SEO-News

HTTPS / TLSHSTS sorgt dafür, dass Webseiten nur noch über eine sichere HTTPS-Verbindung aufgerufen werden können. Damit wird die Arbeit von Hackern erschwert. Aus diesem Grund empfiehlt Google den Einsatz dieses Sicherheitsmechanismus und nutzt ihn auch selbst.

 

Seit diesem Monat ist google.com nur noch über HSTS erreichbar - die anderen Google-Domains werden in Kürze folgen. Durch HSTS ist ein Aufruf der Seite über eine unsichere HTTP-Verbindung nicht mehr möglich. Das funktioniert so:

Selbst bei Webseiten, die normalerweise verschlüsselt über das Transport Layer Security-Protocol (TLS), also via HTTPS, ausgeliefert werden, gibt es oftmals Schlupflöcher, weil noch immer eine ungesicherte HTTP-Verbindung aufgebaut werden kann. Man spricht hierbei von Protocol Downgrade-Attacken. Das funktioniert, weil viele Webseiten eine Abwärtskompatibilität zum unverschlüsselten HTTP-Protokoll bieten. Hacker nutzen dies aus und sind auf diese Weise in der Lage, beispielsweise vertrauliche Nutzerdaten zu stehlen.

Eine weitere Angriffsmöglichkeit besteht im sogenannten Cookie Hijacking: Bei einer unverschlüsselten Übertragung könnte ein Hacker ein Session-Cookie entwenden, in dem sich Nutzerdaten wie Name, Adresse oder Kreditkarteninformationen befinden können. Auf diese Weise kann sich ein Hacker unautorisierten Zutritt zur betreffenden Webseite verschaffen. Auch diese Angriffsform wird durch den Einsatz von HSTS deutlich erschwert.

 

Wie funktioniert HSTS?

HSTS ist ein Sicherheitsmechanismus, der dem Browser beim Aufruf einer Webseite mitteilt, dass diese nicht per HTTP geladen werden kann und dass Aufrufe auf HTTPS umgestellt werden müssen. Dazu wird in den Antwort-Header des Servers eine Erweiterung eingebracht. Diese kann beispielsweise so aussehen:

Strict-Transport-Security: max-age=31536000

Dabei muss darauf geachtet werden, dass alle Subdomains eingeschlossen werden, denn sonst kann es zum Beispiel beim Aufruf der Domain mit oder ohne "www" Probleme geben. Auch sollte ein Preloading stattfinden, was das sogenannte "First Visit"-Problem löst - ansonsten besteht selbst beim Einsatz von HSTS beim ersten Besuch einer solchen Seite eine Angriffsmöglichkeit. Der entsprechende Header würde dann wie folgt aussehen:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Mittlerweile unterstützen die meisten akuellen Browser HSTS, dazu gehören Microsoft Edge, Firefox, Chrome und Safari:

 

Can I use HSTS - Browserkompatibilität

 

 

HSTS ist einfach eingerichtet

Zum Aktivieren von HSTS wendet man sich am besten an seinen Hoster - viele Dienstleister bieten diese Funktion inzwischen auch für Shared-Hosting-Pakete an. Ist man im Besitz eines eigenen Servers, kann man die Konfiguration selbst vornehmen. Dazu gibt es entsprechende Module - im Apache nutzt man dazu beispielsweise das mod_headers-Modul.

 

Google empfiehlt HSTS

Auch Google empfiehlt den Einsatz eines HSTS-fähigen Webservers. Das führt auch dazu, dass Google in den Suchergebnissen ausschließlich die sicheren HTTPS-URLs anzeigt.

Gleichzeitig muss man aber darauf achten, dass keine HTTPS-Seiten in der robots.txt-Datei gesperrt werden, weil Google diese ansonsten nicht crawlen kann.

 

Fazit

HSTS ist bietet eine deutliche Verbesserung der Sicherheit bei gleichzeitig geringem Einrichtungsaufwand. Durch die inzwischen hohe Abdeckung kompatibler Browser gibt es wenig, was gegen die Verwendung dieses Sicherheitsmechanismus spricht.

 

Titelbild © jamdesign - Fotolia.com

 


Christian Kunz

Von Christian Kunz+Mehr Infos hier.





Anzeige von Clixado

Artikelveröffentlichungen auf starken Magazinen und Blogs

Wir kooperieren mit unzähligen Verlagen und Bloggern und können daher auf über 4000 Blogs zu fast allen Themengebieten Artikelplätze anbieten:

    - Nachhaltiger Linkaufbau, kein SEO-Netzwerk
    - Hohe Sichtbarkeitswerte, keine expired Domains
    - Einmalzahlung, keine Vertragsbindung

Für jede Artikelveröffentlichung erstellen wir hochwertigen Content mit mindestens 400 Wörtern und publizieren den Artikel mit einem DoFollow-Bachlink zu deiner Seite auf einem Magazin oder Blog deiner Wahl.

Frag uns unverbindlich nach Beispielen





 

 

SEO-Checkliste

SEO-Checkliste

 

Anzeigen












SEO-Beratung

Suchmaschinenoptimierung und SEO-Beratung für Karlsruhe, Baden und die Pfalz

 

06340/351-943

 

info(at)seo-suedwest.de

SEO selber machen

SEO selber machen

Bekannt aus

Website Boosting


Internet World Business

SEO United


The SEM Post


Webselling

Sprecher auf

Auszeichnungen

iBusiness Top-100-Liste SEO-Dienstleister

SEO Südwest: Platz 5 bei den SEO-Wahlen 2014 zum besten deutschen SEO-Blog

 

SEO-united.de Tipp 12/15

SEO Südwest English website

Jetzt vernetzen

SEO-Glossar

SEO-Glossar

 

SEO-Kalender 2018

SEO-Kalender 2018

 

Onsite-Optimierung

Onsite-Optimierung

 

SEO- und Suchmaschinenblogs

SEO-Tipps und SEO-Tricks

IMAGE 'Noindex' oder robots.txt - wann ist welches Instrument das richtige?
Freitag, 09. Februar 2018
Um zu steuern, welche Seiten von Google und anderen Suchmaschinen gecrawlt und indexiert werden... Weiterlesen...
IMAGE Lighthouse: ein Top-Tool für die Performancemessung von Webseiten und PWAs
Montag, 16. Oktober 2017
Lighthouse ist ein Tool, mit dem man die Performance und die Nutzerfreundlichkeit von Progressive... Weiterlesen...
IMAGE Tipp: Reddit für den Aufbau von Backlinks nutzen
Samstag, 17. Januar 2015
Die Social-News-Plattform Reddit erlaubt den Aufbau von guten Backlinks - wenn man sich an... Weiterlesen...

News aus dem Blog

IMAGE Vielen Dank für die Glückwünsche, Google!
Dienstag, 07. November 2017
Google hat mich mit einem persönlichen Geburtstags-Doodle überrascht. Vielen Dank dafür! Weiterlesen...
IMAGE SEO: Können 'Ausverkauft'-Seiten in Online-Shops positive Rankingeffekte haben?
Sonntag, 01. Februar 2015
Wie geht Google eigentlich mit Seiten aus Online-Shops um, die nicht mehr lieferbare Produkte... Weiterlesen...
IMAGE Bloggen in der Sauregurkenzeit: Auffallen leicht gemacht
Dienstag, 02. Januar 2018
Beim Bloggen kommt es auf das richtige Timing an. Wer den richtigen Zeitpunkt für die... Weiterlesen...

 Eine Auswahl zufriedener Kunden

Rebel - Bad Küche Raum
Schöne Haare Karlsruhe
kr3m
feel-perfect.eu - Die Nährstoffexperten border=
Flintec IT GmbH
ESM Academy
Ringladen

Verbinden und Informationen zu SEO Südwest

Impressum und Datenschutz

Social Networks und RSS-Feed