Nach der Ankündigung in der Search Console (den Google Webmastertools), dass demnächst Chrome-Browser vor nicht sicheren Feldern in Formularen warnen, kommen sicher einige auf die Idee, ihre Website komplett auf https laufen zu lassen. Sobald das SSL-Zertifikat für die eigene Domain implementiert ist, erfolgt die eigentlich Umstellung, das heißt Änderungen der Konfiguration, sodass z. B. das CMS weiß, dass es nun das https-Protokoll nutzen kann.
Über diese Umstellung gibt es auch schon einige Artikel. Selbstverständlichkeiten sind z. B. diese:
Steigt man tiefer in die Thematik ein, stößt man auf einige versteckte Fehlerquellen:
- Der Pfad zur sitemap.xml wird zwar auch mit korrekter 301-Umleitung gefunden und ist aufrufbar, manche Webmastertools (auf jeden Fall Bing) berichten hier dennoch einen Fehler 500.
- Die sitemap.xml sollte ab Umstellung natürlich alle URL mit https beinhalten (man vergisst das gerne)
- Wurde über eine Regel in der htaccess-Datei eine Umleitung (Statuscode 301) wegen eines Umzugs von einer anderen Domain auf die neue Seite definiert, wird bei jeder Nutzung dieser Umleitung diese Regel aufgerufen. So kann die Zahl der Umleitungen gerade bei vielen URL zu ungewollt stark anwachsen. Um Weiterleitungsketten und Crawling-Budget zu sparen, sollten die Umleitungen irgendwann durch den direkten URL-Aufruf beginnend mit https:// ersetzt werden.
Die Umstellung auf https ist ein Teil eines kompletten Domain-Umzugs - ein wirklich bedeutsamer Bereich der technischen Suchmaschinenoptimierung.
Relevante Links zu Zertifikaten und Authentizität im Netz
Wie toll und nützlich Passwortverwaltungssoftware ist, steht an vielen Stellen im Internet. Wer sie nicht nutzt, braucht ein gutes Gedächtnis. Ich gehe nicht davon aus, dass es heute ernst meinende Akteure in der Digitalbranche gibt, die mit weniger als 10 unterschiedlichen Passwörtern auskommen ;-) .
Die meisten Produkte bieten eine Integration in Browser an, damit man ganz praktisch und schnell Passwörter auf die entsprechende Website hineinkopiert bekommt, am besten automatisch, schon direkt nach Aufrufen der Website. Das ist nicht nur riskant, sondern stellt nach unserer Auffassung das Prinzip einer solchen Software, unabhängig und sicher auf allen Geräten sichere Passwörter bereit zu haben, infrage.
Es ist ein bisschen so, als würde man seinen Autoschlüssel unter dem Kotflügel auf dem Reifen platzieren. Schließlich kann so eine Sicherheitslücke es Angreifern ermöglichen, unerlaubt Zugriff auf den eigenen Rechner zu bekommen. Aus dem Verlauf des Browsers (Chrome, Firefox Strg+h, Opera Strg+Umschalt+h) kann er gezielt die relevanten (z. B. häufig besuchten) Websites aufrufen – die Passwörter stehen je nach Software schon in den jeweiligen Feldern. So macht Surfen Spaß! – Aber eben vor allem dem Trittbrettfahrer, der somit nebenbei einen Identitätsdiebstahl einleiten kann.
Passwörter zur Administrationsebene (von der aus sich weitere persönliche Zugänge erstellen lassen) gehören unserer Erfahrung nach in einen separaten, besonders gesicherten Passwortverwaltungsbereich, schließlich ist der Universalschlüssel einer Schließanlage auch nur wenigen Menschen zugänglich und sollte protokolliert werden.