en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

HTTPS Everywhere: Entfernen Sie gemischte Inhalte, um die Suchmaschinenoptimierung zu verbessern

Einführung

In den letzten Jahren haben wir festgestellt, dass das Web und die verschiedenen Branchen, die es antreiben (z. B. Browser, Suchmaschinen usw.), die Sicherheit der Benutzer zunehmend ernst nehmen. Chrome ist jetzt Benutzer vor HTTP-Websites warnen Weitere Browser sind bereit zu folgen, während die Google-Suche bestätigt hat, dass sie das Ranking von Suchmaschinen verbessern HTTPS Websites.

Entwicklungen wie diese haben einen erheblichen Teil der Websitebesitzer dazu motiviert, ihre Server von altem, unsicherem HTTP auf das sicherere alternative HTTPS umzustellen. (HTTPS wird als sicherer angesehen, da Server über SSL-Zertifikate authentifiziert werden müssen, um Benutzer vor den meisten Arten von Netzwerkangriffen zu schützen.)

Die meisten Websites haben jedoch nur HTTPS für ihre wichtigsten Komponenten wie Anmelde- oder POST-Anforderungen implementiert, verwenden jedoch möglicherweise HTTP für andere „nicht kritische“ Funktionen.

Dies war in den frühen Tagen von HTTPS sinnvoll, da verschlüsselte Verbindungen aufgrund ihrer Leistung rechenintensiver sind Handshakes für jede neue Verbindung. Darüber hinaus waren zu dieser Zeit viele weit verbreitete Webentwicklungsplattformen, Bibliotheken und Umgebungen nicht HTTPS-fähig - eine Tatsache, die Administratoren und Entwicklern endlose Kopfschmerzen in Form von nächtlichen Anwendungsabstürzen oder undurchsichtigen Laufzeitfehlern verursachte.

Natürlich ist dies nicht mehr wahr - in der Tat, wie dieser Artikel argumentieren wird, nicht mit HTTPS für Alle Die Verbindungen Ihrer Website sind tatsächlich schlecht für Ihr Unternehmen.

Gemischter Inhalt

Websites, die nicht alle Inhalte über HTTPS bereitstellen, werden aufgerufen gemischter Inhalt Websites. Ein Akademiker Papier Die im Jahr 2015 veröffentlichte Studie ergab, dass über 43% ihrer Stichprobe der Top 100,000 von Alexa mindestens eine Art gemischten Inhalts enthielten.

Obwohl dies keine große Sache ist, können gemischte Inhalte für Benutzer sehr gefährlich sein, aber auch negative Auswirkungen auf Websites haben.

Sicherheitsfragen

Der wichtigste Grund für die Verwendung von HTTPS für Ihre gesamte Website ist die Sicherheit. Eine einzige ungeschützte HTTP-Verbindung ist alles, was Hacker benötigen. Man-in-the-Middle-Angreifer (MITM) Sie können alle HTTP-Inhalte auf Ihrer Seite ersetzen, um Anmeldeinformationen und Sitzungen zu stehlen, vertrauliche Daten zu erfassen oder Browser-Exploits zu starten und Malware auf den Computern Ihrer Besucher zu installieren.

Wenn Sie von Ihrer Website kompromittiert werden, werden Ihre Benutzer natürlich misstrauen und es in Zukunft vermeiden, was Ihren Online-Ruf effektiv schädigt.

Sowohl Firefox als auch Chrome habe angefangen Standardmäßig werden gemischte Inhalte blockiert, sodass Benutzer manuell festlegen können, ob Inhalte über HTTP geladen werden sollen. Da gemischte Inhalte ein Sicherheitsrisiko darstellen, zeigen beide Browser den Benutzern eine Warnung zu gemischten Inhalten an, die sich auch negativ auf die Reputation Ihrer Website auswirken kann.

 

Firefox-Warnung zu gemischten Inhalten

Performance-Probleme

Neben der Sicherheit nimmt die zunehmende Akzeptanz von HTTP / 2 von der Industrie hat zahlreiche Leistungs- und Sicherheitsverbesserungen ins Web gebracht.

Obwohl die Leistungssteigerung seit HTTP / 2 kontraintuitiv erscheint funktioniert nur Über verschlüsselte HTTPS-Verbindungen ermöglicht das Protokoll Browsern, eine einzige verschlüsselte Verbindung mit einem HTTPS-Webserver für die gesamte Kommunikation zu verwenden.

Durch die Wiederverwendung derselben Verbindung wird der Overhead beseitigt, der durch wiederholtes Einrichten neuer Verbindungen (dh erneuter Handshake) entsteht. Dies bedeutet, dass das Wechseln von verschlüsselten HTTPS-Verbindungen zu unverschlüsseltem HTTP auf einer Site mit gemischtem Inhalt langsamer und ressourcenintensiver ist als der Besuch einer vollständig geschützten Site mit einer einzigen HTTPS-Verbindung.

HTTP / 2 implementiert auch das 0-RTT Modus zur Wiederaufnahme der Sitzung, in dem Browser eine angehaltene Sitzung mit einer zuvor besuchten HTTPS-Website mit nur einer einzigen Anforderung (anstelle eines vollständigen Handshakes) fortsetzen können. Dadurch ist die HTTP / 2-Wiederaufnahme mindestens so schnell wie eine unverschlüsselte HTTP-Verbindung und bietet dennoch alle Vorteile von HTTPS. Das Bereitstellen gemischter Inhalte bedeutet, dass Ihre Website diese oder eine der anderen großartigen Funktionen von HTTP / 2 nicht in vollem Umfang nutzen kann.

In beiden Fällen verbessert HTTP / 2 die Geschwindigkeit der Verbindung Ihres Besuchers zu Ihrer Site - und die Geschwindigkeit ist wichtig. studien haben im Laufe der Jahre gezeigt, dass Reaktionsfähigkeit und Seitenladegeschwindigkeit wichtige Anforderungen an das Design der Benutzeroberfläche sind. Je langsamer die Antwortzeit einer Website ist, desto unwahrscheinlicher ist es, dass Benutzer engagiert bleiben, und die Benutzerinteraktion wirkt sich direkt auf die Benutzererfahrung Ihrer Website (und folglich auf Ihre Conversion-Raten) aus.

Gemischte Inhalte können sich auch auf die Leistung der zugrunde liegenden Webtechnologien auswirken, die auf Ihrer Website verwendet werden. Browser jetzt Beschränken Sie die Javascript-Funktionen B. Service-Mitarbeiter und Push-Benachrichtigungen, um nur Kontexte zu sichern, da sie andernfalls von Hackern für böswillige Zwecke missbraucht werden könnten. Dies bedeutet wiederum, dass Ihre Website keine dieser Technologien nutzen kann, wenn gemischte Inhalte bereitgestellt werden.

SEO Probleme

Suchmaschinen-Optimierung (SEO) ist das A und O von Online-Business-Vermarktern. SEO bezieht sich auf die Praxis der Verbesserung des Rankings einer Website in einem Suchmaschinen-Ergebnisseite (SERP), der sich direkt auf das Verkehrsaufkommen der Website auswirkt.

Google hat bestätigt, dass der Algorithmus für das Ranking von Suchergebnissen Websites, die über HTTPS bereitgestellt werden, einen kleinen Rangzuwachs verleiht. Da der Boost in Echtzeit und pro URL erfolgt, führt die Bereitstellung einer Website in ihrer Gesamtheit über HTTPS zu einem SEO-Boost für die gesamte Website (anstelle nur der URLs, die über HTTPS bereitgestellt werden). Zugegeben, dieser Ranking-Signal-Boost ist im Vergleich zu anderen wie qualitativ hochwertigen Inhalten oder Benutzerdatenverkehr recht leicht und belohnt Ihre Investition in das Entfernen gemischter Inhalte.

Google hat auch vor kurzem angekündigt Diese Seitenladegeschwindigkeit und die allgemeine Website-Leistung werden bei der Entscheidung über das Ranking (stark) berücksichtigt. Dies bedeutet, dass die Leistungsoptimierungen von HTTP / 2 und das Entfernen gemischter Inhalte zusammenarbeiten können, um die Sichtbarkeit Ihrer Website im Web zu verbessern.

Wenn Sie SSL in der SEO Ihrer Website voll ausnutzen möchten, sollten Sie dies in Betracht ziehen EV-Zertifikate von SSL.com, die Ihren Besuchern über Sicherheitsindikatoren (wie den grünen Balken im Browser) die höchste Sicherheit bieten, damit sie sicher sind und sich mit Ihren Inhalten beschäftigen - und längere Besuche bedeuten höhere Platzierungen.

Das erste Anforderungsproblem

Wir hoffen, dass dieser Artikel bis zu diesem Punkt einige gute Argumente gegen gemischte Inhalte vorgebracht hat. Auch wenn Sie sich entscheiden, Ihre Website vollständig auf HTTPS zu migrieren, können Sie dennoch einige Verbesserungen vornehmen.

Wenn Benutzer die URL Ihrer Website in einem Browser eingeben, geben sie den Protokollnamen normalerweise nie vollständig ein (d. H. https://). Natürlich weiß der Browser nicht, unter welchem ​​Protokoll Ihre Website bereitgestellt wird, und verwendet standardmäßig HTTP.

Wenn Ihre Website korrekt konfiguriert ist, leitet sie den Browser (über HTTP 301/302-Antworten) zu ihrer HTTPS-Instanz um. Dies bedeutet jedoch, dass Browser beim ersten Besuch Ihrer Website zwei Anforderungen anstelle einer einzelnen HTTPS-Anforderung ausführen müssen.

Dies kann problematisch sein, da Benutzer die Verzögerung wahrnehmen und einen schlechten ersten Eindruck von der Website erhalten können. Daher ist es weniger wahrscheinlich, dass sie in der Nähe bleiben, was letztendlich zu einem verringerten Besucherverkehr führen kann.

Darüber hinaus können Hacker diese erste HTTP-Anforderung abfangen, um sie zu lesen oder zu ändern, bevor sie den Server erreichen. Ein häufiges Ereignis für diese Art von Fällen ist die Durchführung eines Netzwerkangriffs namens SSL-Stripping Dadurch kann der Angreifer eine HTTPS-Verbindung durch eine ungeschützte HTTP-Verbindung ersetzen.

HTTP Strict Transport Security zur Rettung

HTTP Strict-Transportsicherheit or HSTS ist ein Versuch, dieses Problem zu lösen. HSTS wurde von der Internet Engineering Task Force (IETF) in RFC 6797 implementiert und ist ein HTTPS-Header, den Webserver in ihre Antworten aufnehmen können. Dieser Header weist kompatible Browser an, beim Besuch einer Website immer HTTPS zu verwenden. HSTS gilt für alle Anforderungen, einschließlich Bilder, CSS-Stylesheets und anderer Webressourcen.

Wie Sie sich vorstellen können, muss der Browser zuerst sehen den HSTS-Header, um ihn zu berücksichtigen, was bedeutet, dass HSTS darauf angewiesen ist, dass die Angreifer diese erste HTTP-Anforderung nicht abfangen können. Daher ist HSTS an sich keine vollständige Lösung, sondern eine einfache Problemumgehung für das Entfernen von SSL.

HSTS-Vorladung

Glücklicherweise hat das Chromium-Projekt eine von ihnen genannte Lösung gefunden HSTS-VorladungDies besteht darin, eine öffentliche Liste von Websites zu führen, für die HSTS-Vorladefunktionen angefordert wurden. Beim Besuch einer Website konsultieren Chromium-Browser die Liste. Wenn die Site dort gefunden wird, kommunizieren sie unabhängig von der vorherigen Historie oder Benutzereingabe über HTTPS (einschließlich dieser ersten Anforderung) mit ihr.

Infolgedessen kann das Vorladen sowohl die Leistung als auch die Sicherheit Ihrer Website verbessern, indem die anfängliche HTTP-Anforderung entfernt wird. Darüber hinaus kann es indirekt das SERP-Ranking und die Benutzererfahrung Ihrer Website verbessern.

Alle gängigen Browser (Google Chrome, Microsoft IE / Edge, Apple Safari, Mozilla Firefox und Opera) konsultieren auch die HSTS-Vorladeliste von Chromium. Wenn Sie dieser Liste beitreten, erhalten Ihre Besucher die Vorteile des Vorladens, unabhängig davon, welchen Browser sie verwenden.

Wir wären jedoch nicht in der Lage, wenn wir nicht erwähnen würden, dass Bedenken hinsichtlich der Skalierbarkeit der HSTS-Preload-Listenlösung bestehen. Aufgrund der praktischen Größe und der Einschränkungen der Rechenkomplexität können nicht alle Websites im Internet eingeschlossen werden, sodass die Eingabe möglicherweise immer schwieriger wird Mit der Zeit wird das HSTS-Vorladen breiter angewendet.

Wie kann ich mitmachen?

Wenn Sie an der HSTS-Preload-Liste teilnehmen möchten, beachten Sie bitte, dass Ihre Website bestimmten Regeln entsprechen muss. Das Chromium-Projekt hat die Liste der Einreichungsanforderungen für Websites veröffentlicht, die an der Website ihres Projekts teilnehmen möchten. Die Anforderungen sind wörtlich in der folgenden Liste enthalten, weitere Details finden Sie jedoch in HSTS RFC 6797.

Um in die HSTS-Preload-Liste aufgenommen zu werden, muss Ihre Website:

  1. Stellen Sie ein gültiges Zertifikat bereit.
  2. Leiten Sie von HTTP zu HTTPS auf demselben Host um, wenn Sie Port 80 abhören.
  3. Stellen Sie alle Subdomains über HTTPS bereit. Insbesondere müssen Sie HTTPS für das unterstützen www Subdomain, wenn ein DNS-Eintrag für diese Subdomain vorhanden ist.
  4. Stellen Sie einen RFC 6797-kompatiblen HSTS-Header in der Basisdomäne für HTTPS-Anforderungen bereit:
    • Das max-age muss mindestens 31536000 Sekunden (1 Jahr) betragen.
    • Das includeSubDomains Direktive muss angegeben werden.
    • Das preload Direktive muss angegeben werden.
  5. Wenn Sie eine zusätzliche Weiterleitung von Ihrer HTTPS-Site bereitstellen, muss diese Umleitung erfolgen ebenfalls über einen kompatiblen HSTS-Header verfügen (ebenso wie die Seite, auf die umgeleitet wird).

Hier ist ein Beispiel für einen gültigen HSTS-Header.

Strikte Transportsicherheit: maximales Alter = 63072000; includeSubDomains; Vorspannung

Sie können Ihre Website auf ihre Eignung testen, indem Sie die Website der Preload-Liste besuchen und Ihre Domain in das Eingabefeld eingeben. Die dortige Webanwendung zeigt auf, welche Probleme (falls vorhanden) Sie beheben müssen.

HSTS-Preload-Berechtigungstool

Leider erlaubt die Komplexität moderner Websites nicht, eine einheitliche Serverkonfiguration für das HSTS-Vorladen zu erstellen, die in diesen Artikel aufgenommen werden soll. Es kann Laufzeitprobleme mit Drittanbieter- oder anderen benutzerdefinierten Komponenten geben, die individuell behoben werden müssen.

Obwohl das Chromium-Projekt einige Bereitstellungsempfehlungen in die Preload-Website aufgenommen hat, helfen wir unseren Kunden immer gerne dabei, ihre Kommunikationssicherheit zu verbessern. Schreiben Sie uns einfach eine E-Mail an support@ssl.com Ein Experte bespricht gerne den besten Weg für Ihre Sicherheitsanforderungen.

Fazit

HTTPS wird zum Standardprotokoll für die Webkommunikation, und eine vollständige Verpflichtung kann sich nur positiv auf Websitebesitzer und Besucher auswirken. Wir empfehlen, gemischte Inhalte von Ihren Websites zu entfernen, um unnötige Probleme (und unglückliche Benutzer) zu vermeiden.

Wie immer vielen Dank für Ihre Wahl SSL.com, wo wir glauben, dass ein sichereres Internet ein besseres Internet ist.

Update (7. Oktober 2019):  Am 3. Oktober 2019 wurde der Chromium-Blog veröffentlicht angekündigt das wird Chrome sein Sperrung Alle gemischten Inhalte, einschließlich Bilder, Audio und Video, in einer Reihe von Schritten, beginnend mit Chrome 79 (Dezember 2019) und fortlaufend über Chrome 81 Anfang 2020. Dieser Schritt von Google bedeutet, dass es wichtiger denn je ist, gemischte Inhalte aus zu entfernen deine Website.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com