Was ist SSL und warum jetzt erst recht?

Aktuell 08 Min. Lesezeit

Google macht ernst. Ab Oktober dieses Jahres werden Webseiten, die NICHT über eine SSL-Verschlüsselung verfügen, im hauseigenen Browser Chrome als unsicher markiert.

Doch zuerst einmal durchatmen. Was ist SSL überhaupt und wieso liegt Google dieses Thema so am Herzen?

Foto © 2019, Mike Fouque und Marcel Moser, Kommunikationsdesign (LizNr. 242666883)

SSL* ist eine Verschlüsselungstechnik, die dazu beiträgt, den Datenaustausch zwischen Webseiten-Besucher und Webseite zu verschlüsseln. Wann immer persönliche oder sensible Daten übertragen werden – z.B. über ein Formular – schützt die Verschlüsselung davor, dass Dritte diese Daten abfangen und nutzen können.

„Die tatsächliche Sicherheit und auch das empfundene Sicherheitsgefühl des Besuchers ist einer der Hauptgründe zu und für HTTPS.

Marcel Moser (Webmaster)

Indem Sie als Unternehmen ode rals Verein Ihre Webseite mit einer SSL-Verschlüsselung anbieten, schützen Sie nicht nur sich selbst, sondern auch Ihre Kunden. Sie als Webseiten-Betreiber profitieren vor allem bei Anmeldeformularen von einer SSL-Verschlüsselung. Dazu gehören z.B. der Login zum Backend der Webseite oder ins Intranet. Für Webseiten-Besucher ist die Verschlüsselung vor allem beim Ausfüllen von Kontaktformularen relevant, damit persönliche Informationen wie Email-Adresse, Kundennummer oder Adresse nicht in falsche Hände geraten.

Ohne Verschlüsselung ist es Dritten grundsätzlich möglich, übermittelte Daten wie Usernamen, Passwörter oder Kundennummern abzufangen und auszulesen. Mit einer SSL-Verschlüsselung verhindern Sie zwar nicht das Abfangen von Daten, erschweren das Auslesen der Daten jedoch um ein vielfaches.

Wichtig: Eine SSL-Verschlüsselung schützt nur den Datenaustausch zwischen Webseiten-Besucher und Server und hat keinen Einfluss darauf, wie die Daten auf dem Server selbst verarbeitet oder gespeichert werden.

«Wie erkenne ich eine sichere Website?»

Ob eine Webseite SSL unterstützt oder nicht, sehen Sie direkt im Browser. Chrome kennzeichnet eine sichere Seite beispielsweise mit einem grünen Schloss-Symbol. Das gleiche gilt für Firefox. In Edge wird eine funktionierende SSL-Verschlüsselung mittels grossem grauen Icon symbolisiert. Die URL einer SSL-Verschlüsselten Webseite beginnt anstatt mit dem klassischen http:// mit https:// .

Aktuelle Darstellung einer Unsicheren Verbindung im Browser Aktuelle Darstellung (Firefox) einer Seite mit SSL-Verschlüsselung.

Aktuelle Darstellung einer Seite ohne SSL-Verschlüsselung. Aktuelle Darstellung (Firefox) einer Seite ohne SSL-Verschlüsselung.

Aktuelle Darstellung einer Unsicheren Verbindung im Browser Aktuelle Darstellung (Firefox) einer Seite mit SSL-Verschlüsselung aber mit gemischtem Inhalt (Mixed Content).

Google Chrome sperrt «Mixed Content»

Das Problem ist so alt, wie es sichere Verbindungen im Internet gibt: Beim Aufruf von Websites via sicherem HTTPS-Protokoll werden Teile der Website, zum Beispiel Bilder, Videos, Scripts oder Schriften, über eine unsichere Verbindung geladen. Für den Browser Grund genug, die Seite trotz gültigem SSL-Zertifikat als «Nicht sicher» zu markieren.

Die Ursache für solche gemischten Inhalte liegt im Quellcode der entsprechenden Seite und lässt sich mit etwas Arbeit beheben. Meine Kunden werden von mir persönlich auf diesen Arbeitschritt angesprochen damit wir den Aufwand und die damit verbundenen Kosten zuvor besprechen können.

Nachdem Google mit seinem Chrome-Browser bereits vor rund einem Jahr damit begonnen hat, unverschlüsselte Websites als “Nicht sicher” zu markieren, will der Konzern nun auch dem Mix zwischen sicheren und unsicheren Verbindungen den Garaus machen. Zwar würden Chrome-Nutzer schon jetzt rund 90 Prozent ihrer Surf-Zeit auf HTTPS-Websites verbringen, wie Google in einem Blogbeitrag schreibt. Doch darin sind auch die Verbindungen mit «Mixed Content» mitgezählt.

Google beginnt deshalb mit der im Dezember erscheinenden Chrome-Version 79 den Browser umzubauen. Version 79 erhält, quasi als Vorbereitung auf die nächsten Schritte, eine neue Einstellung, die es erlaubt, vom Browser blockierten «Mixed Content» manuell und spezifisch pro Website zu entsperren.

Zuerst Audio- und Videodateien

Mit Version 80, die voraussichtlich im Februar 2020 erscheint, will Chrome dann Audio- und Videodateien, die per unsicherem HTTP eingebunden sind, automatisch via sicherer SSL/TLS-Verbindung laden. Ist das nicht möglich, sperrt Chrome den Zugriff auf die betroffenen Audio- und Videodaten, so dass diese nicht auf der Website angezeigt werden. Zur Not kann der Nutzer die Inhalte aber mittels der in Chrome 79 eingeführten Einstellung entsperren.

Dann auch Bilder

Für Websites mit «unsicheren» Bildern hält Chrome 80 eine weitere Überraschung bereit: Werden diese nicht über eine sichere Verbindung geladen, wird die Website im Browser nicht wie bisher nur mit dem ⓘ-Symbol gekennzeichnet, sondern neu gut sichtbar als «Nicht sicher» markiert.

Im Frühling 2020 dürfte für Chrome-Nutzer dann plötzlich die eine oder andere Website etwas karg aussehen. Ab Chrome 81 sollen nämlich Bilder, die nicht über eine SSL-/TLS-Verbindung geladen werden, komplett blockiert werden.

Im Bestreben, nur noch sichere Verbindungen zwischen Browser und Server durchzusetzen, erhöht Google den Druck mit diesen Neuerungen also noch einmal. Meine Kollegen/Innen und ich in unserer Branche tun sich also gut daran, jetzt nochmals ein Auge auf bereits bestehende Website-Projekte zu werfen und sicherzustellen, dass dort «Mixed Content» – auch in Plugins und ähnlichem – kein Thema ist. In meinem Kundencenter erfahren meine Kunden dann ob ich den «Mixed Content» erkannt und auch bereinigen konnte.