HTTPS – Verschlüsselung ist keine Option…

  • Geschrieben am 5.November.2016
HTTPS – Verschlüsselung ist keine Option…

https-symbolIn den letzten Wochen war wieder einmal Arbeit im Maschinenraum angesagt. Das Ergebnis sehen Sie in der Adresszeile Ihres Browsers: Der Zugriff auf die Portale der Praetor Intermedia erfolgt nun verschlüsselt über https. Dies betrifft sowohl unser „Flagschiff“, die Rechtslupe, wie auch unsere VerbraucherBoten, unsere Legal News-Portale, die Portale des Netzwerks Menschenrechte und unsere diversen Themenportale bis hin zum NachrichtenPub,unserem Newsletter-Portal. Insgesamt betrifft dies über 100 Domains.

Und warum dieser Aufwand?

Frei verfügbare Nachrichtenportale und verschlüsselte Übertragung, das ist doch ein Widerspruch, oder? Nun, auf den ersten Blick mag dies so erscheinen. Aber es gibt mehrere gute Gründe für eine Verschlüsselung unserer Portale:

  1. Verhinderung von Phishing und anderen Hacker-Angriffen:

    Die Verschlüsselung erfasst die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern. Unsere SSL-Zertifikate stellen dabei sicher, dass die Daten, die in Ihrem Browser ankommen, auch tatsächlich von unserem Server stammen. Durch die Verschlüsselung wird damit effektiv verhindert, dass sich ein Dritter in die Übertragung einklinkt um Ihnen verfälschte Inhalte und Schadsoftware unterzuschieben. Auch der Phishing-Gefahr wird so effektiv begegnet.

  2. Verhinderung von Datenschnüfflern

    Die HTTPS-Verschlüsselung betrifft nicht nur die Seiten, die von unseren Servern an Ihren Browser gesendet werden. Die Verschlüsselung greift bereits bereits bei der Anfrage, die Sie über Ihren Browser an unsere Server richten, sie umfasst die gesamte Anfrage. Bei einer Überwachung etwa der Übertragungswege im Internet können damit nur noch die IP-Adressen abgegriffen werden. D.h., es kann nur noch  festgestellt werden, dass Sie auf mit einen unserer Server kommuniziert haben, nicht aber, welche Site Sie angesurft haben.

    Ob Sie sich also mit einem (evtl. für die Finanzverwaltung und die Strafverfolgungsbehörden relevanten) Hintergrund auf unserer Seite zur Schweizer Abgeltungssteuer informiert oder aber nur Informationen zur Kirchensteuer gesucht haben, ist damit für einen Lauscher auf den Übertragungswegen im Internet nicht mehr unterscheidbar.

    Dieser Schutz erstreckt sich übrigens auch auf Cookies.

Und warum erst jetzt?

Eine Verschlüsselung des gesamten Internetangebots war vor einigen Jahren noch kein Thema: Zum einen konnte oder wollte sich keiner von uns vorstellen, welches Ausmaß die Überwachung und Datenschnüffelei im Internet inzwischen erreicht hat. Und zum anderen wären auch die Webserver nicht in der Lage gewesen, den durch die Verschlüsselung anfallenden zusätzlichen Rechenaufwand ohne Performanceverluste bei der Websiteauslieferung zu bewältigen.

Hinzu kommt: Eine Website kann nur ganz oder gar nicht per https ausgeliefert werden, da sich der Besucher ansonsten  im besten Fall mit nicht geladenen Seitenbestandteilen, meist aber mit „Mixed Content“-Sicherheitswarnungen und ggfs. Fehlfunktionen seines Browsers konfrontiert sieht. Damit galt aber auch für uns bei der Verschlüsselung unserer Informationsportale der Grundsatz: ganz oder gar nicht. Bei kleinen Portalen mag dies noch problemlos sein, aber bei über viele Jahre gewachsenen Portalen wie etwa der Rechtslupe, bei der sich sei Juni 2005 mittlerweile 35.000 Artikel mit diversen Querverweisen, Suchfunktionen, Rechnern und Formularen angesammelt haben, bedarf eine solche Umstellung einiger Vorbereitung und Planung. So galt es nicht nur, für alle Domains SSL-Zertifikate erstellen zu lassen und auf den Webservern einzubinden, es musste auch sichergestellt werden, dass zum Umstellungszeitpunkt alle Links, alle Rechner und Formulare und alle sonstigen Ressourcen, vom Webanalyse-Zählpixel bis zum Adserver, auf https gleichzeitig umgestellt werden.

Und dazu kam bei uns wie auch bei allen anderen online tätigen Medienunternehm noch ein ganz handfester Grund: Die wichtigste Finanzierungsquelle ist nicht nur bei unseren Internetportalen die Werbung. Viele Werbeagenturen und Werbenetzwerke waren aber -und sind zum Teil auch heute- noch nicht bereit bzw. technisch noch nicht in der Lage, ihre Werbung per https auszuliefern. Ohne diese ist aber auch eine Umstellung der entsprechenden Nachrichtenseite nicht möglich. Insbesondere aus diesem Grund sind auch eine Vielzahl großer Nachrichtenportale von der Bild über die Rheinische Post bis zur Süddeutschen Zeitung, Zeit Online und Spiegel Online und selbst Tech-Magazine wie Chip oder Golem.de bis heute (Stand: 4. November 2016) unverschlüsselt. Allerdings hat sich die Marktsituation inzwischen bei vielen Agenturen und Werbenetzwerken soweit geändert, dass sich die Schwarz-Weiß-Alternative „Verschlüsselung oder Werbung“ nicht mehr stellt. Und dennoch: die vollzogene Umstellung auf https bedeutete für uns, uns von zwei langjährigen Partnernetzwerken zu trennen, die für ihre Werbeauslieferungen nach wie vor keine technische Möglichkeit der https-Verschlüsselung vorsehen.

Verschlüsselung ist keine Option?

Wie gesagt: Verschlüsselung ist insbesondere ein Sicherheitsfeature. Verschlüsselung dient der Datenintegrität, Verschlüsselung dient Ihrer (Daten-)Sicherheit.

Aus diesen Gründen haben wir uns auch zu einer harten und vollständigen Umstellung entschlossen: Nachdem wir die verschlüsselte Übertragung auf unseren Internetportalen eingerichtet und den zuverlässigen Betrieb der Verschlüsselung einige Wochen lang überprüft haben, erzwingen wir im Zusammenspiel mit Ihrem Internetbrowser die verschlüsselte Übertragung.

SSL Labs: Rechtslupe

Die Verschlüsselung ist für uns also nicht einfach eine Option neben der unverschlüsselten Auslieferung. Wir verschlüsseln ausnahmslos alle von uns ausgelieferten Seiten, leiten alle Anforderungen für unverschlüsselte Seitenauslieferungen um und erreichen über den Sicherheitsmechanismus der „HTTP Strict Transport Security“ (HSTS), dass ihr Browser zukünftig stets nur noch die verschlüsselte Version unserer Webseiten anfordert.

Egal also, ob Sie die verschlüsselte oder noch eine unverschlüsselte Version angefordert haben, liefern wir die gewünschte Webseite stets verschlüsselt aus. Sie brauchen hierzu nichts weiter zu veranlassen, können die gewünschte Domain wie bisher in die Adresszeile Ihres Browsers eintragen und auch Ihre bisherigen Lesezeichen weiter verwenden. Um die Umsetzung in eine verschlüsselte Version kümmern wir uns.

https-mixed-contentAber: Nobody is perfect. Wenn Ihnen also in den nächsten Wochen auf einem unserer Portale noch eine Mixed-Content-Warnung unterkommt oder das Schlosssymbol in der Adressleiste nicht grün bleibt: Jeder Hinweis hilft uns.

praetor-intermedia_t
Welche Informationsportale haben wir alles auf https-Verschlüsselung umgestellt? Die meisten dieser Portale finden sie in unserem Praetor-Alphabet.