwege per SSL / HTTPS zählen.
Für alle anderen online Unternehmer, die noch größtenteils die unterschiedlichen Klaviaturen des Online Marketings nicht ausprobiert haben, sollten zunächst die Finger von der Verschlüsselung lassen. In den meisten Fällen ist eine Entscheidung für ein SSL Zertifikat eine Entscheidung fürs Leben, denn wenn in der Zukunft irgendwann mal das SSL Zertifikat wieder abgeschafft werden soll, wird es schwer die eingehenden Links von „https://www…“ zurück auf „http://www…“ zu ändern. Kommt ein Nutzer nach Ablauf der Gültigkeit des Zertifikats auf eine HTTPS Seite wird er auf das falsche Zertifikat hingewiesen – dieser Hinweis zerstört in 9 von 10 Fällen das Vertrauen eines neuen Besuchers und führt in den meisten Fällen zu einem Abbruch des Besuches. Insofern gilt auch beim SSL Zertifikat „Drum prüfe wer sich Ewig binde …“.

Nicht zuletzt weißt Google in seiner Ankündigung die Gewichtung auf – es betreffe nur „weniger als 1% der weltweiten Suchen“ und sei insgesamt ein „eher schwaches Ranking Signal“ – in jedem Fall schwächer als guter und werthaltiger Content, der auf die Fragen und Bedürfnisse des Kunden eingeht. Aus meiner persönlichen Sicht ist es für jeden Online Unternehmer wesentlich wichtiger Conversion-Killer abzubauen, also alle Hürden die die Kunden vom kaufen abhalten. Ein ganz gewichtiger Conversionkiller sind nicht-responsive Webseiten oder allgemeiner ausgedrückt: Technologien die nicht von jedem Endgerät verstanden werden. Darüber hat Google auch jüngst eine Meldung veröffentlicht und wir haben sie kommentiert.