In diesem Artikel finden Sie einige Hinweise auf Besonderheiten, die sich bei einer Umstellung Ihrer Webseite auf TLS ergeben können.

Da jede Webseite ihre Eigenheiten besitzt, kann es nicht Ziel dieses Artikels sein, eine Schritt-für-Schritt-Anleitung für eine erfolgreiche Umstellung einer Webseite auf TLS zu geben. Vielmehr soll dieser Artikel den Fokus auf häufige Fehlerquellen legen.

 

1 Funktionsbeeinträchtigungen auf Ihrer Webseite

Obwohl TLS (Transport Layer Security) ein Protokoll ist, das auf der Transportschicht operiert und sich deshalb eigentlich nicht auf Protokolle und Standards auf Anwendungsebene auswirken sollte, sind bei Verwendung von TLS einige Fallstricke zu beachten, die im schlimmsten Fall sogar dafür sorgen könnten, dass Ihre Webseite für Besucher unbenutzbar ist. Aber keine Angst, die größten Gefahrenquellen werden wir gemeinsam ausräumen.

1.1 Zertifikatfehler

Zertifikatfehler sind der Supergau bei einer Umstellung auf TLS. Sie führen dazu, dass Benutzer eine Sicherheitswarnung im Browser angezeigt bekommen, oder gar dazu, dass die Seite überhaupt nicht mehr aufgerufen werden kann.

Zertifikatfehler treten vor allem dann auf, wenn Sie bei der Konfiguration Ihres Webservers Fehler machen. Besonders dann, wenn auf einem Webserver mehrere Domains konfiguriert sind, macht man leicht den Fehler, ein Zertifikat fälschlicherweise für die falsche Domain auszuliefern. Das wird unweigerlich zu einer Sicherheitswarnung beim Benutzer führen. Nehmen Sie sich deshalb besonders viel Zeit und testen Sie die Auswirkungen einer Umstellung auf TLS auf Ihre übrigen Domains.

1.2 Via HTTP eingebundene Ressourcen

Eine Webseite besteht heute aus vielen verschiedenen, oft aus mindestens einem halben Dutzend Quellen stammenden Ressourcen. Zum Beispiel besteht eine typische Webseite aus Bildern, Stylesheets und JavaScript-Dateien. Da verliert man sehr schnell den Überblick, gerade dann, wenn diese Ressourcen von verschiedenen Domains geladen werden.

Aus Sicht der Sicherheit ist es besonders kritisch, wenn auf einer via HTTPS geladenen Seite Ressourcen eingebunden werden, die über eine unverschlüsselte Verbindung geladen werden. Ein Angreifer könnte diese Ressourcen schließlich manipulieren und so auf einer Seite, deren Inhalte Sie für vertrauenswürdig halten, Schadcode einschleusen oder deren Inhalte anderweitig verändern. Aus diesem Grund blockieren moderne Browser meist das Laden von unverschlüsselten Ressourcen auf Seiten, die über eine verschlüsselte Verbindung geladen wurden. Die Folge ist im einfachsten Fall, dass einzelne Inhalte wie Bilder nicht zur Verfügung stehen.

Schlimmere Auswirkungen können via HTTP eingebundene Ressourcen dann haben, wenn sie für die Funktionalität der Seite unabdingliche Inhalte zur Verfügung stellen.

Aber egal ob einzelne Bilder nicht geladen werden können, oder der Benutzer nur eine weiße Seite sieht, weil das für die Anzeige der Inhalte erforderliche JavaScript nicht geladen werden kann, derartige Fehler sind in jedem Fall unschön und sollten unbedingt vermieden werden.

Auch wenn die Lösung für das Problem denkbar einfach ist, nämlich alle Ressourcen via HTTPS einzubinden, ergeben sich bei der Umstellung einer Webseite dabei besonders häufig Probleme, da einzelne Elemente häufig mit einer fest codierten URL eingebunden sind und oft auch in älteren Content-Management System und JavaScripts keine Rücksicht auf die Anforderungen einer über TLS erreichbaren Seite genommen wurde. Besonders häufig finden Sie fest codierte HTTP-Links bei folgenden Elementen:

  • link
  • script
  • img
  • iframe

Eine Möglichkeit, fest codierte HTTP-Links zu ersetzen ist, das Protokoll von http in https zu ändern. Probleme können dabei auftreten, wenn die Seite sowohl über verschlüsselte, als auch über unverschlüsselte Verbindungen aufrufbar sein soll1. Besser ist es deswegen, Ressourcen möglichst mithilfe relativer Verweise einzubinden. Auch protokollrelative Links sind möglich. Hier wählt der Browser automatisch das Protokoll über das auch die Seite selbst aufgerufen wurde.

Neben direkt im HTML-Code eingebundenen Ressourcen sind auch die in CSS- und JavaScript-Dateien eingebundenen Ressourcen oft fest mit dem HTTP-Protokoll verlinkt. Auch diese sollten Sie bei einer Umstellung anpassen.

2 Seiteneffekte einer Umstellung auf TLS

Auch eine erfolgreiche Umstellung auf TLS hat einige Auswirkungen auf bestimmte Schnittstellenbereiche. Das betrifft vor allem die Funktionstüchtigkeit der Seite in älteren Browsern, die Ladezeit und Verfügbarkeit der Seite an bestimmten Orten sowie die Positionierung der Seite bei Google. Meist sind die Auswirkungen nur sehr gering oder ohnehin positiv, in Einzelfällen müssen diese jedoch unbedingt berücksichtigt werden.

2.1 Ladezeiten

Da Verschlüsselung auch mit einem gewissen Zeitaufwand verbunden ist, können Sie natürlich auch beobachten, dass ein Seitenaufruf mit Verschlüsselung einige Mikro- bzw. zum Teil auch Millisekunden länger dauert, als ein unverschlüsselter Seitenaufruf. Relevant ist das eigentlich nur dann, wenn das Datenvolumen Ihrer Seite besonders groß ist.

Sollten Sie eine Webseite mit einem kritischen Datenvolumen betreiben, kann es sinnvoll sein, zusätzliche Hardware anzuschaffen, mit der die Verschlüsselung des Datenverkehrs geregelt werden kann, ohne die Performance der eigentlichen Webserver zu belasten. Man nennt das auch Offloading.

2.2 Browserunterstützung

Auch die Browserunterstützung kann unter dem Einsatz von TLS leiden. Insbesondere dann, wenn Sie die Unterstützung für ältere SSL-Versionen deaktivieren sind ältere Versionen des Internet-Explorers und zuweilen auch andere, veraltete Browser nicht mehr in der Lage dazu, die Seite zu laden.

In aller Regel ist hier jedoch von Browsern die Rede, deren Support ohnehin Schmerzen bereitet. Die Einführung von TLS ist damit eine gute Möglichkeit, diesen Ballast loszuwerden. Eine Übersicht darüber, welche Funktionen von welchen Browsern unterstützt werden, liefert die Seite https://www.ssllabs.com/ssltest/clients.html.

2.3 Google

Einen eigentlich sehr positiven Effekt hat die Umstellung auf TLS auf die Google Suchergebnisse. Google hat im August 2014 bekannt gegeben, dass der Einsatz von TLS in Zukunft als ein Ranking-Faktor genutzt werde [1].

Das bedeutet für Sie also ein besseres Ranking bei Google, wenn Sie Ihre Seite auf TLS umstellen. Trotzdem sind einige Anpassungen in Ihrem Google Webmaster Account vorzunehmen.

Da Google eine Umstellung auf TLS wie einen Umzug Ihrer Seite auf eine andere Domain behandelt, müssen Sie in den Google Webmastertools die dafür erforderlichen Schritte vornehmen, wenn Sie nicht wollen, dass Sie in den Suchergebnissen abrutschen. Auf der Seite https://support.google.com/webmasters/answer/6033049 gibt Google eine Schritt-für-Schritt Anleitung dazu.

Referenzen

[1] Bahajji, Zineb Ait und Gary, Illyes. HTTPS as a ranking signal. 06.08.2014, http://googlewebmastercentral.blogspot.co.nz/2014/08/https-as-ranking-signal.html

Fußnoten