http oder https

sussi88

Lieutenant
Dabei seit
Nov. 2018
Beiträge
682
Hallo, bin noch am testen einer Website und lade diese zu Testzwecken in ein Unterverzeichnis meiner Domain.

Im Chrome wird vor der Adresse gross NICHT SICHER angezeigt, was für Besucher nicht grad vertrauenerweckend ist :(

Vermutlich weil http statt https ?

da auf der website nur daten wie Name, Telefon oder Maildresse eingegeben werden kann, braucht es ja eigentlich kein https, oder?

Wie ist das mit den Suchmaschinen, allen voran Google ... habe ich mit einer http Website weniger chancen gefunden / gelistet zu werden?
bzw. werden https Seiten bevorzugt?
Oder spielt das überhaupt keine Rolle?

Mit dem NICHT SICHER könnte ich Leben ... aber wenn dann noch ne extra Seite Aufgeht, wo drauf steht diese Website ist nicht sicher !!! (noch nicht passiert mit meiner Domain, kenne das aber von anderen Websites. Woran liegt das?)
Könnte schon sein, das potentielle Kunden nicht "weiter auf eigenes Risiko" klicken.
 
"Nur" Daten wie Name, Telefon oder Email? Das schreit doch quasi nach https. Nimm doch ein kostenloses Zertifikat von Let's Encrypt, wie ComputerBase hier auch. Dann sind die von dir genannten möglichen Warnhinweise direkt Schnee von gestern.
 
  • Gefällt mir
Reaktionen: Otsy und madmax2010
Der unterschied:
Das Das Hypertext Transfer Protocol, kurz HTTP, wird genutzt, um Websites vom Server in Ihren Webbrowser zu laden.
Das Hypertext Transfer Protocol Secure, kurz HTTPS, hat die gleiche Aufgabe, tut dies jedoch verschlüsselt und kann somit eine abhörsichere Verbindung zwischen dem Betreiber der Website und Ihrem Browser herstellen.

manchen ist es egal wäre halt mit ner Zertifizierung von Google besser (hat nichts mit http/s zutun)
 
  • Gefällt mir
Reaktionen: madmax2010, cartridge_case, Ebrithil und eine weitere Person
In der heutigen Zeit sollte alles per https laufen. Zertifikate gibts im Zweifel kostenlos bei Let's Encrypt.

Und ja, Suchmaschinen sortieren nicht-https Seiten weiter hin ein, wenn sie überhaupt angezeigt werden.
 
  • Gefällt mir
Reaktionen: cartridge_case, up.whatever und holdes
Zitat von sussi88:
da auf der website nur daten wie Name, Telefon oder Maildresse eingegeben werden kann, braucht es ja eigentlich kein https, oder?
Das sind personenbezogene Daten also ist HTTPS absolut angebracht und ggf. sogar Pflicht. Mit Let’s Encrypt kannst HTTPS kostenlos einsetzen.

Zitat von sussi88:
Wie ist das mit den Suchmaschinen, allen voran Google ... habe ich mit einer http Website weniger chancen gefunden / gelistet zu werden?
bzw. werden https Seiten bevorzugt?
Kann durchaus sein.

Zitat von sussi88:
aber wenn dann noch ne extra Seite Aufgeht, wo drauf steht diese Website ist nicht sicher !!! (noch nicht passiert mit meiner Domain, kenne das aber von anderen Websites. Woran liegt das?)
Könnte schon sein, das potentielle Kunden nicht "weiter auf eigenes Risiko" klicken.
Die "weiter auf eigene Risiko"-Seite erscheint wenn HTTPS eingesetzt wird aber das Zertifikat aus irgendeinem Grund ungültig ist (Abgelaufen, falscher Domainname etc.).
 
  • Gefällt mir
Reaktionen: cartridge_case
Wenn Du "nur" (die Anführungszeichen sind Absicht, denk drüber nach) Daten wie Name, Telefon oder Mailadresse in Deutschland über eine unverschlüsselte http-Verbindung übertragen willst würde ich Dir empfehlen (auch um relevante Bußgelder zu vermeiden!), nochmal nachzulesen.
 
Zitat von sussi88:

Ja.

Zitat von sussi88:
da auf der website nur daten wie Name, Telefon oder Maildresse eingegeben werden kann, braucht es ja eigentlich kein https, oder?

Doch. Daten sind sensible Informationen.

Zitat von sussi88:
Wie ist das mit den Suchmaschinen, allen voran Google ... habe ich mit einer http Website weniger chancen gefunden / gelistet zu werden?
bzw. werden https Seiten bevorzugt?

Niemand kennt den Google Algorithmus. Aber ja, https Seiten landen weiter vorne.

Dürfte doch kein großes Problem sein https zu implementieren?
 
Diese Warnhinweise kommen nicht nur mit Chrome, sondern auch mit allen anderen Browsern.

Und es könnte Dich nicht nur Besucher und Kunden kosten, es wird und zwar erheblich.

Besucher die sich mit der Materie nicht auskennen bleiben mehrheitlich schon einmal direkt durch die Warnung fern.
Besucher die sich mit der Materie auskennen bleiben ebenfalls mehrheitlich auch fern, denn eine Webseite ohne https-Zugriff ist schlicht in vielerlei Hinsicht ein Armutszeugnis.
 
Bei HTTPS geht es nicht nur darum die Übertragung von Informationen vom Client zum Server abzusichern, sondern auch der umgekehrte Weg ist (mindestens) genauso wichtig. Wird nur HTTP eingesetzt, ist es für einen Dritten ein leichtes sich zwischenzuschalten und die Webseite zu manipulieren.
Die Verwendung von SSL ist somit im öffentlichen Netz eigenlich ein Muss, zumal dank Let's Encrypt ja mittlerweile auch keine Kosten mehr damit verbunden sind.
 
Es ist wirklich vollkommen egal welchen Inhalt man auf einer Website präsentieren möchte, HTTPS sollte in jedem Fall und zwar wirklich immer für alles genutzt werden was damit zu tun hat. Die Browser warnen zurecht wenn es nicht so wäre. Durch die mittlerweile kostenlos erhältlichen Zertifikate sollte das alles kein Thema mehr sein und das ist je nach Hoster innerhalb von wenigen Minuten umgesetzt.

Etwas aufwendiger sind dann nur EV Zertifikate wie sie die Banken auf ihren Homepages haben, damit wird dann der ganze Adressbalken grün, kostet aber auch richtig Geld und soll nicht das Thema an der Stelle sein.
 
Meines Wissens ist es von Google sogar der Plan, dass diese Seite demnächst nicht einmal mehr aufgerufen werden, ohne das man eine Warnung wegdrücken muss.
Insofern sollte man - egal welchen Inhalt - HTTPS nutzen.

Aber du bist nicht ernsthaft der Ansicht, dass Name, Telefon-Nr. und E-Mail-Adresse keine Angaben sind, die zwingend verschlüsselt übertragen werden müssen? Persönlich geht es ja kaum. Das sind für mich sehr deutliche personenbezogene Daten, mit denen man schon viel Unsinn anstellen kann, wenn man sie abgreift...
 
Zitat von sussi88:
da auf der website nur daten wie Name, Telefon oder Maildresse eingegeben werden kann, braucht es ja eigentlich kein https, oder?

Ohne ein SSL-Zertifikat kann der Name, die Telephonnumer und die E-Mail-Adresse, die ein Besucher auf deiner Seite eingibt, von jedem Hop zwischen deinem Server und dem Besucher gelesen und aufgezeichnet werden. Solche personenbezogenen Daten stehen unter besonderem Schutz, seit dem 25.05.2018 auch unter der DSGVO. Über die solltest du dich übrigens informieren, wenn du solche Daten bei dir speicherst.

Heute sollte man sich eher fragen, warum man nicht verschlüsseln sollte, anstatt die Frage andersrum zu stellen. Edward Snowden hat uns gezeigt, warum.
 
  • Gefällt mir
Reaktionen: madmax2010
Es gibt keinen Grund eine Webseite die man Heute erstellt noch ohne SSL/TLS zu machen. Mit Let's Encrypt kosten die Zertifikate nichts mehr, und für praktisch alle Webserver gibt es einfache Methoden das ganze vollständig zu automatisieren.

Google hat selbst gesagt das sie http Seiten etwas bestrafen in den Rankings, kann natürlich niemand wissen ob sie das wirklich machen und wie stark der Effekt it.

Es gibt auch eine Reihe von modernen Browserfeatures die nur mit SSL gehen, die Browserentwickler machen das absichtlich so um den Umstieg zu erzwingen.
 
Die "nicht sicher" Meldung gibt es mittlerweile auch auf HTTPS Seiten die unsichere Resourcen (also z.B. Bilder oder JS) über HTTP laden.
Heißt auch wenn deine Website schon per HTTPS gesendet wird hat kann die Meldung angezeigt werden, am besten mal Browser Konsole aufmachen und gucken ob es eine Mixed Content Meldung gibt.

Ändert aber nix an der Tatsache das SSL heutzutage Pflicht ist, wenn du selber hostest ist das mit Lets Encrypt und dem Certbot ne Sache von Minuten und kostet dich keinen Cent.
Die meisten kostenlosen Webspaces lassen sich SSL aber noch bezahlen.
 
erstmal vielen Dank für eure vielen gutgmeinten Ratschläge.
Für meine private Website brauche ich kein https, da gibt es auch keine Dateneingabe.
Für die jetztige Website (Nebenjob) benutze ich für die Dateneingabe Formulare von Drittanbietern, die https benutzen, also ist das schonmal sicher :)

Aber klar, macht es keinen seriösen Eindruck, wenn diese Warnung erscheint.
Jetzt habe ich 2 Möglichkeiten:

Ich zahle monatlich 3 Euro mehr und upgrade mein Abo. Dann habe ich https inklusive und 4 statt bisher 3 Domains (.de) inklusive und ein bischen mehr Speicher (den ich aber nicht brauche)
3 Domains benutze ich aktuell. Eine 4 brauche ich nicht.
https://alfahosting.de/webhosting/

Oder ich nehme das Let´s Encrypt Zertifikat für monatlich 1,99 Euro. Hiermit können bis zu 50 Domains über https:// abgesichert werden. Hab aber nur 3 Domains.

Ihr schreibt dauernd das Zertifikat gibts kostenlos?
 
Das liegt dann aber an deinem Provider, Lets Encrypt stellt Zertifikate für jeden kostenlos aus. Wenn dein Webhosting dafür Geld haben möchte wäre eher die Frage ob der Hoster dann der richtige ist. Kannst du eigene Zertifikate bei deinem Hoster hochladen und nutzen?
 
Let's Encrypt an sich ist kostenlos, aber die meisten Webhoster lassen sich es trotzdem bezahlen.
SSL sollte heutzutage eigentlich Standard sein, aber ist noch nicht bei allen angekommen.

Wenn du einen eigenen VPS hättest müsstest du nur Lets Encrypt installieren, Wizard sind ein paar Optionen und der Certbot erneuert Zertifikate ohne weiteres zutun (und konfiguriert Nginx/Apache).
 
danke für eure tipps. habe jetzt auch https :)
 
  • Gefällt mir
Reaktionen: holdes
Zurück
Top