Verschlüsselung bei heise online

Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Verschlüsselung bei heise online
Lesezeit: 9 Min.
Von
  • Herbert Braun
Inhaltsverzeichnis

Heise Medien bieten nun den verschlüsselten Zugriff auf ihre Online-Dienste mittels HTTPS – und zwar für alle Seiten und alle üblichen Domains wie heise.de, ct.de oder ix.de.

Für den Abruf von frei verfügbaren Nachrichtenangeboten erschließt sich der Sinn einer verschlüsselten Übertragung nicht auf den ersten Blick. Doch HTTPS verschlüsselt nicht nur die Server-Antwort, sondern bereits die komplette Anfrage und eventuell mitgesendete Daten (etwa bei HTTP-POST). Ein Beobachter im Netzwerk kann somit feststellen, mit welchen Servern der Nutzer wie oft Kontakt hatte – aber nicht, welche Seiten er aufgerufen hat. Fast noch wichtiger: Dieser Schutz erstreckt sich auch auf Cookies, die noch mehr Potenzial für Datenmissbrauch oder Identitätsdiebstahl enthalten.

Die Verschlüsselung verhindert, dass die Inhalte auf dem Weg zum Empfänger verändert werden, was sowohl staatliche Zensur als auch Phishing-Angriffe erschwert. Und schließlich stellt es sicher, dass die Daten auch tatsächlich von der richtigen Quelle kommen und die Kommunikationswege nicht heimlich umgebogen wurden -- mit der kleinen Einschränkung, dass auch Zertifizierungsstellen manchmal Fehler machen.

Die Browser-Erweiterung HTTPs everywhere sorgt dafür, dass der Browser die verschlüsselte Variante von Webseiten aufruft, wo immer das möglich ist.

Aus diesen Gründen sehen gerade technikaffine Webnutzer HTTPS als ein Qualitätssiegel für ein Webangebot. "HTTPS Everywhere" ist nicht nur eine Browser-Erweiterung der Electronic Frontier Foundation, sondern auch eine Forderung. Tatsächlich ist mit dem neuen HTTP/2 Verschlüsselung verbindlich. Die Preise für Zertifikate sind seit Jahren im Sinkflug und dank der "Let's Encrypt"-Initiative gehen sie gegen null.

Dennoch ist die Umstellung auf Verschlüsselung für ein großes, über die Jahre gewachsenes Webangebot eine beträchtliche Herausforderung. Die Umstellung muss nämlich komplett sein, sonst erwarten den Besucher je nach Browser Fehlfunktionen, nicht geladene Seitenbestandteile oder ein Hinweis auf "Mixed Content" -- und diese Sicherheitswarnung sieht für den normalen Nutzer viel gefährlicher aus als eine komplett unverschlüsselte Seite.

Das erste Zertifikat für heise.de schaffte der Verlag im März 2000 an. Verschlüsselt wurde damals nur die Online-Bestellseite für Heft-Abos. Im Lauf der Zeit kamen unter anderem der Kiosk, der Login-Bereich und die Kontaktseiten dazu. Die gesamte Website verschlüsselt auszuliefern, dürfte um die Jahrtausendwende aber kaum jemandem eingefallen sein: Der zusätzliche Rechenaufwand fiel bei den damaligen Computern wesentlich mehr ins Gewicht, und Verschlüsselung war noch nicht so ein großes Thema.

Das änderte sich jedoch in den letzten Jahren; Verschlüsselung im Web breitet sich immer weiter aus. Den Wunsch nach einem verschlüsselten Webauftritt äußerten viele Leser, aber auch einige Redakteure und Webentwickler. Seit Google Verschlüsselung als Ranking-Faktor für die Suchmaschine wertet, schlossen sich ihnen die SEO-Experten an. Daher stand dieses Thema schon lange auf dem Zettel -- aber an eine Umsetzung war bis etwa 2015 nicht zu denken.

Ein Blick in die Browser-Entwicklerwerkzeuge zeigt, dass auch alle Werbeinhalte verschlüsselt angeliefert werden.

Grund dafür ist die Werbung, die weitaus wichtigste Einnahmequelle für die Online-Angebote des Verlags. Da bei Online-Werbung viele externe Parteien im Spiel sind, entzieht sie sich der Kontrolle durch die Seitenbetreiber. Zwar hatten auch vor ein paar Jahren schon viele Werbenetzwerke die HTTPS-Alternative im Angebot, aber längst nicht alle. Medienunternehmen fürchteten Umsatzeinbußen von 20 bis 40 Prozent. Das war der Stand der Dinge bei unserem letzten Artikel zu diesem Thema.

Dann zeigte sich die oft bedenkliche Marktdominanz Googles einmal von ihrer positiven Seite: Der Werbe- und Internetkonzern hat das Thema Verschlüsselung im Web nachhaltig vorangetrieben und sie in seinem HTTP/2-Vorläufer SPDY vorgeschrieben. Seit Mitte 2015 können Googles Werbemarken AdWords und DoubleClick alle Banner verschlüsselt ausliefern. Das gilt für klassische eingekaufte Werbeplätze ebenso wie für programmatische Werbung (Real-Time Advertising). Die meisten anderen Marktteilnehmer zogen nach, falls sie die Umstellung nicht schon längst bewältigt hatten. Und so ging plötzlich alles sehr schnell – ähnlich wie beim Rückgang der weithin verhassten Flash-Banner, seit Apple Flash aus seinem Safari-Browser verbannte.

So konstatiert Heises Ad Manager Jan Teuner, dass die Umstellung aus seiner Sicht "überraschend wenig Aufwand" verursacht habe. Dieser entfiel überwiegend auf selbst gehostete Werbung sowie auf "ein oder zwei" jener Werbekunden, die ihre Anzeigen selbst ausliefern. Außer mit Google arbeitet heise online vor allem mit Yieldlab, einem Hamburger Spezialisten für programmatische Werbung, der ebenso wie Google auf die Umstellung vorbereitet war. Einen verringerten Preisdruck beim Real-time Bidding erwartet Teuner allenfalls in minimalem Umfang.

Für die Umstellung der gesamten Website hat der Verlag bereits im Kleinen geübt: Seit Anfang März ist der Bereich Heise Security unter https://www.heise.de/security/ erreichbar; dessen Leiter Jürgen Schmidt gehört zu jenen, die die HTTPS-Umstellung vorantrieben. Bei diesem Pilotprojekt lernte die Webentwickler-Abteilung des Verlags die praktischen Schwierigkeiten bei der HTTPS-Umstellung kennen.

So mussten die Entwickler um Webmaster Wolfgang Schemmel und Teamleiter Sebastian Hilbig viel Sorgfalt aufwenden, um sämtliche unverschlüsselten Ressourcen und nicht protokollneutralen internen Links in den Tiefen des CMS aufzuspüren. Auch die Zählpixel mussten umgestellt werden, etwa das der IVW, mit dem Heise Medien die Werbereichweite seiner Online-Medien ermitteln lässt.

Schließlich waren noch etliche Zertifikate anzuschaffen, denn die Inhalte des Verlags sind über mehrere hundert Domains erreichbar. Die technischen Grundlagen schufen die Netzadmins. Die Ent- und Verschlüsselung übernehmen die Loadbalancer am Rechenzentrum in Frankfurt; innerhalb des Netzwerks ist die Kommunikation nicht verschlüsselt.

Wie beim HTTPS-Pilotprojekt ist die verschlüsselte Variante der Website erst einmal eine Option. Fernziel ist aber, komplett auf HTTPS umzuleiten und dies idealerweise noch mit HSTS (HTTP Strict Transport Security) dem Benutzer zu versprechen, um ein Maximum an Sicherheit zu erreichen.

Wie verbreitet ist HTTPS unter den deutschen Webanbietern? Um das herauszufinden, haben wir eine Stichprobe genommen. Grundlage waren die 100 Websites, die laut Zählung der IVW die meisten Seitenaufrufe zu verzeichnen hatten. Dazu kamen noch acht Sites aus dem Bereich IT-Nachrichten. Die Stichprobe zeigt, dass sich seit Ende 2014 überraschend viel getan hat: Mehr als jedes vierte Angebot läuft problemlos über eine verschlüsselte Verbindung. Darunter waren auch mehrere journalistische Angebote, etwa derwesten.de oder tz.de.

10 der 108 Sites sind sogar schon den zweiten Schritt gegangen und leiten alle Anfragen auf HTTPS um -- darunter auch die Nachrichten-Sites ComputerBase, AndroidPIT und die Online-Klatschspalte Promiflash. Getestet wurde mit Chrome, das ebenso wie Firefox per Default den Header Upgrade-Insecure-Requests setzt, um den Wunsch nach einer verschlüsselten Verbindung auszudrücken. Allerdings scheint dieser Header das Verhalten der Server in der Stichprobe nicht zu beeinflussen.

Die meisten Top-Websites beherrschen immer noch kein HTTPS. Knapp die Hälfte versteht aber wenigstens so viel davon, dass sie eine Anfrage annehmen können, um sie mit HTTP 301 (Moved permanently) ohne Federlesens auf eine unverschlüsselte Seite weiterzuleiten.

Probleme gibt es nur bei etwa einem Drittel der Angebote. Einige kriegen es überhaupt nicht fertig zu antworten, andere senden eine Fehlermeldung, die irreführend oder unverständlich ist ("The server is temporarily unable to service your request. Please try again later. Reference #6.6eebdd58.1473110990.bb0d7fa"); erstaunlicherweise scheint es den Webmastern schwer zu fallen, wenigstens eine angemessene Problembeschreibung zurückzugeben. Bei einigen Websites ist die Infrastruktur auf HTTPS vorbereitet, die Inhalte aber nicht. Manchmal fehlen dann ein paar periphere Elemente auf der Seite, schlimmstenfalls bleibt nur das nackte HTML.

Vor einer Fehlermeldung oder Weiterleitung können unschöne Zertifikatshinweise erscheinen. Das passiert meist, wenn ein Content Delivery Network die HTTPS-Anfrage mit seinem eigenen TLS-Zertifikat beantwortet, das aber nicht sicherstellt, dass es sich um die angefragte Website handelt. Browser unterbrechen dann in der Regel das Laden mit einem unschönen modalen Dialog. Das passierte bei 17 der 108 Angebote.

Ob eine Website auf HTTPS reagiert, hängt anscheinend nicht mit der Qualität der Inhalte zusammen. Respektable Meinungsmacher haben auf verschlüsselte Anfragen keine Antwort, während Klatschspalten und Boulevardmedien vorbildlich reagieren. Eher als zur Qualität scheint es einen Bezug zu Alter und Komplexität der Angebote zu geben.

Heise online ist ein altes und komplexes Angebot, und wie bei jeder Umstellung dieser Größenordnung werden irgendwo Fehler passiert sein. Falls Sie auf einen stoßen: Der Verlag freut sich über Ihre Hinweise.. (jo)