Weblog

Braucht mein Online Shop SSL / https?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Ach, was wäre die deutsche Sprache ohne ihre juristische Abteilung. Aber bevor ich gleich länger aushole, will ich zuerst die in der Headline gestellte Frage beantworten: Ja!

Die SSL-Frage beschäftigt mich derzeit in schöner Regelmäßigkeit. Wohl auch deshalb weil ich mit vielen Online Shops zu tun habe, die nur klein bis mittelgroß sind, oder auch nur nebenbei betrieben werden. Kurzum, von Leuten die sich keine Rechtsabteilung halten oder auch nur regelmäßig mit einem Fachanwalt Rücksprache halten.

Aber der Reihe nach, erinnert sich noch jemand an das Geschrei im Internet, als das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme gerade in der Mache war und dann frisch herauskam. Nachdem die Beschreibung welche Seiten jetzt davon betroffen waren gewohnt schwammig formuliert worden war, ging die Diskussion los ob zum Beispiel nicht auch kleine Blogs betroffen sein würden, die um ein paar Cent zu verdienen GoogleAdsense-Anzeigen eingebunden hatten. Und ob man jetzt für die Absendung eines Formulars https brauchen würde, schließlich würden dabei ja auch personenbezogene Daten übermittelt. Na ja, auch wenn die Sache nie abschließend geklärt wurde, kann man davon ausgehen das dem nicht so ist. Sonst hätte es in der Abmahnrepublik Deutschland sicher ganze Heerscharen von Anwälten gegebenen, die mit dem Abmahnungen verschicken gar nicht mehr nachgekommen wären.

Das Online Shops betroffen sind, war allerdings der Mehrheit der Experten früh klar. Auch wenn manche darüber durchaus diskutieren wollten. Denn genauso schwammig wie die Formulierung wer überhaupt gemeint war, waren auch die Maßnahmen nie klar definiert. Im Prinzip sagt das Gesetz noch heute, dass man sicherheitstechnisch den aktuellen Standard verwenden soll. Und das ist nun einmal ein SSL-Zertifikat!

Das es heute aber noch immer viele kleine Shops gibt, die ihre Kunden-, Bestell- und sogar Bezahlungsdaten über eine unverschlüsselte Verbindung abwickeln, erzeugt bei mir zwar Kopfschütteln, dürfte jedoch Gründe haben:

  1. Unwissenheit – Vor allem die Betreiber kleiner Shops sind völlig davon eingenommen den Shop an sich am Laufen zu halten. Sie vergessen oft, dass dazu aber eben auch der Blick auf die aktuelle Gesetzeslage gehört.
  2. Falscher Geiz – Während man bei den Shops von Strato, 1&1 usw. sein Zertifikat gleich mitverkauft bekommt, müssen viele andere es separat einkaufen und glauben es sei schlicht zu teuer.
  3. Technische Hürde – Eine Webseite auf https umzustellen ist zwar durchaus einen Tick komplizierter als einfach einen Schalter umzulegen, es ist aber wirklich auch kein Hexenwerk. Manchmal nur etwas nervig.

Das sich daran etwas ändern wird steht allerdings zu hoffen. Bisher waren die Warnhinweise der dominanten Browser vergleichsweise moderat. Seit Firefox den User aber demonstrativ warnt, er würde seine Daten gleich über eine unsichere Verbindung schicken, könnten viele Shopbetreiber das Problem selbst erkennen oder sie merken, dass eine größere Zahl potentieller Kunden durch diese Hinweise verunsichert den Kaufprozess abbricht. Mit anderen Worten, es tut ihnen da weh, wo’s besonders weh tut, am Geldbeutel.

Also Leute, ernsthaft, es wird Zeit sich ein SSL-Zertifikat zu besorgen!

Weblog

So schaltest du den Warnhinweis bei Firefox 52 ab!

Wer dieser Tage seinen Firefox auf die Version 52 aktualisiert, wird sich vor Warnhinweisen wegen nicht sicherer Verbindungen nicht retten können. Doch ist das wirklich nötig? Und wie schaltet man den Hinweis wieder ab?

Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in die falschen Hände geraten.

Das die Macher von Chrome und Firefox standardmäßig gerne https:// sehen möchten ist längst kein Geheimnis mehr. Immer deutlicher wurden die Warnzeichen, doch mit dem Update auf die Version 52 kann man den Hinweis nun gar nicht mehr übersehen. Wer etwa sein WordPress-Blog noch ohne SSL betreibt, wird beim einloggen auf obige Ansicht treffen und auch so manch Forenbetreiber wird sich seit kurzem die Haare raufen. Denn auch wenn sich der eigentliche Sicherheitsstandard der Seite über Nacht nicht verschlechtert hat, so manch Nutzer wird abgeschreckt das Weite suchen.

Kurz um, die nach wie vor schleppende Verbreitung von https in unseren Breitengraden macht das Surfen mit Firefox jetzt recht nervig – nerviger als ohnehin schon, aber das ist eine andere Geschichte.

Wer weiter selbst entscheiden will, der kann den Hinweis folgendermaßen abstellen:

1. In dem man „about:config“ in die URL-Zeile eingibt, kann man die Config-Datei bearbeiten. Natürlich dem man versichert hat zu wissen, was man tut.

2. Verantwortlich für die Einblendung ist der Schalter „security.insecure_field_warning.contextual.enabled“, den muss man mit einem Klick aktivieren

3. Mit einem rechten Mausklick bekommt man das im Screenshot angezeigte Auswahlmenü, wer jetzt auf „Umschalten“ klickt setzt den Wert des Schalters auf false und der Warnhinweis wird nicht mehr angezeigt.

So weit, so gut – aber was soll der Scheiß jetzt?

Unterdessen wird im Netz jetzt heftig diskutiert, ob Firefox mit dieser Maßnahme nicht übers Ziel hinausschießt. Man ist sich nicht ganz einig. Die einen weisen auf die Notwendigkeit von sicheren Verbindungen hin und SSL-Zertifikate kosten ja a) nicht die Welt und b) sind sie bei einigen Providern sowieso inbegriffen. Die anderen Fragen sich, ob man sich jetzt die ganze Zeit fahrlässigerweise einfach so ohne Sicherheitsbedenken zum Beispiel in sein eigenes WordPress eingeloggt hat.

Ich persönlich favorisiere schon seit einigen Monaten eine https://-Verbindung und habe sie auch zumindest für meine beiden Hauptseiten auch längst eingerichtet. Das Firefox jetzt aber so massiv warnt, hat mich doch auch ein wenig überrascht. Man hätte doch gedacht der Weg wäre eher wie jener von Chrome, hat Google doch angekündigt demnächst einen deutlichen Warnhinweis einzublenden, wenn der User etwa Zahlungsdaten über eine ungesicherte Verbindung eingeben will. Derartige Feinheiten spart man sich bei Firefox jetzt offenbar und haut mal pauschal einen Hinweis raus, der zahlreiche User jetzt reichlich verunsichern dürfte. Und ob jetzt plötzlich Seitenbetreiber mit einem Hauruckverfahren auf SSL umstellen? Man weiß es nicht. Schaden würde es aber sicher auch nicht.

Weblog

Der heiße Scheiß der Woche (069)

+ + + Byebye Flash: Google konkretisiert die Blockade aller Flash-Inhalte im Chrome-Browser + + +

Google, oder besser sein den Markt dominierender Browser Chrome, macht langsam aber sicher ernst. Wer jetzt also – warum auch immer – noch groß auf Flash setzt, sollte sich bald was einfallen lassen. Und Chrome ist nicht allein, auch der beste aller Browser blockiert Flash künftig.

+ + + Neue Studie vergleicht Airbnb mit Hotels weltweit + + +

Auch für die deutsche Hotellerie ist Airbnb der Feind schlecht hin. Nun halte ich von dem Unternehmen an sich auch nicht besonders viel, aber so eine wirklich große Gefahr für alteingesessene Hotels scheint der Laden jetzt eigentlich gar nicht zu sein. In Deutschland – das habe ich kürzlich beruflich gelernt – ist die Konkurrenz an sich auch nicht besonders drückend. Im Gegenteil.

+ + + Firma muss Facebook-Postings abschalten + + +

Es gibt Dinge, da weiß man genau, sowas gibt es nur in Deutschland. Das der Betriebsrat zum Beispiel fordern kann die Posting-Funktion bei der Facebookseite eines Unternehmens abzuschalten, sobald Mitarbeiter kritisiert werden. Na ja, zumindest betrifft es (noch) nicht die Kommentarfunktion.

+ + + Höchste Zeit für HTTPS + + +

Dem kann ich mich eigentlich nur anschließen, meine beiden Webseiten laufen auch schon unter HTTPS. Vielleicht einfach mal nachsehen, ob eine SSL-Verschlüsselung nicht im Paket dabei ist. Viele Provider, DomainFactory etwa, tragen dieser Entwicklung nämlich schon Rechnung.

+ + + How to Rank Number One in Google: A Study of 1 Million Pages + + +

SEO-Experte Matthew Barby hat sich das Ranking der Topseiten bei Google mal etwas genauer angesehen, und kommt unteranderem zu dem Schluss, dass der gute alte Backlink längst nicht so unwichtig ist, wie andere aus Barbys Zunft behaupten.

Weblog

Braucht meine Webseite https?

Die Meldung das Chrome ab Januar vor unverschlüsselten Webseiten offensiv warnen will, hat erstaunlich wenig Widerhall in unseren Breitengraden gefunden. Dabei sollte es Webseitenbetreiber durchaus nervös machen, wenn ein Browser der je nach Statistik mit 1/3 den größten Marktanteil hat die eigene Seite für Besucher plötzlich als „nicht sicher“ bezeichnet. Wenn man mal davon ausgeht, dass die Mehrheit der User einfach nur auf das Schlagwort „nicht sicher“ reagiert, ohne zu realisieren, dass die Seite solange völlig ungefährlich zu besuchen ist, solange man keine persönlichen Infos dort eingeben will , dürfte sich eine solche Warnung bald recht deutlich in der Besucherstatistik widerspiegeln.

Noch gönnt uns Google allerdings eine Art Galgenfrist, denn ab Januar soll erst einmal nur bei Webseitenbereichen gewarnt werden, bei denen man als Webseitenbetreiber ohnehin auf SSL setzen sollte. Doch irgendwann will Google das „sichere Web“.

Wie die Warnung optisch aussehen wird, kann man in diesem Blogbeitrag des Google Online Security Blogs ansehen.

International nähert sich der Marktanteil von Chrome übrigens dominierenden 50% an – was ein Problem für sich ist, aber das wäre Stoff für einen anderen Beitrag. Was international aber auch um die 50% pendelt, ist die Anzahl der Webseiten die heute schon mit https:// erreichbar sind:


Und diese Zahl basiert eben nicht nur auf Shopseiten, sondern beruht etwa auch darauf, dass die Mehrzahl der Medienseiten längst ein SSL-Zertifikat hat. In Deutschland muss man da schon zu heise.de surfen, größere Medienangebote sind nach wie vor eher die Ausnahme, als die Regel. Hat der Anteil der SSL-Seiten nach Snowden zwar angezogen, so richtig durchgesetzt hat sich SSL in unseren Breitengraden noch nicht.

SSL gilt vor allem als Kostenfaktor

Wenn man nicht gerade einen Online-Shop betreibt, scheint ein SSL-Zertifikat für viele nur ein zusätzlicher Kostenfaktor zu sein. Und den spart man sich dann lieber, auch wenn so ein SSL-Zertifikat eigentlich auch nicht die Welt kostet. Dabei gibt es durchaus gut Gründe auf ein SSL-Zertifikat zu setzen, auch neben dem dadurch erzielten Uservertrauen.

Schon jetzt ist https:// statt http:// ein Rankingsignal bei Google, wenn man mal die Brachialität berücksichtigt, mit der Google durch seine Marktmacht mit Chrome SSL als Standard durchsetzen will, kann man mal davon ausgehen, dass ein nicht vorhandenes SSL-Zertifikat bald auch eine Abwertung nach sich ziehen wird.

Natürlich muss man aber auch die Frage stellen, ob Google seine Marktmacht nicht ausnutzt und ob es überhaupt Sinn macht auf SSL umzustellen?

  • SSL suggeriert eine Sicherheit, die so sicher auch wieder nicht ist. Das die NSA die SSL-Verschlüsselung umgeht, ist allgemein bekannt – und damit dürfte sie nicht alleine sein. Alle paar Monate macht zudem eine Meldung von gefälschten SSL-Zertifikaten die Runde. Eine Webseite unter https:// anzusurfen ist nicht sicher, nur ein bisschen sicherer als ohne.
  • Bei aller Liebe, wozu braucht eine private Webseite auf der man seine Fotosammlung online stellt oder über seine Hobbys bloggt ein SSL-Zertifikat. Zudem dürfte die Masse der privaten Webseitenbetreiber den technischen Hintergrund gar nicht kennen und solange Provider SSL nicht zum Standard machen, auch nicht nutzen. Ist es fair, ihre Seiten unabhängig von der Qualität des Inhalts, deshalb abzuwerten?

Solche Überlegungen sind natürlich – mit Verlaub – völlig Wurscht, Google ist inzwischen zu mächtig, als das man noch Argumente bringen könnte, die hier etwas bringen. Irgendwie gilt hier am Ende die normative Kraft des Faktischen und man sollte wohl früher oder später über ein SSL-Zertifikat nachdenken, ob man es jetzt wirklich braucht oder nicht. Es schadet ja auch nicht.

Weblog

Der heiße Scheiß der Woche (059)

In dieser Woche geht es um erzwungene Sicherheit, ein soziales Netzwerk das mit der Existenz kämpft, ein anderes, das noch eines werden will. Und natürlich gibt es alles, was diese Woche noch wichtig war.

+ + + towards a more secure web + + +

Mit aller Gewalt will Google SSL als Standard durchsetzen. Und zwar nicht nur auf Seiten, auf denen es sinnvoll ist, sondern eben auch auf kleinen privaten Seiten, die dann entweder mehr blechen, oder mit der Chrome-Warnung leben müssen.

+ + + Twitter’s new, longer tweets are coming September 19th + + +

Geht am Montag eine Ära zu Ende, wenn wirklich die 140 Zeichen fallen? Ist Twitter so verzweifelt zwar gigantoviele Nutzer zu haben, aber eben keine gigantogroßen Zuwachszahlen. Versenkt sich dort ein Tanker des Web 2.0 selbst?

+ + + YouTube Community Tab – YouTube wird endgültig zu einem sozialen Netzwerk + + +

Und während Twitter seine Existenz aufs Spiel setzt, verwandelt Google sein Videoportal YouTube wohl endgültig in ein Soziales Netzwerk. Bleibt nur abzuwarten, wie die Nutzer diesen Versuch annehmen – ich erinnere mich da an ein Google+.

+ + + Was Follower bei Facebook,Twitter&Instagram am meisten nervt + + +

Wir sind dann jetzt auch bei Facebook – es gibt offenbar immer noch Unternehmen, die genau diesen Satz als ihre einzige Strategie haben, wenn es um Social Media Marketing geht. Das kann nach hinten losgehen, völlig zurecht.

+ + + 8 tips to make sure your Google profile images boost your local search results + + +

Der Mensch ist am Ende auch ein ausgesprochen optisches Wesen, kein Wunder also, dass man bei der Optimierung seines Google MyBusiness-Eintrags auch der Wahl der richtigen Bilder einiges an Aufmerksamkeit schenken sollte.