HTTPS vs HTTP: Google indexiert neu bevorzugt sichere URLs

Das Web wird sicherer und Google hilft tatkräftig mit. Kürzlich hat der Suchmaschinenanbieter aus Mountain View angekündigt, neu standardmässig die HTTPS-Version einer Website zu indexieren. Und das selbst dann, wenn eingehende Links auf die unverschlüsselte HTTP-Version verweisen und auf dem Server kein automatisches Umschreiben auf die HTTPS-Version stattfindet. Bereits vor einigen Monaten hatte Google bekannt gegeben, dass verschlüsselte Verbindungen zu einer Website als positives Rankingsignal gewertet werden.

HTTPS schlägt HTTP im Google-Index.

HTTPS schlägt HTTP im Google-Index.

So bevorzugt Google HTTPS

Damit Google die HTTPS-Version einer Website bevorzugt, muss diese einige Bedingungen erfüllen:

  • Die Website enthält keine unsicheren Abhängigkeiten, sprich keinen sogenannten Mixed Content.
  • Der Zugriff durch den Google-Crawler wird nicht durch eine robots.txt-Datei oder den Meta-Tag «noindex robots» geblockt.
  • Die Seite leitet den Besucher nicht auf eine bzw. über eine unsichere HTTP-Seite um.
  • Der canonical-Tag zeigt nicht auf die HTTP-Version der Seite.
  • Keiner der internen Links zeigt explizit auf die unverschlüsselte URL.
  • Die Sitemap enthält keine HTTP-Version der URL.
  • Die Website besitzt ein gültiges SSL-Zertifikat.

Mixed Content grösste Knacknuss

Der oben erwähnte Mixed Content ist die häufigste Ursache dafür, warum eine per HTTPS aufgerufene Website nicht mehr wie gewünscht funktioniert. Browser reagieren sehr strikt, wenn sich auf einer per HTTPS aufgerufenen Website Elemente befinden, die per HTTP eingebunden sind. In unserem Supportcenter erklären wir Ihnen deshalb was Mixed Content genau bedeutet und was Sie gegen unsichere Inhalte auf Ihrer Website tun können.

Immer verschlüsselt dank HSTS

Ist Ihre Website frei von Mixed Content, können Sie Ihre Besucher zusätzlich absichern. Mit der Funktion HTTP Strict Transport Security (HSTS) kann dem Browser mitgeteilt werden, dass dieser nur noch verschlüsselte Verbindungen zur gesicherten Domain akzeptieren soll. Das schützt vor sogenannten Downgrade-Attacken, bei denen sich Angreifer in die Kommunikation zwischen Browser und Server einklinken können, weil die Website versehentlich über ungesichertes HTTP aufgerufen wird. Damit HSTS wirkt, muss der Besucher bereits einmal die gewünschte Website per HTTPS besucht haben.

Doch auch dieses Trust-on-first-use-Problem lässt sich lösen. Das Entwicklerteam hinter Google Chrome betreut dazu eine sogenannte Preload-Liste mit Domains, die fest in Browsern wie Chrome, Firefox, Internet Explorer oder Safari verbaut ist. Unterstützt Ihre Website HSTS, können Sie Ihre Domain kostenlos in die Liste eintragen lassen. Ist Ihre Domain dann einmal Teil der Preload-Liste, kommunizieren Browser, die die Liste eingebaut haben, automatisch per HTTPS mit Ihrer Website. Selbst dann, wenn Besucher Ihre Website zum ersten Mal öffnen.

In unserem Hilfeartikel Wie aktiviere ich HTTP Strict Transport Security (HSTS) für meine Website? erklären wir, wie Sie HSTS aktivieren und welche Schritte für einen Eintrag in der Preload-Liste nötig sind.

Fazit: Auf HTTPS umstellen lohnt sich

Die Umstellung auf verschlüsselte Verbindungen hat Website-Besitzern früher den Schweiss auf die Stirn getrieben. SSL-Zertifikate einzurichten war kompliziert und das Erzwingen von HTTPS führte unter Umständen dazu, dass die Website im Google-Index Plätze verlor. Dank kostenlosen SSL-Zertifikaten von Let’s Encrypt, die per Mausklick aktiviert sind und der neusten Ankündigung von Google, dürften diese Ängste nun definitiv der Vergangenheit angehören.

Kritische Sicherheitslücke in Joomla aufgetaucht: Kundenwebsites gepatcht

Gestern, den 14.12.2015, ist das beliebte Content-Management-System Joomla in Version 3.4.6 erschienen.

Die neue Version schliesst eine kritische Sicherheitslücke, von der alle Joomla-Versionen zwischen 1.5 und 3.4.5 betroffen sind. Die Anweisung der Joomla-Entwickler ist eindeutig: Updaten auf Version 3.4.6!

Joomla-Bug

Alle Joomla-Versionen von 1.5 – 3.4.5 sind von einer kritischen Sicherheitslücke betroffen.

Gemäss den Sicherheitsexperten von Sucuri wird die Lücke bereits aktiv ausgenutzt und hat durch ihre hohe Verbreitung das Potential, enormen Schaden anzurichten. Die Lücke erlaubt es, beliebige Befehle auszuführen und so beispielsweise die Inhalte der Website zu verändern oder zu löschen.

Wir haben vergangene Nacht alle betroffenen Installationen auf unseren Servern automatisch gepatcht und sämtliche Lücken geschlossen. Für cyon-Kunden ist die Gefahr von Angriffen mittels der bekannt gewordenen Sicherheitslücke vorerst gebannt. Wir empfehlen trotzdem, das Update auf Version 3.4.6 sobald wie möglich vorzunehmen. Für offiziell nicht mehr unterstützte Versionen werden Hotfixes bereitgestellt.

Weitere deutschsprachige Informationen zur Sicherheitslücke finden Sie unter anderem bei heise.

Update vom 22.12.2015

Das Joomla-Team hat eine neue Version 3.4.7 nachgereicht, da sich die in Version 3.4.6 geschlossene Lücke bei älteren Versionen von PHP weiterhin ausnutzen liess (vgl. z.B. heise). Auf unseren Servern sind flächendeckend neuere Versionen von PHP im Einsatz, womit die Gefahr grundsätzlich gebannt ist. Dennoch empfehlen wir ein Update auf die neueste Version 3.4.7.

Jetzt kann’s losgehen: PHP 7.0 ist da

Der 3. Dezember 2015 war ein ereignisreicher Tag. Zum einen startete die Zertifizierungsstelle Let’s Encrypt in die öffentliche Beta-Phase, zum anderen wurde die erste stabile Version von PHP 7 veröffentlicht.

PHP 7 ist da!

PHP 7 ist da! (Quelle: Ben Scholzen)

Bereits die Release-Candidate-Versionen des neusten PHP-Ablegers konnten Sie bei uns testen. Wir liessen es uns darum nicht nehmen, auch die Version 7.0.0 gleich am ersten Tag anzubieten.

3x schneller als PHP 5.6

Wir testeten im August, ob PHP 7 den versprochenen Geschwindigkeitszuwachs auch tatsächlich aufs Parkett legen kann. PHP 7 kann sich sehen lassen: Die getestete WordPress-Installation konnte dank PHP 7.0 dreimal mehr Anfragen verarbeiten, als im gleichen Zeitraum mit PHP 5.6.

PHP 7: Dreimal schneller als PHP 5.6.

PHP 7: Dreimal schneller als PHP 5.6.

Ist mein CMS PHP 7-kompatibel?

Mit dem Erscheinen der ersten stabilen Version von PHP 7.0 stellt sich die Frage, welche Content-Management-Systeme mit der neuen Version zurechtkommen. Unter den fünf beliebtesten Systemen unserer Kunden zeigt sich folgendes Bild:

  • Contao ist ab Version 3.5.5 vollständig PHP 7-kompatibel.
  • Drupal 8, die kürzlich erschienene Version des beliebten Systems, ist PHP 7-kompatibel.
  • Joomla wird ab Version 3.5 bereit für PHP 7 sein und ist für Mitte Februar 2016 angekündigt.
  • Typo 3 ist passend mit der Version 7 LTS gerüstet für PHP 7.
  • WordPress dürfte ab Version 4.4 vollständig kompatibel sein, eine offizielle Information fehlt jedoch.

Mögliche Stolpersteine: Plugins und Themes

Die meisten Content-Management-Systeme funktionieren mit PHP 7 prima. Probleme könnten jedoch Plugins und Themes bereiten, die nicht mehr unterstützen Code verwenden. PHP 7 wurde von Grund auf neu geschrieben und ist deshalb in einigen Teilen nicht abwärtskompatibel. Mit unserem PHP-Versionsmanager wechseln Sie jederzeit bequem zwischen den verfügbaren Versionen und können so testen, ob Ihre Website, deren Plugins und Themes auch mit der neusten PHP-Version funktionieren.

Übrigens: Wir werden die aktuelle PHP-Standardversion im kommenden Januar von 5.5 auf 5.6 heben. Eine gute Gelegenheit sich PHP 7.0 genauer anzuschauen und allfällig veraltete Systeme bereits jetzt auf den neusten Stand zu bringen. PHP 7.0 wird bei uns bis November 2018 verfügbar sein.

Let’s Encrypt ist da: Kostenlose SSL-Zertifikate für alle

Das verändert alles: In knapp mehr als einem Jahr hat es die kostenlose Zertifizierungsstelle Let’s Encrypt geschafft, den öffentlichen Betrieb aufzunehmen. Kostenlose SSL-Zertifikate werden so zum Allgemeingut. Ein wichtiger Schritt in der Internet-Geschichte, steht der flächendeckenden Verbreitung von verschlüsselten Verbindungen im Web damit doch nichts mehr im Weg.

Dank Let's Encrypt gibt's jetzt kostenlose SSL-Zertifikate für alle.

Dank Let’s Encrypt gibt’s jetzt kostenlose SSL-Zertifikate für alle.

Kostenlose SSL-Zertifikate per Knopfdruck aktivieren

Wir hatten es angekündigt: Wir bieten Ihnen ab sofort die Zertifikate von Let’s Encrypt an. Gratis versteht sich. In gewohnter cyon-Manier aktivieren Sie die kostenlosen SSL-Zertifikate bequem via Knopfdruck im my.cyon.

Ein Klick und das kostenlose SSL-Zertifikat von Let's Encrypt installiert.

Ein Klick und das kostenlose SSL-Zertifikat von Let’s Encrypt ist installiert.

Mit Zertifikaten von Let’s Encrypt ist nicht nur die Kommunikation zwischen Ihrer Website und Besuchern bestens abgesichert. Dank aktiviertem SSL-Zertifikat profitieren Ihre Besucher bei uns auch automatisch vom modernen und schnelleren HTTP/2-Protokoll. Zudem wertet Google verschlüsselte Verbindungen als positives Signal für Suchergebnisse.

Mitgebrachte SSL-Zertifikate komfortabel verwalten

Falls Sie eigene SSL-Zertifikate, wie z.B. Wildcard- oder EV-Zertifikate, installieren möchten, haben wir ebenfalls etwas für Sie. Ab dem Angebot Webhosting Double steht Ihnen automatisch die Option «Externe SSL-Zertifikate» zur Verfügung. Erstellen Sie Certificate Signing Requests (CSR) und installieren Sie extern bezogene Wildcard- oder EV-Zertifikate komfortabel in Ihrem my.cyon-Konto.

Externe SSL-Zertifikate lassen sich genauso bequem verwalten.

Externe SSL-Zertifikate lassen sich genauso bequem verwalten.

Let’s Encrypt + cyon = ❤️

Let’s Encrypt, das ist für uns eine Liebesgeschichte. Bereits bei der Ankündigung des Projekts vor über einem Jahr war uns klar: Da müssen wir mitmachen.

Let’s Encrypt hat sich zum Ziel gesetzt, HTTPS im Web zum neuen Standard zu machen. Um dieses Ziel zu erreichen, bietet Let’s Encrypt nicht nur kostenlose SSL-Zertifikate an, sondern hat mit dem sogenannten ACME-Protokoll gleich noch neue technische Grundlagen für eine vollautomatisierte Abwicklung von SSL-Zertifikaten gelegt.

Die Ausstellung und Erneuerung von SSL-Zertifikaten war bisher eher Frust als Lust. Mit ein Grund, warum wir bis anhin selbst keine SSL-Zertifikate angeboten haben. Dank Let’s Encrypt hat diese Durststrecke nun ein Ende, weshalb wir das Projekt auch finanziell unterstützen. Schön zu sehen, dass andere Schweizer Unternehmen unserem Beispiel gefolgt sind und Let’s Encrypt ebenfalls sponsern. Damit stammt fast ein Drittel der Let’s Encrypt-Sponsoren aus der Schweiz.

Blick in die Zukunft

Damit wir dem Ziel, alle Websites dieser Welt mit HTTPS auszustatten, ein Stück näher kommen, werkelt unser Entwicklungsteam kräftig an weiteren Funktionen, die Ihnen das Leben in Sachen SSL-Zertifikaten noch einfacher machen werden. Mit unserem «SSL-Autopiloten» wird sogar der obligate Knopfdruck für die Aktivierung von Let’s Encrypt-Zertifikaten entfallen.

Loggen Sie sich jetzt in Ihr my.cyon-Konto ein und aktivieren Sie Let’s Encrypt-Zertifikate für Domains und Subdomains. Alle Vorteile, die kostenlose SSL-Zertifikate bieten, haben wir im neuen Bereich Sicherheit auf unserer Website zusammengestellt.

Kostenlose SSL-Zertifikate: Die drei häufigsten Fragen

Ab 3. Dezember ist es endlich soweit: Let’s Encrypt geht an den Start. Seit wir die Zusammenarbeit mit der kostenlosen Zertifizierungsstelle angekündigt haben, erreichen uns viele Anfragen zum Thema. Die drei häufigsten Fragen zu Let’s Encrypt beantworten wir im heutigen Blogpost.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Let’s Encrypt-Zertifikate sind nur 90 Tage lang gültig. Muss ich ständig mein Zertifikat verlängern lassen?

Let’s Encrypt nennt selbst zwei Gründe für den 90-Tage-Turnus.

1.
Ihr Let’s Encrypt-Zertifikat wird von uns völlig automatisch verlängert. Die kurze Laufzeit von SSL-Zertifikaten fördert diese Automatisierung. Es ist an der Zeit, dass Verschlüsselung vereinfacht und automatisiert wird. Nur so kann die Verbreitung von verschlüsselter Kommunikation vorangetrieben werden.
2.
Wird ein Zertifikat missbraucht oder ein privater Schlüssel entwendet, ist dies dank der kurzen Laufzeit der Zertifikate maximal 90 Tage möglich. Zwar bestehen Mechanismen, um im Ernstfall Zertifikate für ungültig zu erklären. Diese sind aber in den meisten Anwendungen schlecht integriert, weshalb diese sogenannte «Certificate-Revocation» in Fachkreisen kritisch beäugt wird.

Können jetzt auch Kriminelle ihre Phishing-Sites verschlüsseln? Bringen SSL-Zertifikate dann noch Vorteile?

Let’s Encrypt hat ausführlich zum Thema Stellung genommen und erklärt, was die Zertifizierungsstelle gegen Missbrauch von SSL-Zertifikaten unternimmt.

Zertifizierungsstellen eignen sich grundsätzlich schlecht, um im Kampf gegen Phishing und Malware eine führende Rolle einzunehmen. Die grosse Anzahl an verschiedenen Zertifizierungsstellen führt dazu, dass sich Kriminelle immer das schwächste Glied in einem solchen Verbund aussuchen. Let’s Encrypt gehört dank Transparenz und Offenheit bestimmt nicht zu den bevorzugten Zielen böswilliger Angreifer, die im Versteckten operieren. Nichtsdestotrotz hat Let’s Encrypt Prüfmechanismen eingebaut, die unter anderem auf die Google Safe Browsing API zurückgreifen. Den Browserherstellern kommt in dieser Frage eine ganz zentrale Rolle zu. Positiv, dass mit Mozilla einer der grössten Browserhersteller zu den treibenden Kräften hinter Let’s Encrypt gehört.

Von der Verschlüsselung von Kommunikation einmal abgesehen, bringen SSL-Zertifikate auch Geschwindigkeitsvorteile. HTTP/2, die neue, schnelle Version des Verbindungsprotokolls für Websites, wird von Browsern nämlich nur über verschlüsselte Verbindungen genutzt. Dass Google die Verschlüsselung von Websites als positiven Faktor in sein Suchresultate einfliessen lässt, ist ebenfalls nicht zu verachten.

Sind kostenpflichtige SSL-Zertifikate sicherer?

In technischer Hinsicht unterscheiden sich kostenlose Zertifikate wie jene von Let’s Encrypt und Zertifikate, die viele hundert Franken pro Jahr kosten, in keinster Weise. Die Kommunikation zwischen Website und Browser ist mit beiden Zertifikaten genau gleich sicher verschlüsselt.

SSL-Zertifikate werden jedoch in drei Klassen unterteilt, die sich in gewissen Merkmalen unterscheiden:

  • Domain-Validated-Zertifikate (DV)
  • Organisation-Validated-Zertifikate (OV)
  • Extended-Validated-Zertifikate (EV)

Let’s Encrypt stellt DV-Zertifikate aus, bei denen geprüft wird, ob der Zertifikate-Antragssteller die Kontrolle über die zu sichernde Domain beweisen kann. Dieser Vorgang lässt sich vollständig automatisieren, trotzdem waren DV-Zertifikate bis anhin (mit Ausnahmen) kostenpflichtig und in den meisten Fällen überteuert. Ein DV-Zertifikat beweist dem Website-Besucher, dass er sich auf der Website befindet, die er besuchen wollte. Dazu ist im Zertifikat die Domain hinterlegt, zu der die Kommunikation verschlüsselt wird. Browser signalisieren die so verschlüsselte Verbindung mit einem Schloss-Symbol.

Bei der Ausstellung von OV- und EV-Zertifikaten prüft die Zertifizierungsstelle zusätzliche Informationen über den Zertifikatbesitzer, zum Beispiel ob dieser im Handelsregister eingetragen oder die angegebene Telefonnummer erreichbar ist. OV-Zertifikate enthalten denn auch nicht nur die gesicherte Domain sondern weitere Informationen zur Organisation, der das Zertifikat gehört. EV-Zertifikate werden in Browsern zusätzlich mit visuellen Merkmalen wie einem grünen Balken dargestellt.

Bonusfrage: Wäre nicht «TLS-Zertifikate» der korrekte Begriff?

Doch, denn die Bezeichnung SSL ist eigentlich hoffnungslos veraltet. Das SSL-Protokoll (Secure Sockets Layer) wurde bereits 1999 durch TLS (Transport Layer Security) abgelöst. Konsequenterweise müssten wir also von TLS-Verschlüsselung und TLS-Zertifikaten sprechen.

Das Thema wird bei uns im Team heiss diskutiert. Wir haben uns vorerst darauf geeinigt, weiterhin den Begriff SSL-Zertifikate zu verwenden. Dieser Begriff ist etabliert und für die meisten Leute verständlicher, wie die vergangenen 16 Jahre bewiesen haben.

Wenn Sie mit uns in Kontakt stehen, dürfen Sie SSL-Zertifikate ungeniert TLS-Zertifikate nennen. Dem entsprechenden Mitarbeiter wird das mit Bestimmtheit ein Lächeln ins Gesicht zaubern ;)

Seite 8 von 99« Erste...678910...203040...Letzte »