Die Verbreitung der HTTPS-Verschlüsselung von Websites mittels Transport Layer Security (TLS) (früher SSL genannt) soll sich in den vergangenen zwölf Monaten mehr als verdoppelt haben: HTTPS Adoption doubled this year. Das zeigen zwei unterschiedliche Statistiken für die meistbesuchten Websites: die eine zeigt einen Anteil von 9,6 Prozent im Juli 2016 nach 2,9 Prozent im August 2015; die andere sogar 12,4 Prozent im Juli 2016 nach 5,5 Prozent im August 2015.

Im verlinkten Artikel werden mögliche Gründe angesprochen. Das möchte ich nachfolgend auch aus meiner Sicht und mit einem dort nicht erwähnten Punkt beginnen:

Warum immer mehr Websites HTTPS/TLS-Verschlüsselung verwenden

  1. Edward Snowden. Mit seinen Enthüllungen über die Totalüberwachung des Internets durch Geheimdienste wie NSA und GCHQ wurde endgültig in größeren Kreisen klar – und nicht nur bei zuvor als Aluhutträgern belächelten Aktivisten –, daß dringend etwas getan werden muß, um die Privatsphäre der Internetnutzer vor staatlichen Schnüfflern und Kriminellen zu schützen.

    Ein sehr großer Teil der Kommunikation im Internet kann mit TLS für Websites, aber auch zum Beispiel E-Mail oder Chats, während der Übertragung transportverschlüsselt werden. Damit werden die Massenüberwachung komplizierter und teurer und die Geheimdienste eher zur gezielten Überwachung konkreter Verdächtiger gezwungen.

  2. Mit Let’s Encrypt gibt es seit Herbst 2015 endlich unbeschränkte kostenlose TLS-Zertifikate, die in allen Programmen akzeptiert werden. Sie führen nicht zu »Unbekann«-Warnungen, wie es bei CAcert.org-Zertifikaten geschieht. Kostenlose »Class 1«-Zertifikate gab es zwar auch schon lange zum Beispiel von StartSSL, die die konnten jedoch nur eingeschränkt verwendet werden.

    Let’s Encrypt arbeitet auch an einer Client-Software, die auf den Servern das Erzeugen, Signieren, Erneuern und Installieren der Zertifikate vereinfachen und automatisieren soll. Statt dieser eierlegenden Wollmilchsau empfehle ich allerdings das Shellscript dehydrated (ehemals letsencrypt.sh).

  3. Seit ein paar Jahren gibt es sehr zugängliche Dokumentation, wie man TLS einfach und sicher einrichtet. Etwa das Applied Crypto Hardening PDF von BetterCrypto.org oder Vorschläge im Wiki von Mozilla.org und den Mozilla SSL Configuration Generator.

    Mit dem SSL Server Test von Qualys SSL Labs, um das sich besonders Ivan Ristić verdient gemacht hat, gibt es eine einfache Möglichkeit, die TLS-Serverkonfiguration zu prüfen. Die Schulnotenbewertungen motivieren einen zur Verbesserung seiner Konfiguration.

  4. Große Internetunternehmen wie Google wechseln immer mehr zu Verschlüsselung. Zum Teil wohl auch beschleunigt durch Snowdens Enthüllungen (»SSL added and removed here! :-)«).

    So bieten Google (Blogspot) und Wordpress.com ihre Blogdienstleistungen für Millionen Blogger per HTTPS an. Ebenso Github seine Dienstleistungen und die Präsenz für Millionen von Softwareprojekten.

    Das Denial-of-Service-Protection- und Content-Delivery-Network Cloudflare bietet allen seinen (auch nichtzahlenden) Kunden TLS-Verschlüsselung an. Allerdings kann das auch lediglich vom Webseitenbesucher bis zu Cloudflare aktiv sein, nicht unbedingt von Cloudflare zur eigentlichen Website – ein Besucher sieht nicht, wie gut der Schutz ist. Und mit dem Nachteil, daß Cloudflare den einfachen Zugriff auf Millionen von Websites über das Anonymisierungsnetzwerk Tor einschränkt.

    Damit sind diese Unternehmen – wie alle Betreiber, die HTTPS anbieten – ein Vorbild für andere, die folgen. Außerdem bevorzugt Google Websites mit HTTPS in den Suchergebnissen (Pagerank).

    Leider geht es allerdings speziell bei etablierten Medien – wie großen Nachrichtenseiten – mit HTTPS sehr langsam voran, was vor allem daran liegt, daß ihre Werbedienstleister und damit sie selbst Probleme mit der Umstellung auf Verschlüsselung sowie allgemein Sicherheit und Datenschutz haben.

  5. Schließlich wurden auch veraltete, rückständige Webbrowser (etwa Internet Explorer auf Windows XP, der keine Server Name Indication unterstützt) weitgehend zurückgedrängt, die mit modernen, sicheren TLS-Konfigurationen Probleme hatten. Die größten Sorgen dürften heute noch Millionen von nichtaktualisierten Android-Geräten (Versionen kleiner 4.4 oder sogar kleiner 4.0) und Java-Anwendungen (ältere unterstützten keine DH-Parameter mit mehr als 1024 Bit und auch kein Let’s Encrypt) machen.

Artikel entdeckt durch einen Retweet von @BetterCrypto.

Nachtrag vom 2016-10-16: Das Projekt und Shellscript letsencrypt.sh wurde umbenannt zu dehydrated.