HTTPS als Ranking-Faktor bei Google

Vor etwa 2 Wochen hat Google bekannt gegeben, dass künftig die Erreichbarkeit einer Webseite über SSL ein positiver Rankingfaktor wird. Die Begrüngung dazu, dass es ihr Bestreben ist, das Internet sicherer zu machen. Was genau bedeutet dass denn nun für den Betreiber eine Webseite und macht ein SSL-Zertifikat das Internet wirklich sicherer?

Die Antwort darauf könnte lauten: “Ja und ich bestelle mir einfach ein SSL-Zertifikat für meine Domain und fühle mich gewappnet.”
Allerdings ist es nicht ganz so einfach, was auch Google in seiner Bekanntgabe durchaus angedeutet hat und einige Hinweise gibt, dass es beispielsweise beim Zertifikat auf den richtigen Typ und die Schlüssellänge ankommt.

Ein SSL-Zertifikat reicht nicht aus

In der Theorie mag die Annahme wohl stimmen, dass mit dem Kauf eines SSL-Zertfikats schon fast alles erledigt ist. Wenn beachtet wird, dass beim Aufruf der Webseite ohne https darauf umgeleitet wird bzw. der Aufruf nur über eine verschlüsselte Verbindung überhaupt möglich ist. Ebenfalls sollten alle externen Bibliotheken auch per SSL eingebunden werden, z.B. jQuery, Twitter und Facebook-Streams.

Man darf jedoch in keinem Fall davon ausgehen, dass man durch die Einbindung eines SSL-Zertifikates nun absolut sicher ist. Das Zertifikat ist nur ein Teil der Verschlüsselung.
Auch ist davon auszugehen, dass Google in den kommenden Jahren weiter an seinen Kriterien für die Suchmaschine schraubt und beim Verbindungsaufbau zu einer Webseite nicht nur prüft, ob man diese per https aufrufen kann, sondern auch welche Chiffrensammlung dafür genutzt werden kann.

Diese Chiffrensammlung (engl. Cipher Suite) ist eine Sammlung von kryptographischen Algorithmen über die die SSL/TLS-Verbindung aufgebaut wird. Dabei kommen unterschiedliche Formen der Authentifizierung, der Hashfunktionen und der eigentlichen Verschlüsselung zum Einsatz.
Und schon sind wir mitten drin im Dilemma 🙁

Nur begrenzte Einflussnahme möglich

Als Otto-Normal-Hostingkunde, der weiß wie er Inhalte auf seiner Webseit pflegt und wie man ein SSL-Zertifikat bei seinem Provider kauft und aktiviert stößt man an dieser Stelle an die Grenzen. Zum einen beim Verständnis, doch selbst wenn das umfassend besteht, hat man nur sehr wenig Einfluss, welche Chiffrensammlung der Webhoster auf seinen Servern zur Verfügung stellt.

Sofern möglich, sollte man zum einen die aktuell empfohlenen Ciphern nutzen und als unsicher geltende nicht beim Verbindungsaufbau zulassen. Zum anderen sollten die benötigten Bibliotheken wie etwa von openssl auf dem Webserver aktuell sein und regelmäßig aktualisiert werden. Nach dem großen Thema Heartbleed vor einigen Monaten sollte das nicht in Vergessenheit geraten. Da es mehrere erfolgreiche Angriffszenarien gibt, wie etwa die BEAST oder CRIME attack, sollte auch der Browser den aktuellen Standard von SSL, TLS 1.2 unterstützen, damit auch die genannten Ciphern vollständig unterstützt werden.

Leider hat man als Betreiber einer Webseite auf den letztgenannten Punkt nur wenig Einfluss. Es gibt für die Verbindungen mit dem Server natürlich noch weitere Optionen die man umsetzen kann wie etwas Forward Secrecy, auch Perfect Forward Secrecy genannt, wobei “perfekt” übertrieben klingt. Beim Thema Sicherheit existieren weder 100% noch perfekt.

Fazit

Ein SSL-Zertifikat für die Webseite mag künftig einer der Punkte sein, die in die zahlreichen Faktoren für ein Ranking bei Google Einfluss nimmt. Weshalb jedoch ist mir nicht ganz klar, denn beispielsweise eine reine Newsseite ohne Bestellung oder Anmeldeoption für Kunden ist doch nicht mehr oder weniger sicher mit bzw. ohne ein Zertifikat. Von der Seriösität ganz zu schweigen, denn ein Zertfikat ist heutzutage für wenige EUR im Monat zu bekommen.

Besitzt man eines, so sollte man sich jedoch permanent damit auseinandersetzen und regelmäßig prüfen, ob die aktuellen Bibliotheken und Ciphern auf dem Webserver zur Verfügung stehen. Ein Test der Konfiguration kann u.a. bei https://www.ssllabs.com/ssltest/ erfolgen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert