Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
Datenschutz, Geschwindigkeit und Co.

Mehr Datensicherheit durch HTTP/2

Autoren: Anna Kobylinska und Filipe Pereira Martins • 17.5.2016 • ca. 2:10 Min

Inhalt
  1. HTTP/2: Diese Vorteile bringt das neue Web-Protokoll
  2. So funktioniert HTTP/2
  3. Mehr Datensicherheit durch HTTP/2
  4. Voraussetzungen für HTTP/2
  5. Fazit

Bereits vor zwei Jahren kündigte Google an, HTTPS als ein Kriterium zum Berechnen des Website-Rangs nutzen zu wollen. Das Unternehmen macht aus dem eigenen Suchalgorithmus eine Geheimniskrämerei, und so waren viele Website-Betreiber nicht sonderlich motiviert, auf Biegen und Brechen auf HT...

SSL Tests
Der kostenfreie Dienst SSL Server Test des Sicherheitsanbieters Qualys überprüft die SSL-Konfiguration eines Webservers.
© Weka/ Archiv

Bereits vor zwei Jahren kündigte Google an, HTTPS als ein Kriterium zum Berechnen des Website-Rangs nutzen zu wollen. Das Unternehmen macht aus dem eigenen Suchalgorithmus eine Geheimniskrämerei, und so waren viele Website-Betreiber nicht sonderlich motiviert, auf Biegen und Brechen auf HTTPS umzustellen. Beim Einsatz von HTTPS mit HTTP/1.1 muss man in der Regel nicht unerhebliche Leistungseinbußen gegenüber unverschlüsseltem HTTP in Kauf nehmen. Webmaster konnten der Umstellung unterm Strich nicht genügend Vorteile abgewinnen, und so blieb vorerst alles beim Alten. Das war aber vor der neuen Datenschutzrichtlinie. Inzwischen scheuen Webseitenbetreiber keine Mühe, um die Sicherheit ihrer Systeme mit der neuen Datenschutzrichtlinie im Auge zu verbessern.

Alle Browser mit Unterstützung für HTTP/2 setzen SSL-Verschlüsselung voraus (HTTPS). Browser-Hersteller wollen unverschlüsseltes HTTP/2 erst gar nicht unterstützen. Webseiten, die unverschlüsselt via HTTP/1.1 bereitgestellt werden, sollen künftig beim SEO-Ranking verstärkt abgestraft und im Browser als unsicher gekennzeichnet werden.

Zur Umsetzung verschlüsselter HTTPS-Verbindungen kommt auf dem Server ein sogenanntes SSL-Zertifikat zum Einsatz, eine kleine Textdatei mit Informationen zum Identifizieren des Besitzers und einem öffentlichen Schlüssel zum Encodieren der Kommunikation. Anhand des Zertifikats kann der Browser den betreffenden Webserver als vertrauenswürdig erkennen und eine verschlüsselte Kommunikationsverbindung damit herstellen.

Ein beliebiges ("selbst signiertes") Zertifikat genügt allerdings für diese Aufgaben nicht. Ein Webbrowser wird nur dann einen Webserver als vertrauenswürdig einstufen, wenn sich das zugehörige Zertifikat innerhalb seiner Gültigkeitsdauer befindet und von einer Zertifizierungsstelle (CA) ausgestellt wurde, welche dem Browserhersteller vorab als vertrauenswürdig bekannt war. Aus eben diesem Grunde lassen sich anerkannte Zertifizierungsstellen die Ausstellung und die Nutzung ihrer Zertifikate für jeden einzelnen Hostnamen meist recht gut bezahlen.

Die Umstellung auf HTTP/2 führt unter anderem dazu, dass Website-Betreiber nicht mehr umhinkommen, SSL-Zertifikate anzuschaffen, um die Kommunikation stets zu verschlüsseln. Diese zusätzlichen Kosten hat möglicherweise nicht jeder Blogger auf dem Radar. Zum Glück ist Abhilfe in Sicht. Eine neue offene Zertifizierungsstelle namens Letsencrypt (letsencrypt.org) ermöglicht Administratoren das Anfordern von SSL-Zertifikaten mit einfachen Textbefehlen auf dem eigenen Server, und das auch noch komplett kostenfrei.

Achtung: Webmastern sei geraten, beim Einsatz von SSL-Verschlüsselung die Nutzung des SSL-Protokolls (einschließlich der Version 3) sowie des TLS-Protokolls 1.0 zu verbieten und ausschließlich TLS 1.1 und TLS 1.2 zu erlauben. Diese Maßnahme stellt derzeit die einzige Möglichkeit dar, den Webserver vor POODLE- (Padding Oracle On Downgraded Legacy Encryption), BEAST- (Browser Exploit Against SSL/TLS) und DROWN-Attacken (Decrypting RSA with Obsolete and Weakened eNcryption) zu schützen.

Nächste Seite
1 2 3 4 5
Nächste passende Artikel
Logitech Wave Keys
Ergonomische Tastatur Logitech bringt Wave Keys für ein komfortables Schreibgefühl
Windows-Logo
Patchday Windows 10: Das bringt der KB5028166-Patch
Windows-Logo
Patchday Windows 10: Das bringt der KB5026361-Patch
Windows 11 bekommt mal wieder Updates.
Optionales Update Windows 11: Das bringt der KB5025305-Patch
Windows 10 Update
Neues Update Windows 10: Das bringt der Patch KB5015878
Mangelnde Verfügbarkeit, lange Wartezeiten: Die Playstation verkauft sich schlechter als zuvor.
ALLM-Einstellungen auf der Playstation 5 PS5-Update bringt neue Optionen für geringere Latenz
AMD Ryzen CPU
Version 4.06.10.651 veröffentlicht AMD: Neuer Treiber bringt Bugfix & Energiesparplan
Windows10 Handwerkkasten - Shutterstock 118438609
Patchday im März Windows 10 Update: Was bringt der Patch KB5011487?
Mehr zum Thema
Screenshot Windows 10-Gruppenrichlinien Benutzerprofil löschen
Business Windows 10: Inaktive Profile automatisch löschen - so geht's
Screenshot Win-10-Gruppenrichtlinien Computer sperren
Business Windows 10: PCs sperren mit Gruppenrichtlinien - so geht's
Datenrettung
RAID-Sicherung Stellar Datenrettung: Interview mit Roman Ociepka - Vom Treueindex, Forensik und Eis-Essen
Smart-Home Anwendungen
Startup Pipesbox - Smart-Home-Verknüpfung
Weiter zur Startseite