Unser Blog wird „intim“ mit SSL/TLS

In den letzten Wochen haben wir vor allem hinter den Kulissen unseres Blogs meinungsbildhauer.ch gearbeitet. Die grösste und wichtigste Neuerung soll dabei primär dem Besucher unserer Polit-Kritiken zugute kommen: Die SSL-Verschlüsselung!

Einige von euch haben es beim Besuch der Webseite sicher bemerkt: Je nachdem mit welchem Browser ihr meinungsbildhauer.ch ansteuert bestätigt ein Verschlüsselungs-Symbol oben links, dass meinungsbildhauer.ch eine sichere Verbindung hat.
Ausserdem wird jede Anfrage an den Server um unser Blog zu erreichen automatisch zu https://meinungsbildhauer.ch umgeleitet. Unverschlüsselte Verbindungen werden über das HTTP-Protokoll anstatt über HTTPS aufgebaut.

Genau genommen ist SSL ein veralteter Standard und heisst in den aktuellen Versionen mittlerweile TLS. Doch durch die „klassischen“ verschlüsselten Verbindungen, aus Zeiten in denen das Internet noch jünger war, wie beispielsweise ein E-Banking-Zugang, hat sich der Begriff SSL eher durchgesetzt als TLS.

Diese Verbindung ist sicher: https-Protokoll und grünes Schloss im Firefox
Diese Verbindung ist sicher: https-Protokoll und grünes Schloss im Firefox

Doch egal wie man es nennen will: Mit SSL/TLS werden die Daten, die zwischen Webserver/Blog und dem Computer/Mobilgerät des Besuchers ausgetauscht werden, nicht mehr im Klartext übertragen.
Will heissen: Wenn ihr z.B. unser Kontaktformular genutzt habt, dann wurden eure Nachricht und eure Angaben wie E-Mail-Adresse etc. unverschlüsselt über das Internet an den Server übertragen. Wenn nun jemand das entsprechende Fachwissen und/oder Zugang zu eurer Internetverbindung hat (grösste Gefahr ist hier ein öffentliches oder ungeschütztes WLAN, da das Mitschneiden von Datenverkehr dort besonders einfach ist) war es möglich diesen Datenverkehr mitzulesen.

So ist es ohne verschlüsselte Verbindung beispielsweise möglich die Nachrichten die ihr an meinungsbildhauer.ch geschickt habt mitzulesen oder eure E-Mail-Adresse auszulesen.
Die fehlende Verschlüsselung ist übrigens auch einer der Gründe, warum die klassische E-Mail als „unsicher“ eingeschätzt wird.

Wichtige Dienste im Internet wie Facebook, Google, Twitter, diverse Mail-Anbieter etc. haben die SSL/TLS-Verschlüsselung ebenfalls eingeführt.
Auch wenn es den meisten Menschen nicht in den Sinn kommt, aber ohne verschlüsselte Verbindung kann, besonders in genannten öffentlichen WLAN-Hotspots, theoretisch JEDER eure Login-Daten für bestimmte Dienste abgreifen.
Ein Facebook-Account muss also nicht zwingend „gehackt“ werden. Oft reicht es böswilligen Menschen aus in einem öffentlichen WLAN den Netzverkehr mitzuschneiden.

Die Menschen gehen mit ihren persönlichen Daten im Internet heutzutage sehr freizügig um
Die Menschen gehen mit ihren persönlichen Daten im Internet heutzutage sehr freizügig um

Auch mit SSL/TLS gehört bei öffentlichen Hotspots, ohne Schutzmassnahmen seitens des Benutzers, besondere Vorsicht geboten welche Daten ihr über das Netzwerk kommuniziert. Und damit ist nicht der Whatsapp-Chat gemeint sondern Dinge wie Facebook-Logins, E-Mail-Synchronisation oder das Shoppen bei Online-Shops (wo ihr möglicherweise eure Kreditkartennummer hinterlegt habt).

Ihr seht also, wir haben von einer sicheren Verbindung zu meinungsbildhauer.ch alle was davon. Wir können uns über eine sichere Verbindung hier einloggen und ihr könnt sicherer sein, dass niemand eure Nachrichten an uns mitlesen oder eure persönlichen Daten abgreifen kann.

Für Webseitenbetreiber bietet sich der Schutz über SSL/TLS allgemein an. Es bietet im Gegensatz zur ungesicherten Verbindung einen grossen Mehrwert (auch wenn das alleine als Schutzmassnahme nicht ausreicht) und ist seit bald einem Jahr auch kostenlos erhältlich.
Davor war SSL/TLS nämlich ein eher kostspieliges Unterfangen.

Zwar sind die kommerziellen Anbieter in den letzten Jahren massiv günstiger geworden und kostenlose SSL/TLS-Zertifikate gab es auch davor schon: Allerdings war die Installation mit technischem Aufwand verbunden, erforderte ein gewisses Grundwissen und das Zertifikat musste aufwändig erneuert werden.

Seit 2015 gibt es den Dienst „Let’s Encrypt“ (zu deutsch: „Lass uns verschlüsseln!“) der die Einrichtung einer geschützten Verbindung auch für normale Webseitenbetreiber ohne Informatik-Ausbildung möglich macht. Ihr müsst aber weder etwas kaufen noch euch bei einem unbekannten Projekt anmelden.
Bei Standard-Webmastern ist das Let’s Encrypt SSL/TLS-Angebot nämlich Sache eures Hosting-Unternehmens.

Sucht auf der Webseite eures Hosters nach einer Anleitung wie ihr Let’s Encrypt in eure Seite einbauen könnt oder fragt nach ob es verfügbar ist und wenn nein, ob es verfügbar gemacht werden kann.
Die Hosting-Unternehmen haben aus Sicherheitsgründen für ihre Server-Infrastruktur nämlich auch ein Interesse daran, dass die Nutzer ihre Webseiten so sicher wie möglich ins Internet stellen!

Bei unserem Webhoster ging das Einrichten der Verschlüsselung nur wenige Minuten.

Und zum Schluss wird eine verschlüsselte Verbindung auch immer wichtiger:
Suchmaschinen wie Google bewerten Webseiten mit SSL/TLS-Verschlüsselung besser als ungeschützte Angebote.
In Zukunft will Google Webseiten ohne SSL/TLS-Verbindung sogar speziell kennzeichnen!

Uns ist Privatsphäre, auch im Internet, extrem wichtig. Und auch wenn eine geschützte Verbindung nur die Spitze des Eisbergs zum Schutz der Privatsphäre ist, so merzt es doch eine deutliche Schwachstelle bei der Kommunikation übers Internet aus und verhindert effektiver, dass eure Daten in falsche Hände geraten.

Auch wenn du "nichts zu verbergen hast" ist deine Privatsphäre schützenswert!
Auch wenn du „nichts zu verbergen hast“ ist deine Privatsphäre schützenswert!

Aus diesem Grund ist die reine Ankündigung, dass meinungsbildhauer.ch nun über HTTPS erreichbar ist auch extrem umfangreich ausgefallen.

Quellen:
1. Bild: https://meinungsbildhauer.ch
Restliche Bilder: https://pixabay.com
SSL/TLS-Zertifikat: https://letsencrypt.org/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.