Websites verschlüsseln oder in der Bedeutungslosigkeit verschwinden
Heute mal wieder ein technischer Beitrag, der sich an alle richtet, die Websites betreiben. Falls Ihr es noch nicht mitbekommen habt, ab Version 68 markiert Google Chrome alle HTTP-Websites als unsicher. So lange sollte man allerdings nicht warten, denn schon seit 2014 wirkt sich eine nur unverschlüsselt ausgelieferte Website negativ auf das Google-Ranking aus.
Davon abgesehen fordert die EU-Datenschutz-Grundverordnung in Artikel 32 “die Pseudonymisierung und Verschlüsselung personenbezogener Daten”. Macht man sich klar (z.B. mittels Panopticlick), was so ein Browser einfach nur beim Surfen schon alles für Daten an die Server übermittelt, sind faktisch alle Daten bei einem HTTP-Aufruf personenbezogen und damit zu verschlüsseln.
Kommerzielle TLS-Zertifikate kosten Geld, kostenlose Zertifikate bekommt ihr bei Let’s Encrypt. Mein Provider All-Inkl bietet das vollautomatisch mit wenigen Klicks einzurichten so wie viele andere auch.
Detailliert könnt Ihr Eure TLS-Verschlüsselung mit dem Qualys SSL Server Test analysieren. Bei der Gelegenheit solltet ihr auch gleich mal Eure Security Headers überprüfen und ggf. anpassen.
Zum Schluss noch ein Pro-Tipp: Finger weg von Symantec-Zertifikaten! ;-)
Nachtrag vom 14.03.: Let’s Encrypt stellt ab sofort Wildcard-Zertifikate aus.