verschlüsselt

In eigener Sache: teltarif testet https-Verschlüsselung

Wir führen schrittweise die https-Verschlüsselung für unsere Seiten ein und freuen uns auf Euer Feedback. mobil.teltarif.de ist als erstes per https sicher erreichbar.
Von Falko Hansen
AAA
Teilen

Sicherheit wird im Internet immer wichtiger. Beim Aufruf von HTML-Seiten hat sich hierfür seit langer Zeit der https-Standard etabliert, durch den die Inhalte einer Seite verschlüsselt übertragen werden. Dadurch ist der Inhalt - anders als bei http - nicht von jedem Internetknoten, über den die Seite zum Abrufenden transportiert wird, einsehbar. Anfangs wurde https vor allem für online-Banking-Seiten und vergleichbare, hochsensible Inhalte eingeführt. Inzwischen haben auch viele online-Shops auf https umgestellt. Beim reinen Informationsabruf, wie bei einem Nachrichtenportal wie teltarif.de, ist die Gefahr des Mitlauschens Dritter eigentlich nicht so hoch, wie bei den anderen genannten Anwendungen, daher ist bei Nachrichtenseiten derzeit noch http üblich. Aber auch hier geht der Trend klar in Richtung Verschlüsselung.

teltarif will sich diesem Trend nicht verschließen und arbeitet daher seit einer Weile an der Bereitstellung seiner Inhalte per https-Verschlüsselung. Ganz besonders wichtig ist die verschlüsselte Kommunikation natürlich, wenn persönliche Daten ausgetauscht werden, wie zum Beispiel bei der Nutzung der Funktion "Artikel per E-Mail weiterleiten". Aber auch beim reinen Lesen von Meldungen von teltarif werdet Ihr künftig davon profitieren, dass nur noch die IP unseres Servers unverschlüsselt sichtbar ist. Welche Seiten Ihr aufruft, wird dann nur noch verschlüsselt übertragen, und ist somit nicht mehr öffentlich sichtbar, z.B. für Euren Provider oder im Falle von öffentlichen W-LANs auch für andere User, die beim selben Access Point angemeldet sind. Die normale http-Kommunikation ist dabei mit einer Postkarte vergleichbar, die per https mit einem versiegelten Briefumschlag.

Die https-Einführung erfolgt bewusst in mehreren, kleinen Schritten, da zahlreiche Umstände zu beachten sind: Serverlast, Kompatibilität mit allen derzeit von teltarif-Usern genutzten Clients, oder das Verhalten von Suchmaschinen wie Google und Bing. Im ersten Schritt haben wir daher unsere mobile Seite unter https://mobil.teltarif.de parallel zur bestehenden, ungesicherten Seite (wie bisher unter http://mobil.teltarif.de verfügbar) für jedermann zum Abruf per https freigeschaltet. Die URLs bleiben die gleichen, nur am Anfang wird das Protokoll http: durch https: ersetzt.

Warum zuerst die mobile Seite?

https VerschlüsselungDas grüne Schlosssymbol zeigt sichere Verschlüsselung an Wir haben uns entschieden, den öffentlichen Test mit der mobilen Seite zu beginnen, da diese (noch) nicht ganz so viele Inhalte hat und auch weniger Aufrufe verzeichnet als die klassische Webseite. So haben wir die Möglichkeit, die daraus resultierenden technischen Änderungen besser zu überwachen und eventuell auftretende Fehler besser analysieren zu können. Sollte es durch den https-Parallelbetrieb gar zu einem Ausfall kommen, wären auch weniger Nutzer betroffen als bei der Desktop-Seite.

Die https-Umstellung verlangte von uns übrigens mehr, als einfach nur die Server-Konfiguration zu erweitern. Schließlich enthalten unsere Seiten auch Inhalte von Dritten, insbesondere unseren Werbepartnern. Und die mussten wir davon überzeugen, ebenfalls https bereitzustellen. Das war zwar in der Regel bereits der Fall, bei einigen externen Ad-Servern unserer Werbepartner gab es aber noch Fehler, zum Beispiel, dass Zählpixel noch per unsicherem http abgerufen wurden. Ist nur ein einziges Element auf einer https-Seite per http eingebunden, zeigen die Browser statt des grünen Schlosssymbols ein zerbrochenes Schloss an.

Inzwischen konnten wir bei unseren internen Tests aber keine Probleme mehr feststellen, so dass wir nun Euch, unsere Leser bitten möchten, uns bei diesem Test zu unterstützen und uns Feedback zu geben. Wenn Ihr den Aufruf von https://mobil.teltarif.de ausprobiert, gebt uns bitte Feedback, ob alles wie gewohnt funktioniert, oder ob irgendetwas nicht rund läuft. Schreibt uns insbesondere bitte, ob die Seite ähnlich schnell geladen wurde wie bisher, oder ob Ihr Verzögerungen bemerkt habt. Auch bei anderen Problemen und Fehlern versucht bitte, diese so genau wie möglich zu beschreiben oder auch per Screenshot zu dokumentieren. Bitte gebt uns aber auch ein kurzes Feedback, falls auch nach einiger Zeit keine Probleme aufgetreten sind und alles wie gewohnt funktioniert. Je mehr wir von Euch hören, um so schneller können wir die weiteren Schritte angehen!

So geht es weiter

Im nächsten Schritt wollen wir auch unsere WWW-Version per https für Euch zum Test zur Verfügung stellen. Je nach Feedback, das wir erhalten, planen wir diesen Schritt derzeit in ca. drei bis vier Wochen. Für den weiteren Weg wollen wir noch keinen konkreten Zeitplan festlegen, diesen aber schon einmal grob skizzieren: Nach der manuellen Auswahl wollen wir anfangen, die Seite an Browser, die den entsprechenden Wunsch äußern (z.B. per https-Everywhere-extension), nur noch verschlüsselte Seiten abzurufen, automatisch auf die https-Seiten weiterleiten. Ebenso werden wir zu diesem Zeitpunkt sensible Funktionen (z.B. Forums-Login oder Artikel als E-Mail weiterleiten) auf https umstellen. Sollte das alles gut klappen, folgt der letzte Schritt: Alle Seitenaufrufe werden von http auf die verschlüsselte https-Variante umgeleitet.

Wir möchten uns jetzt schon für Eure Unterstützung bedanken und hoffen auf eine reibungslose und somit auch schnelle Umsetzung unseres Ziels.

Teilen

Mehr zum Thema Sicherheit