Google wird Websites, die https einsetzen höher bewerten als Websites ohne https. Diese Meldung hat große Auswirkungen und wird das Internet positiv verändern. Damit leistet Google einen wichtigen Beitrag zum technischen Datenschutz.
Der Inhalt im Überblick
Technischer Hintergrund
Mit dem https-Protokoll (HyperText Transfer Protocol Secure) wird die Kommunikation zwischen Webserver und Browser verschlüsselt, sodass die dabei übertragenen Daten nicht mehr im Klartext durch das World Wide Web schwirren. Technisch erfolgt die Verschlüsselung dabei auf der Transportebene, weshalb das Verschlüsselungsprotokoll auch Transport Layer Security (TLS) heißt.
Die Bezeichung „TLS“ hat dabei die bekanntere Bezeichnung SSL (Secure Sockets Layer) inzwischen abgelöst. Beim Aufruf einer Website weist sich der Server gegenüber dem Browser mit einem Zertifikat aus. Anschließend wird automatisch ein gemeinsamer Schlüssel generiert, der die aktuelle Verbindung absichert. Von diesem Zeitpunkt an findet der Datenaustausch zwischen Browser und Server verschlüsselt statt. Die Daten selbst sind dabei jedoch nicht verschlüsselt.
Was bedeutet dieser Schritt?
Google besitzt eine unheimliche Marktmacht. Nicht ganz zu Unrecht mag man daher befürchten, dass diese Macht missbraucht wird. Doch in diesem Fall scheint Google seine Marktmacht zu nutzen, um den Datenschutz aus technischer Sicht weltweit voranzutreiben.
Google wird von über 90 % der Deutschen bei der Suche im Netz genutzt und ist damit die beliebteste Suchmaschine Deutschlands. Für Webmaster ist es von essentieller Bedeutung, dass die eigene Website möglichst weit oben in den Suchergebnissen erscheint. Die Position der Suchergebnisse hängt von Googles geheimen Algorithmus ab. Kriterien sind z. B. Art der Programmierung, Verlinkungen, Seitenladezeit usw..
Nun wird die Umstellung auf https positiv bewertet. Websites mit https werden somit höher positioniert, als vergleichbare Seiten ohne Transportverschlüsselung. Daher werden nun ein Großteil der Webmaster daran interessiert sein ihre Seiten umzustellen. Man kann davon ausgehen, dass in naher Zukunft https endlich Standard wird.
Don´t be evil
Ein Grund für Googles Entscheidung liegt auf der Hand. Google möchte offensichtlich damit seinen Ruf im Bereich Datenschutz aufpolieren und nähert sich so wieder seinem in die Ferne gerückten Slogan „Don´t be evil“. Es sieht so aus, als wolle Google den Nutzern zeigen, dass sie auf deren Seite stehen und versuchen Missbräuche durch Geheimdiensten und Hacker zu erschweren.
Dies wird auch dadurch deutlich, dass Google sechs der neun aktuell beseitigten Bugs in OpenSSL entdeckt hat und bei deren Beseitigung somit aktiv mitgewirkt hat.
Endlich mal gute Nachrichten zu Google in diesem Datenschutz-Blog.
Der 1. Link ist kaputt. Bitte fixen. Danke
Vielen Dank. Ist korrigiert.
Ich finde es gut, dass Google diesen Schritt geht aber ich befürchte, dass es noch eine Weile dauern wird, bis sich HTTPS bei „kleinen Websites“ durchsetzen wird. Grund: die Kosten. Beispiel: Ich betreibe einen Virtual Server Managed bei einem großen, deutschen Webhoster und habe dort mehrere Websites mit verschiedenen Domains. Kostet mich aktuell 240 € pro Jahr. Als Einzelunternehmer (oder Privatperson) kann ich leider kein „Organisation SSL Zertifikat“ (Validierung des Inhabers) bestellen, da ich keinen Handelsregistereintrag habe. Somit kann ich also in meinem Webhosting-Paket nur für 1 Domain ein „Domain SSL Zertifikat“ (nur geprüfte Domain) für 50 € pro Jahr bestellen. Möchte ich meine anderen Domains ebenfalls mit HTTPS absichern, müsste ich entweder ein selbstadministriertes Produkt buchen (Rootserver, Virtual Server) oder pro Domain ein weiteres, vom Webhoster administriertes Webpaket. Ein selbstadministrierter Server kommt für mich nicht in Frage, da ich für die Administration keine Kapazitäten habe und auch kein Serverspezialist bin. Und ein weiteres Webpaket würde mich pro Jahr mindestens 240 € kosten, zzgl. 50 € für ein SSL-Zertifikat. Bei 4 aktiven genutzten Domains wird das ganz schön teuer.
Hallo Herr Pabst,
die Kosten für SSL sind gar nicht so hoch. Sie können für Ihre 4 Domains auch ein SSL Zertifikate für mehrere Domains bestellen. Die weiteren Websites werden als SAN eingetragen und sind ebenfalls verschlüsselt. Google verlangt im übrigen keine Organisations-SSL sondern ein einfaches SSL reicht völlig aus. Sie können auch den billigsten SSL Zertifizier nehmen den Sie finden können solange die Mindestkriterien erfüllt sind.
Dazu fällt mir ein „Alter Wein in neuen Schläuchen“ oder „Wolf im Schafspelz“.
Was hat sich am Geschäftsmodell geändert? Nichts! Google sammelt weiter unsere Daten nun unter dem Deckmäntelchen des Datenschutzes. Ich kann nur jedem raten, um Google einen weiten Bogen zu machen. Es gibt Alternativen. so z.B. QWANT.COM, welche ich seit NSA ausschließlich nur noch nutze. Es hat schon seit Beginn https, der Dienst unterliegt dem europäischen Datenschutzordnung (da in Frankreich ansässig) und über meine Privatsphäre kann ich selber bestimmen, in dem ich das Web-Tracking aktiviere oder auch nicht und persönliche Suchergebnisse mit einem Konto ermögliche oder auch nicht, wenn ich kein Konto anlege. Ich benutze QWANT seit dem Herbst 2013 und muß sagen, ich habe alles gefunden, was ich finden wollte. Nicht mehr aber auch nicht weniger! Ich vermisse Google bis jetzt nicht einen Tag!