Wer jetzt noch kein SSL-Zertifikat hat, muss damit rechnen, dass das fehlende kleine Schlosssymbol nun für Umsatzeinbußen sorgt und Besucher abspringen. Google will mit der Umstellung erreichen, dass Seitenbetreiber sich ein Zertifikat zulegen und so flächendeckend der Datenverkehr im Internet verschlüsselt wird.
Googles fortlaufender Transparancy Report zum Thema “HTTPS-Verschlüsselung im Web” zeigt auf, dass im Juli 2015 lediglich 46% aller über Chrome geladenen Webseiten verschlüsselt waren. Drei Jahre später, im Juli 2018, sind es schon 85% und spätestens mit der neuen Chrome Version wird die Zahl nochmals ansteigen.
Wann ist es soweit?
Bislang wurden Webseiten, die ein Zertifikat eingebunden hatten, mit einer grünen Browserleiste und der Auszeichnung "sicher" belohnt. Ab dem 23. Juli werden diejenigen, die noch kein Zertifikat eingebunden haben, in der Browserleiste sogar mit einem "nicht sicher" abgestraft, denn an diesem Tag soll die Version 68 des Webbrowsers Chrome live gehen.
Laut DigiCert, dem führenden Anbieter für skalierbare Sicherheitslösungen, setzten bislang nur 43% der von Alexa gelisteten Top-Webseiten auf HTTPS. Laut einer aktuellen Analyse von W3Techs sind nur 36% aller Webseiten verschlüsselt.
Nicht nur Google straft unsichere Online-Auftritte ab
Doch nicht nur das: Mit der Einführung der DSGVO sind SSL-Zertifikate sogar gesetzlich vorgeschrieben, um die "Verschlüsselung personenbezogener Daten" (§ 32 Abs. 1 DSGVO) sicherzustellen. Eine fehlende Webseitenverschlüsselung ist schon jetzt der Grund für eine Vielzahl von Abmahnungen. Bereits im Juni sollte ein Seitenbetreiber, dessen Online-Auftritt nicht mit einem SSL-Zertifikat ausgestattet war, 12.500 € Schmerzensgeld bezahlen. Und es werden immer mehr Fälle bekannt.
Worauf sollten Sie achten?
Eigentlich zählt die HTTPS-Verschlüsselung schon seit vergangenem Jahr zur Standardausstattung einer Webseite. Bei einigen Anbietern werden derzeit kostenlose Domain-validierte SSL-Zertifikate (kurz: DV-Zertifikate) angeboten, um so eine flächendeckende Verschlüsselung anzustoßen. DV-Zertifikate können ausreichend sein, sind aber eher für nicht-kommerzielle Webprojekte wie Foren, Reiseblogs oder öffentliche Fotoalben empfehlenswert.
Online Shops und Unternehmenswebseiten sollten definitiv auf Extended-validierte SSL-Zertifikate (kurz: EV-Zertifikate) setzen und sich nicht nur auf ein DV-Zertifikat verlassen. EV-Zertifikate unterscheiden sich von den kostenlosen Zertifikaten dahingehend, dass die Inhaberschaft einer Webseite eingehend geprüft wird.
Beispielsweise können Phishing-Seiten ein DV-Zertifikat einbinden und so Besuchern vermitteln, dass die Seite "sicher" ist, obwohl nur die Datenübertragung verschlüsselt ist. Webseiten-Betreiber können die EV-Zertifikate nicht nur einfach erwerben, sondern werden als Unternehmen gescannt.
Mit einem EV-Zertifikat hebt sich ein Unternehmen durch den eigenen Firmennamen in der Browserleiste eindeutig ab. Dem Seitenbesucher ist es über das Webseiten-Siegel möglich, weitere Informationen über den Seitenbetreiber aufzurufen. Es wird z. B. ersichtlich, wo das Unternehmen seinen Sitz hat und ob es tatsächlich so vertrauenserweckend ist, wie es auf den ersten Blick scheint. Zudem ist der Status des Zertifikats einsehbar. Hochwertige EV-Zertifikate scannen darüber hinaus auch den Webserver der Seite, prüfen ob sich Malware (Schadprogramme) eingeschlichen hat und melden dies umgehend an den Zertifikatsinhaber. EV-Zertifikate genießen daher bei Webseitenbesuchern nachweislich das größte Vertrauen.
Eine Umstellung, die sich lohnt
HTTPS ist nicht nur ein Ranking-Faktor bei Google, es erzeugt auch bei Kunden ein Gefühl von Sicherheit. Da die Umstellung einfach durchzuführen ist und es auch Gratis-Versionen gibt, sollten Seitenbetreiber unbedingt Zertifikate einbinden, bevor die Seiten von Chrome 68 als "nicht sicher" gebrandmarkt werden.
Welches SSL-Zertifikat ist für Ihren Online-Auftritt das richtige?
