Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Marketing

HTTPS als Ranking-Faktor: Google wertet sichere Verbindung als Qualitätsmerkmal

    HTTPS als Ranking-Faktor: Google wertet sichere Verbindung als Qualitätsmerkmal

Google belohnt HTTPS-Verbindungen im Ranking. (Bild: © tiero - Fotolia.com)

Ihr habt schon häufiger überlegt, ob ihr eure Website nicht auf die sichere HTTPS-Verbindung umstellen solltet, es aber immer wieder aus den Augen verloren? Dann solltet ihr jetzt noch mal darüber nachdenken, denn Google will in Zukunft verstärkt HTTPS als Ranking-Faktor werten.

HTTPS als Ranking-Faktor: Google will das Web sicherer machen

Google will das Web sicherer machen und greift dafür zu einem großen Hebel: HTTPS soll als Ranking-Faktor in die Suchergebnisse einfließen – und tut das schon zu einem kleinen Teil. Aktuell beeinflusst dieser wohl weniger als ein Prozent der weltweiten Suchanfragen und wird noch nicht so stark gewertet, wie es im Webmaster Central Blog von Google heißt. Google will den Seitenbetreibern Zeit geben, auf HTTPS umzustellen. Weiter ist zu lesen:

„Aber im Laufe der Zeit könnten wir entscheiden, diesen Faktor stärker zu bewerten, da wir alle Website-Betreiber ermutigen wollen, von HTTP zu HTTPS zu wechseln, um jeden im Web zu schützen.“

In den nächsten Wochen wird Google dann Best-Practices veröffentlichen, damit beim Hinzufügen der Transport-Layer-Security (TLS) Fehler vermieden werden. Ein paar Tipps gibt Google in dem Blog-Post schon und auf der Google I/O wurde in der Session „HTTPS Everywhere“ erklärt, wie ihr eure Website sicherer machen könnt.

Finde einen Job, den du liebst

14 Reaktionen
typo3.entwickler
typo3.entwickler

Das ist ja eine heiße Diskussion hier. Wir sind hier eher pragmatisch und besorgen uns das Zertifikat über unseren Hoster. Der installiert das ganze.. Kunde und Wir sind zufrieden. Alles gut, schönen Abend

Antworten
Sven Dörr

Dieser Kommentar wurde aufgrund von Werbung gelöscht.

Antworten
markusthomasde
markusthomasde

Jetzt gibt's bei t3n schon Werbeanzeigen in den Kommentaren ... muss man die nicht auch kennzeichnen?

*ironie_off*

Antworten
MK
MK

YMMD, das hatte ich mir auch gerade gedacht

MK
MK

Ich hoffe, dass nicht nur HTTPS bewertet wird sondern auch welche Layer etc. unterstützt werden, da es immer noch einige HTTPS Seiten gibt, die kein PFS etc. nutzen. (SPDY ist ein anderes Thema). kenne noch genügend Provider die "alte Mechanismen" verwenden, bei denen aber super easy eine Man-In-The-Middle Attack durch zuführen ist, neulich noch ein System gesehen welches BEAST und CRIME Attacken zulässt.
Wir liefern generell immer alle Seiten mit PFS und SPDY aus.
Wenn man SPDY einsetzt brauch man in den meisten fällen auch kein CDN mehr.

Antworten
Yves

Gut, dass wir bei unserem neuen Projekt gleich auf HTTPS gesetzt haben. :-)
Die SSL Zertifikate von GeoTrust kann ich jedem empfehlen.

Antworten
kahner
kahner

Was soll gerade an Geotrust-Zertifikaten besser sein?

Ein SSL-Zertifikat ist ein SSL-Zertifikat. Sie können mit jedem Linux-Rechner mal eben eines erstellen. Jede Fritz!Box produziert eines, wenn Sie einen externen NAS-Zugang via https einstellen.
Und die sind genauso sicher, wie eines von Geotrust. Die Sicherheit der Kommunikation ist bei keinem besser oder schlechter, sondern folgt diversen RFCs.

Selbst ein EV-Zertifikat ist nicht besser als ein einfaches, kostenfreies.
Letztlich soll es dem Besucher Ihrer Seite nur ein gutes Gefühl geben. Der Rest ist besseres Blendwerk und Geschäftsmodell der CA-Anbieter.

Wenn Sie anderer Ansicht sind, dann fragen Sie doch einmal eine Sparkasse Ihrer Wahl, warum diese beim Online-Banking nicht ein EV-Zertifikat des eigenen Sparkassen-Verbands (S-TRUST) verwendet, sondern eines des US-Anbieter VeriSign - ein Umstand, der übrigens US-Finanzinstituten verboten ist.
Und die Antwort (wörtlich): Ist doch egal!
Und Recht hat er, der Admin!

Auch das Argument der Überprüfung erübrig sich, da alle OS-Anbieter nach ihrem eigenen Gutdünken (und nicht etwa SIE) bestimmen, welcher Root-CA hier eigentlich entscheidet, wann ein Zertifikat gültig ist. Werfen Sie doch mal einen Blick in die Liste der vertrauenswürdigen CAs.
Bei 90% von denen haben Sie noch nicht einmal was gehört!

Antworten
Vomitorium

Tja, nur dass die meisten kostenlosen Zertifikate nicht sauber funktionieren und von vielen Browsern als unsicher eingestuft werden, ein Umstand den der Ottonormal-User als ziemlich verwirrend einstuft und die Seite verlässt. (also in etwa so verwirrend wie dein Gelaber da)

Von "gratis" Multidomain-Zertifikaten wollen wir erstmal gar nicht sprechen, denn die gibt es nicht - also wieder: Für den professionellen Gebrauch nicht einzusetzen, sicherlich aber für trashige Projekte wie deine Online-Kaninchenzüchter-Vereinsverwaltungs-Software.

Ein EV Zertifikat hat sehr wohl einen Sinn - jemandem aus der Bastler Ecke wie dir mag das nicht bewusst sein, verstehe ich; aber jedes seriöse Online-Unternehmen wird zusehen, ein EV Zertifikat zu bekommen - aus einem einfachen Grund: So sieht auch der letzte DAU, dass die besuchte Website zu der Firma gehört, zu der er hinwollte, weil es nämlich schon oben in der Browser-Leiste steht - aber ich verstehe schon, dass man das aus dem Kellergeschoss nicht erkennen kann.
(Dein Kommentar bezgl. VeriSign und Sparkasse und dem Verbot von VeriSign für Finanzinstitute in USofA tut absolut nichts zur Sache und kann einfach mal in Ablage "ahnungslos" einsortiert werden, denn dein Versuch ist gescheitert, daraus ein vermeintliches Gegenargument zu konstruieren)

kahner
kahner

Liebes Vomitorium!

Da haben wir uns aber mal reichlich ausgekotzt, oder?! Das muss Dir ja ein echtes Bedürfnis gewesen sein.

Aber mal ernsthaft… was hast Du Dir denn bei diesem Pseudonym gedacht – Brechmittel??! Soll das Dein Versuch sein, dem Begriff Kotzbrocken einen intellektuellen Touch zu verpassen. Das ist zwar nicht schön, aber wenn das Deiner Selbsteinschätzung entspricht, dann wirst Du Dich da sicherlich gut beurteilen können.
Jeder wie er es halt eben am besten kann!

Nun zu Deinem sicherlich gut gemeinten Beitrag
Ein bisschen mehr Bastler hätte Dir auch ganz gut getan. Dann hättest Du ein mehr Sachlichkeit und etwas weniger Kernkompetenz einbringen können, aber man muss mit dem auskommen, was man halt so zur Verfügung hat.

Natürlich versteht der normale Anwender die Besonderheiten einer SSL-gesicherten Kommunikation nicht, aber ein Shop-Besitzer sollte das schon tun. Leider ist Dir entgangen, dass der Bastler zwingende Voraussetzung bei der korrekten Umsetzung eines sicheren Web-Auftritts ist. Mit einem Zertifikat alleine ist es nicht getan. Der Shop muss auch anderen Kriterien Genüge tun. Sonst komme ich auch mit SSL-Zertifikat in Deinen Shop und an die Kundendaten. Es ist auch richtig, dass Zertifikate nur grün sind, wenn sie von einem Root-CA anerkannt werden. Aber das ist ein anderes Thema.
Trust-Center tun gerne so, als wären teure Zertifikate besser als kostenlose. Schließlich müssen sie ja ihr Geschäftsmodell schützen. Aber es gibt auch anerkannte kostenfreie SSL-Zertifikate. Und funktionieren tun sie alle gleich.
Google doch mal, was ein RFC ist.

Jetzt Obacht!
Ein EV-Zertifikat per se ist KEIN Beweis für die Echtheit des Shops. Auch ein EV-Zertifikat steht nur, wie jedes andere auch, für ein korrektes Zertifikat und dass der CA vorgibt, dies persönlich überprüft zu haben - wie auch immer!
Der Unterschied ist subtil, aber wichtig. Jetzt werden Dir Namen wie DigiNotar oder India CCA, respektive deren Sub-CAs nichts sagen, aber der informierte Bastler kennt diese als Root-CAs, die gehackt und unter deren Namen falsche Zertifikate ausgestellt wurden. Das Problem ist, dass praktisch jeder der weltweit viele hunderte CAs inkl. deren Subs Dein Online-Banking und -Shopping zertifizieren kann.
Es gibt keine zentrale Kontrolle. Jedes Land kocht da sein eigenes Süppchen und setzt seine eigenen Interessen um – oder hast Du die letzten Monate im Tiefschlaf verbracht.

Aber was sind schon Fakten (u.a. Microsoft Security Advisory 2982792) wenn man einen Namen hat, der Programm sein soll.

Und nochmal (Lernen durch Wiederholung): Aus diesem Grund ist es u.a. US-Finanzinstituten untersagt, sich durch fremdländische CAs zertifizieren zu lassen.

Das hierarchische CA-System gilt aus genannten Gründen als anerkanntermaßen unsicher, wenn auch derzeit alternativlos.

Kotzilein (wo wir uns jetzt so gut kennen, ist eine gewisse Vertraulichkeit sicher erlaubt, und Vomitorium ist so schrecklich förmlich) - wer hier auf t3n, einem Forum, das sich vorrangig mit eCommerce beschäftigt, zwingendes Verständnis um die SSL-Zertifikate als Bastelei bezeichnet, grundlegende Zusammenhänge nicht versteht, versucht dies mit Arroganz zu kompensieren und auch noch darauf stolz ist, der sollte sich vielleicht mal fragen, ob er nicht anderswo besser aufgehoben wäre.

Aber wer weiß - vielleicht brauchst Du das ja einfach!
Also morgen wieder - same place, same time?
Und bitte: Streng Dich diesmal ein wenig an - OK?

coca-cola
coca-cola

Wer sich auf T3N ernsthaft über Technik unterhält, hat ein ganz anderes Problem. Die meisten können gerademal Wordpress installieren.

irgendeinem Spinner
irgendeinem Spinner

Genau genommen sind selbst erstellte Zertifikate sogar sicherer als ein von einer CA ausgestelltes. Wie immer muss man dem Ersteller vertrauen, aber immerhin kann mir bei meinem eigenen Zertifikaten niemand ein Duplikat erzeugen und sich für mich ausgeben. Dafür warnen die Browser halt, dass sie dem Rootzertifikat nicht vertrauen, aber ihr könnt euch ja gerne mal ansehen welchen dubiosen CAs die da so vertrauen.

Das ganze System ist schlicht und ergreifend kaputt, es funktioniert nur zum Schein.

irgendeinem Spinner
irgendeinem Spinner

Nachtrag:
Falls jetzt jemand mit Überprüfung und so ankommt: Habt ihr schon mal ein Zertifikat beantragt? In der Regel gibst du deine Daten in ein Formular ein, bekommst dann eine E-Mail an die postmaster, webmaster oder ähnlich E-Mail-Adresse der Domain und das wars dann mit der Überprüfung.

defaultuser
defaultuser

Ich bin dafür, dass https als Standard eingeführt werden soll!

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen