Sie sind hier:

SSL – Kann Sicherheit schaden?

Torge Kahl
Torge Kahl

Torge Kahl ist seit 2008 im Online-Marketing aktiv. Nach Stationen in Leipzig und Hamburg verantwortet er jetzt das Marketing der checkdomain GmbH, eines der führenden Anbieter von Domains und Webhosting in Deutschland mit Sitz in Lübeck. Nebenbei hat er DieStadtgärtner gegründet und kann so auch in seiner Freizeit der Online-Leidenschaft nachgehen.

Mehr von diesem AutorArtikel als PDF laden

Mit „Let’s Encrypt“ verfolgt die Internet Security Research Group (ISRG), unter deren Dach sich die Mozilla Foundation, Cisco, Akamai und andere Internet-Giganten versammelt haben, das Ziel, SSL zum Internet-Standard zu machen. Seit Dezember 2015 läuft die Public Beta und tatsächlich bieten erste Webhoster bereits kostenlose SSL-Zertifikate von „Let’s Encrypt“ an. Aber: Sollte jetzt jeder Webmaster seine Seite auf HTTPS umstellen?

Bis August 2014 war SSL-Verschlüsselung vor allem ein Thema für Shop-Betreiber und Sicherheits-Zeloten. Dann erklärte Google HTTPS offiziell zum Rankingfaktor. In der Folge war das Thema SSL zumindest in der SEO-Szene kurz im Trend und einige Webmaster verschlüsselten ihre Seiten auch. Aber sowohl die Kosten als teilweise auch die technischen Hürden hielten den Großteil der Seitenbetreiber bisher von der Umstellung ab.

Ende vergangenen Jahres nun trat „Let’s Encrypt“ in die Public Beta ein und SSL-Zertifikate werden immer mehr zur Massenware. Bei einigen Webhosting-Firmen gibt es die Zertifikate bereits kostenlos zur Domain dazu. Was für Gründe sollen also jetzt noch gegen eine Verschlüsselung der eigenen Seiten sprechen?

Zitat Alexander Schwertner, Director Products, OpenSRS: „Ende des Jahres wird ein Großteil der Webhoster wahrscheinlich jede Domain direkt mit einem SSL-Zertifikat ausliefen – ohne dass der Kunde aktiv werden muss.“

Zitat Mike Behrendt, Geschäftsführer, webhostlist.de GmbH: „Noch 2016 werden viele Registrare jede Domain inklusive SSL-Zertifikat ausliefern. SSL wird so bald zum Standard werden.“

Zitat Johannes Herold, Geschäftsführer, checkdomain GmbH: „SSL ist aktuell noch ein Nischenthema, das aber durch den Einsatz der ISRG zunehmend an Fahrt aufnimmt. Jetzt gilt es, die technischen Hürden abzubauen und die Umstellung für die Seitenbetreiber möglichst einfach zu machen.“

Achtung: Sinkende Einnahmen

Rajiv Pant, CTO der New York Times, startete Ende 2014 im hauseigenen Blog einen Aufruf an alle Nachrichtenportale, ihre Webseiten bis Ende 2015 komplett auf HTTPS umzustellen (http://einfach.st/nyt5). Viele scheinen seinen Beitrag jedoch nicht gelesen zu haben – neben Bild, Spiegel, Focus und SZ ist auch die New York Times noch immer nicht über eine sichere Verbindung erreichbar. Warum eigentlich nicht?

Wahrscheinlich, weil sie alle die Google Adsense FAQ Nummer 10528 (http://einfach.st/gas8) gründlich gelesen haben. In der heißt es nämlich: „[...] nehmen Sie mit Anzeigen auf Ihren HTTPS-Seiten unter Umständen weniger ein als mit Anzeigen auf Ihren HTTP-Seiten.“ Und genau so ist es auch.

Einige Seitenbetreiber berichten, dass ihr Umsatz pro 1.000 Bannereinblendungen (RPM) nach der Umstellung auf HTTPS stark einbrach – Verluste, die durch leicht steigende Rankings meist nicht kompensiert werden können. Aus verschiedenen Tests und Erfahrungsberichten ist bekannt, dass die RPM nach einer Umstellung auf SSL/TSL meist um 15 bis 35 Prozent sinkt. Durch die Verschlüsselung der Webseite drohen also erhebliche Einbußen.

Zitat Mark Bergmann (www.muskelaufbau.de): „Nach der Umstellung auf HTTPS ist meine Adsense RPM um 37 Prozent gesunken. Nur ein zusätzliches Placement und der Direktvertrieb konnten die Verluste auffangen.“

Abbildung 1: Ein einziges extern über HTTP abgerufenes Bild führt zum Vertrauensentzug durch den Browser
Abbildung 2: So soll es sein – die grüne Leiste im Browser signalisiert dem Benutzer eine sichere Verbindung

Der Grund für die sinkende RPM lässt sich technisch einfach erklären. Eine verschlüsselte Seite gilt für den Browser nur als wirklich sicher, wenn auch alle externen Ressourcen, wie zum Beispiel Werbebanner, über sichere Verbindungen geladen werden. Ist das nicht der Fall, zeigt der Browser statt des vertrauenserweckenden grünen Schlosses eine kleine Warnung an. Da einige AdServer beziehungsweise Publisher ihre Werbemittel noch nicht über HTTPS ausliefern, können diese nun nicht mehr an der Versteigerung von Werbeflächen auf HTTPS-Seiten teilnehmen. Durch weniger Bieter sinkt der Konkurrenzdruck, was natürlich eine fallende RPM zur Folge hat.

Abbildung 3: Der Advertiser mit dem höchsten Gebot kommt nicht zum Zug – der geringere Wettbewerb drückt die RPM

Dasselbe Problem haben einige Affiliate-Netzwerke, deren Werbemittel nicht über HTTPS erreichbar sind. So ruft selbst Amazon seine Ressourcen standardmäßig über unverschlüsselte HTTP-Verbindungen ab. Ist auf einer verschlüsselten Seite also ein Amazon Widget eingebaut, bekommt der Nutzer eine Warnung vom Browser zu sehen. Hier gibt es zwar einen Workaround (http://einfach.st/stack2), aber der Aufwand steigt, und dass die angewendeten „Hacks“ dauerhaft funktionieren, ist keineswegs garantiert.

Es kann also festgehalten werden: Die Umstellung einer rein werbefinanzierten Seite auf SSL/TSL wird in der Regel zu sinkenden Einnahmen führen.

Weitere Nachteile der sicheren Verbindung

Aber auch bei nicht werbefinanzierten Seiten sollte man sich einiger weiterer Nachteile bewusst sein. Die wichtigsten sind:

  1. Performance-Einbußen
    Das Ver- und Entschlüsseln der Daten verbraucht Rechenleistung auf dem Webserver und beim Client. Mit aktuellen Servern und Endgeräten, selbst Smartphones, stellt das zwar kein Problem mehr dar, aber wenn jemand einen eigenen, älteren Server betreibt, kann es Probleme mit der Performance geben. Vor allem aber dauert der Handshake zwischen Server und Client etwa dreimal so lange, was zu einer Verzögerung im Seitenaufbau führt.
     
  2. Caching-Probleme
    Seit der Internet Explorer 6 faktisch ausgestorben ist, gibt es zwar kein Problem mit dem Browser Caching mehr, aber das serverseitige Caching verschlüsselter Inhalte ist weiterhin ein Problem. Ohne hier weiter ins Detail gehen zu wollen: Ja, es ist möglich, zum Beispiel einen Varnish Cache in Verbindung mit SSL/TSL zu nutzen, aber es ist komplexer als ohne Verschlüsselung. ISP-Caching, also das Zwischenspeichern sehr häufig aufgerufener Inhalte durch den Internetanbieter, entfällt außerdem komplett.
     
  3. Technisch aufwendig
    Zwar ist die Einrichtung der Zertifikate mittlerweile denkbar einfach und vor allem bei Shared-Hosting-Anbietern mit wenigen Klicks erledigt, doch gibt es auch danach noch einige Fallstricke. Die wichtigsten sind die Umstellung aller internen Links auf HTTPS sowie die Vermeidung doppelter Inhalte beispielsweise durch eine sauber strukturierte htaccess-Datei.

Auf einen Blick

Vorteile von SSL:

  • Schutz privater User-Daten
  • Bessere Rankings
  • Erhöhte Vertrauenswürdigkeit der Seite

Nachteile von SSL:

  • Sinkende Werbeeinnahmen
  • Leicht verlängerte Ladezeiten
  • Ggf. steigende technische Komplexität

Wer sollte aktuell noch kein SSL-Zertifikat benutzen:

  • Betreiber rein werbefinanzierter Seiten
  • Webmaster mit sehr wenig technischer Ahnung

Also lieber doch kein SSL?

Wie so häufig ist die Antwort leider: Es kommt darauf an. Den genannten Nachteilen stehen natürlich die bekannten Vorteile gegenüber: ein höheres Vertrauen der Nutzer in die Seite, bessere Rankings und eine stark erhöhte Datensicherheit. Die Umstellung auf SSL/TSL ist also trotz der erörterten Nachteile fast allen Webmastern zu empfehlen. Lediglich die Betreiber (rein) werbefinanzierter Seiten sollten von der Umstellung lieber noch absehen. Hier lohnt es sich, die großen Nachrichtenportale im Auge zu behalten. Wenn diese ihre Seiten verschlüsseln, sind die meisten AdServer wahrscheinlich HTTPS-fähig. Der Trend dahin zeichnet sich schon jetzt ab. Grundsätzlich sieht es also so aus, als könnten Rajiv Pant und die ISRG ihre Ziele langfristig erreichen.