18.10.2017

Safety first: Google schützt Top-Level-Domains mit HSTS

Google treibt Engagement für mehr Sicherheit im Netz weiter voran und setzt auf HSTS.


Beim Aufruf von Google.com greifen Browser inzwischen - Dank HSTS (HTTP Strict Transport Security) - automatisch auf die HTTPS-Version zu. Im Chromium-Blog kündigte der Suchmaschinenriese nun an, künftig auch eine größere Zahl der hauseigenen Top-Level-Domains standardmäßig mit dem Schutzmechanismus HSTS ausstatten zu wollen. Nach .GOOGLE werden als nächstes .DEV und .FOO an der Reihe sein. HSTS ist jedoch kein ausschließliches Privileg für Google-Domains: Auch externe Domains können kostenfrei in dem Browsertool hinterlegt werden.

Googles Einsatz für mehr Sicherheit im Web

2010 fiel der Startschuss für Googles Sicherheitsoffensive mit der standardmäßigen Umstellung von Google Mail auf HTTPS. 2014 wurde die SSL-Verschlüsselung weiter forciert, indem Webseiten, die über ein korrekt eingebundenes SSL-Zertifikat verfügten, mit einem Vorteil im Suchmaschinenranking bedacht wurden. Zwei Jahre später begann Google die Initiative Let’s encrypt zu unterstützen, die kostenlose SSL-Zertifikate zur Verfügung stellt. Seit Januar 2017 gibt der Google Chrome-Browser in der Version 56 einen Warnhinweis heraus, sobald User auf HTTP-Seiten zur Eingabe von Passwörtern oder Kreditkartendaten aufgefordert werden. Für die Zukunft plant Google ab der Chrome Version 62 auch außerhalb des Incognito-Modus' vor sämtlichen unverschlüsselten Seiten zu warnen, sobald Daten jeglicher Art vom User abgefragt werden. Googles Engagement zeigt Wirkung: 2016 hat es „HTTPS“ auf Platz 2 aller technischen Faktoren geschafft und ist damit wichtiger als beispielsweise die Seitenladezeit oder das Vorkommen der Heading-Tags (H1 und H2). Dies ergab eine Auswertung von Searchmetrics. Zudem sind inzwischen bereits über 50% des Webtraffics verschlüsselt. Tendenz steigend.

Die Funktionsweise von HSTS

Die HSTS-Preload-Liste ist in allen renommierten Browsern integriert. Um HSTS nutzen zu können, muss der Server einen entsprechenden HSTS-Header mit ausliefern. Wird anschließend die Webseite angefragt, so greift der Browser auf die Preload-Liste zu und führt einen Abgleich durch. Liegt eine entsprechende Eintragung für die eingetippte Domain vor, so ruft ein Browser automatisch via Port 443 die SSL-verschlüsselte Variante auf. Die Notwendigkeit einer Weiterleitung entfällt damit.

Die Vorteile von SSL und HSTS

Eine SSL-Verschlüsselung macht eine Unternehmensseite nicht nur technisch sicherer, sondern sie stärkt grundsätzlich das Vertrauen der Kunden in den aufgerufenen Onlineauftritt. Aufgrund der Tatsache, dass vom Kunden übermittelte Daten chiffriert übertragen werden, werden die Symbole einer SSL-Verschlüsselung als Qualitätssigel verstanden. Die positive Bewertung einer SSL-Verschlüsselung hat wiederum den Effekt zur Folge, dass User länger auf der aufgerufenen Seite bleiben: Die Absprungrate sinkt, die SEO-Visibility steigt und die jeweilige Seite rankt besser in den Trefferlisten der Suchmaschinen. Eine klare Win-Win-Situation. Eine Eintragung in der HSTS-Preload-Liste bringt speziell folgenden Vorzug mit sich: Dadurch dass auf eine Weiterleitung von einer HTTP- zu einer HTTPS-Variante verzichtet werden kann, wird der Webtraffic vor einem Man-in-the-Middle-Angriff binnen der Weiterleitung geschützt. Diese kann nämlich durch Tools wie sslstrip so manipuliert werden, dass ein Transfer auf die HTTPS-Seite unterbunden wird.

Fazit:

Eine Eintragung in die HSTS-Preload-Liste ist auf jeden Fall empfehlenswert. Man muss dafür jedoch nicht im Besitz einer Google-TLD sein. Auch extern gehostete Domains können kostenfrei in diesem Browsertool eingetragen werden. Einziger Wermutstropfen: Zwischen der Eintragung in die Preload-Liste und einem Browser-Update können mehrere Monate vergehen.


comments powered by Disqus