Let's Encrypt my Drupal-World

Die Verschlüsselung von Webseiten wird - in Zeiten von Sicherheitslücken - immer wichtiger. Drupal ist ein umfangreiches Framework, mit dem verschiedene Anwendungen umgesetzt werden können. So kann beispielsweise das Abgreifen persönlicher Daten auf dem Transportweg zwischen Server und Client durch Dritte mithilfe dieser Anwendungen verhindert werden. Die mächtige Benutzerverwaltung, aber auch andere Bereiche einer Drupal-Instanz, sollten daher mit einer Verschlüsselung geschützt werden. Dies betrifft natürlich nicht nur Drupal, sondern auch andere CMS-Systeme.

Jedem Betreiber einer Webseite sollte die Sicherheit des eigenen Projektes am Herzen liegen. Generell ist eine verschlüsselte Datenübertragung sehr sinnvoll, egal um welche Seitengröße es sich handelt.

An dieser Stelle kommt HTTPS ins Spiel.

HTTPS ist inzwischen über 20 Jahre alt und wurde 1994 der Welt präsentiert. Die Datenübertragung erfolgt dabei nicht wie üblich über Port 80, sondern über den Port 443, der eigens für HTTPS reserviert wurde.

Der Webserver authentifiziert und verschlüsselt dabei Daten, die zwischen Client und Webserver übertragen werden. Selbst wenn es jemandem mit einem Man-in-the-Middle-Angriff gelingt, die Daten abzugreifen, sind diese verschlüsselt und können nicht manipuliert werden.

Eine hundertprozentig sichere Webseite gibt es bedauerlicherweise nicht. Es ist jedoch möglich, die derzeitigen technischen Möglichkeiten auszuschöpfen, um eine mögliche Manipulation der Seite durch Dritte zu erschweren.

Nicht zuletzt ist eine über SSL gesicherte Webseite ein Indikator für ein gepflegtes und professionelles Projekt.

Des Weiteren ist eine SSL gesicherte Webseite ein Rankingfaktor bei Google, wie es bereits im August 2014 im Google-Blog verkündet wurde. Bisher war ein SSL-Zertifikat eine kostspielige Sache, besonders wenn mehrere Projekte betrieben werden.

Die Lösung: Let's Encrypt

Passenderweise bietet Let’s Encrypt kostenlose, signierte SSL-Zertifikate für jedermann an. Im Oktober 2015 wurde Let’s Encrypt als vertrauenswürdig von IdenTrust eingestuft. Let’s Encrypt setzt sich als Ziel, jede Webseite verschlüsselt auszuliefern und dies zum Nulltarif.

Bisher nutzen lediglich 27% aller Webseiten derzeit via HTTPS gesicherte Verbindungen (laut HTTP Archive, Stand: April 2016). Wenn es nach dem Team von Let's Encrypt geht, soll sich dies ändern.

Eine Million SSL-Zertifikate wurden im März 2016 von Let’s Encrypt ausgestellt. Ende September sind es schon 10 Millionen SSL-Zertifikate, welche durch Let's Encrypt erstellt wurden. Der Bedarf ist sehr groß, das Angebot vorhanden, jetzt muss man sich nur noch darum kümmern.

Die Schattenseiten von HTTPS

Eine Webseite, die über HTTPS übertragen wird, hat aber auch einige Nachteile. Eine mit SSL verschlüsselte Webseite ist allgemein auf älteren Tablets und PCs langsamer. In der Regel liegt dies nicht an der Webseite oder dem Server selbst, sondern an dem HTTPS-Protokoll als solchem. Besserung verspricht das HTTP/2-Protokoll, welches maßgeblich von Google und Microsoft vorangetrieben wird.

Ein weiterer Nachteil von HTTPS ist die Verschlüsselung an sich. Obwohl sie den Besucher vor Angriffen schützen soll, kann sie auch zum Verhängnis werden. Vollverschlüsselte Webseiten können ein Sicherheitsrisiko werden, wenn die Verbindung doch durch Dritte kompromittiert wurde. Virenscanner können bei einer gehackten Webseite die Integrität der Daten nicht prüfen. Dadurch könnten sich Besucher einer Webseite doch mit einem Virus infizieren.

Insgesamt überwiegen die zahlreichen Vorteile von verschlüsselten Seiten jedoch die Nachteile einer nicht verschlüsselten Seite.

Zur Installation

Nutzer eines Shared-Hosting-Paketes müssen sich an den eigenen Hoster wenden. In der Regel kann der Hoster entscheiden, ob er die Installation von Let’s Encrypt erlaubt oder nicht. Das Team von Let's Encrypt arbeitet jedoch an einer eigenen Lösung für dieses Problem.

Die Installation von Let’s Encrypt ist genauso kinderleicht wie die Installation von Drupal. Weitere Informationen zur Installation können der ausgezeichneten Dokumentation entnommen werden.

Bildnachweis:(https://letsencrypt.org/images/letsencrypt-logo-horizontal.svg)

Andreas Votteler
  • Account-Manager

Andreas sorgt als Account Manager mit Kompetenz und viel Geduld dafür, dass alle unsere Kunden sich bei uns rundum gut betreut fühlen. Bevor er zu undpaul kam, hatte er schon über acht Jahre als Freelancer im Webbereich gearbeitet. In seiner Freizeit hört er neben Electro, Punk und Soul auch klassische Musik oder macht auf seinem Hardtail (er sagt, das sei ein Fahrrad) den Harz unsicher.