HTTPS, SSL und SHA2 - Welches Zertifikat ich benötige

Google hat es sich zur Aufgabe gemacht das Internet gemeinsam mit Webmastern sicherer zu gestalten. Im August wurde über den Google Webmasterblog verkündet, dass künftig sicher verschlüsselte Webseiten einen geringen Rankingboost zuzusprechen. Die Wertigkeit für die Suchmaschinenpositionierung sei momentan zwar noch gering, könne aber in Zukunft deutlich wichtiger werden.

Dies scheint sich nun zu bestätigen. Anfang September verkündet Google zukünftig nicht nur den Rankingboost für SSL verschlüsselte Webseiten anzuwenden, sondern in Google Chrome zusätzlich die Bewertung dieser Verschlüsselungen sichtbar zu verändern. Was das konkret bedeutet erläutere ich in diesem Beitrag.

 

Das erwartet Dich in diesem Artikel: 

  1. Wie SSL Zertifikate funktionieren und welche Unterschiede es gibt
  2. Wie SSL Zertifikate künftig in Chrome angezeigt werden 
  3. Was man tun kann

 

Wie SSL Zertifikate funktionieren und welche Unterschiede es gibt

Wenn Du eine Webseite ansteuerst, die über eine sichere Verbindung verfügt wird oben rechts im Browser eine https Verbindung angezeigt. Ist die Webseite sicher, sieht das so aus: secure connection. Dem Browser ein sogenanntes SSL Zertifikat präsentiert, welches die Verbindung zur Webseite verschlüsselt und die Authenzität dieser Seite gewährleistet. Es gibt nun aber unterschiedliche SSL Zertifikate und verschiedenste Richtlinien, die sich auf die Sicherheit dieser Zertifikate auswirken.

 

sicher

 

Die Verbindung wird in jedem Fall verschlüsselt, aber die Autenzität einer Webseite ist nur garantiert, wenn das Zertifikat von einer authentifizierten Ausgabestelle für Zertifikate vergeben wurde. Es gibt circa 50 dieser zertifizierten Vergabestellen, die Preise sind unterschiedlich. Wenn Du auf das „https“ klickst, erscheinen die öffentlichen Informationen zum jeweiligen Zertifikat. Ein sicheres Zertifikat ist mit einem grünen Schloss, dem Herausgeber und einer eindeutigen Identifizierung, einem sogenannten Fingerabdruck gekennzeichnet.

Um die Echtheit des Zertifikats zu prüfen, führt der Browser einen weiteren Test durch. Es prüft ob der Fingerabdruck, welcher mit einem einzigartigen Schlüssel für jede Datei auf der Webseite erstellt wird, echt ist.

Dieser Fingabdruck wird mit verschiedenen Hash-Algorhitmen erstellt. Typischerweise MD5, SHA1 oder SHA2 Algorithmen. Die Qualität und Zeichenlänge dieses Fingerabdrucks unterscheidet sich je nachdem welcher Algorhitmus bei der Erstellung des Zertifikates verwendet wurde. MD5 gilt hierbei schon lange als veraltet und unsicher, SHA1 ist nach heutigen Standards auch nicht mehr sicher. Genau hier setzt Google jetzt an.

 

Wie SSL Zertifikate künftig in Chrome angezeigt werden

Bisher als sicher eingestufte und grün unterlegte SLH 1 verschlüsselte  Seiten werden abhängig von Ihrer Gültigkeitsdauer nach und nach anders von Google bewertet und dargestellt werden. Google plant diese Änderung in den nächsten 3 Monaten komplett durchzuführen. Das heisst, heute noch scheinbar sichere Verbindungen werden ab Q1 2015 so angezeigt werden. Wir gehen davon aus, dass andere Browser nachziehen werden:

 

insecure

 

 

Was man tun kann

Wenn Du unsicher bist, ob Dein Zertifikat sicher genug ist, kannst Du Deine Seite hier testen ( Danke @konklone ). Sollte sich herausstellen, dass Deine Seite nicht ausreichend gesichert ist, solltest Du erwägen ein neues SLH2 verschlüsseltes Zertifikat bei Deiner Ausgabestelle anzufordern.

Benötigst Du Hilfe oder hast Du noch weitere Fragen, dann kontaktiere uns noch heute!

 

Quellen und weiterführende Informationen:

https://www.globalsign.eu/ssl-information-center/types-of-ssl-certificate.html

https://googleonlinesecurity.blogspot.de/2014/09/gradually-sunsetting-sha-1.html

https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1#what-browsers-are-doing

 

Diese Artikel könnten Dir auch gefallen:

Technische Optimierung Deiner Website: 5 Tipps 

Subdomain oder Unterordner aus SEO-Sicht?