c't 21/2016
S. 43
News
HTTPS auf heise online

Lesen ohne Mitleser

c’t-Homepage mit Verschlüsselung

Die Homepage der c’t ist jetzt TLS-verschlüsselt per HTTPS erreichbar, ebenso wie die Schwester-Sites heise.de und ix.de – hinter den Kulissen ein Riesenprojekt.

HTTPS-Verschlüsselung schützt die Nutzer von Webseiten wie ct.de vor neugierigen Mitlesern. Zudem erschwert es Phishing-Angriffe. Leser von ct.de und heise online hatten sich daher schon lange gewünscht, die Web-Auftritte verschlüsselt nutzen zu können. Das ist jetzt möglich. Die Umstellung auf Verschlüsselung für ein großes, über die Jahre gewachsenes Web-Angebot war allerdings eine beträchtliche Herausforderung. Sie muss nämlich komplett sein, sonst irritieren den Besucher je nach Browser Fehlfunktionen, nicht geladene Seitenbestandteile oder ein Hinweis auf „Mixed Content“ – und diese Sicherheitswarnung sieht für den normalen Nutzer viel gefährlicher aus als eine komplett unverschlüsselte Seite.

Das größte Hemmnis für die Umsetzung der Verschlüsselung war die Werbung, die wichtigste Einnahmequelle. Lange Zeit hatten nicht alle Werbepartner per HTTPS übertragene Werbemittel im Angebot [1]. Dann zeigte sich die Marktdominanz Googles einmal von ihrer positiven Seite: Der Konzern hat das Thema Verschlüsselung im Web nachhaltig vorangetrieben. Seit Mitte 2015 können Googles Werbemarken AdWords und DoubleClick alle Banner verschlüsselt ausliefern. Andere Werbedienstleister zogen nach.

Detektivarbeit

Auch alle Werbedienstleister liefern ihre Inhalte verschlüsselt an.

Für die Umstellung der gesamten Website hatte der Verlag bereits im Bereich heise Security geübt: Dabei mussten die Web-Entwickler alle unverschlüsselten Ressourcen und nicht protokollneutralen internen Links in den Tiefen des CMS aufspüren. Auch die Zählpixel wurden umgestellt, etwa das der IVW, mit dem Heise Medien die Werbereichweite seiner Online-Medien ermitteln lässt. Schließlich waren noch Zertifikate für die mehreren hundert Domains des Verlags anzuschaffen.

Die verschlüsselte Variante der Website ist erst einmal eine Option. Fernziel ist aber, komplett auf HTTPS umzuleiten und dies idealerweise noch mit HSTS (HTTP Strict Transport Security) zusätzlich abzusichern, um ein Maximum an Sicherheit zu erreichen. Bis dahin sind Sie gefordert: Ändern Sie Ihr Bookmark auf https://www.heise.de/ct/. (jo@ct.de)

Kommentieren