Ich vermisse die kritische Seite der Sache: was wäre bei verschiedenen Browsern zu tun, wenn jemand nicht automatisch alle http-Seiten ausgefiltert haben will, sowohl jetzt als auch nach Oktober. Viele gute Informationsseiten, die nichts verkaufen und keine interaktiven Inhalte haben, sind nicht automatisch unsicher bei http, und https bringt da wenig, außer Verlangsamung.
Auch von der Sicht solcher Webseitenersteller ist es oft wichtiger, für entsprechende inhaltliche Interessenten erreichbar zu sein, statt nur für solche, die nur für neuere Geräte, Systeme, Browser, Verbindungen funktionieren. Für diesen Gesichtspunkt ist es egal, wie wir als einigermaßen Sachkundige über die Unsicherheit älterer Browser denken.
So vorzugehen, wie einige Browser das vorhaben, ist nutzerfeindlich, man sollte das den Browsereinstellungen durch die Nutzer überlassen.
Hallo bewusst,
Sie haben vollkommen Recht, nicht alle Webseiten ohne http-Verbindung sind Betrugsseiten oder andersartig gefährlich – und sicher sind auch viele mit sehr interessanten Inhalten darunter.
Auch im zweiten Punkt haben Sie Recht: Die Betreiber von Webseiten mit http-Verbindung werden darunter leiden. Das tun sie jetzt schon, denn Google zeigt solche Webseiten nicht mehr auf den ersten Seiten, sondern erst weit hinten oder überhaupt nicht mehr an.
Daher kann ich nur jedem Webseiten-Betreiber raten, seine Webseite auf https umzustellen und auch mobile Geräte wie Smartphones und Tablets zu berücksichtigen. Die Anzahl der Besucher wird sonst in den nächsten Monaten stark abnehmen. Selbst die besten Inhalte werden dann nicht mehr gelesen, weil sie nicht gefunden werden, weil vor ihnen gewarnt wird oder sie gesperrt werden.
Das Aktualisieren der Webseiten ist für private Anbieter, Vereine und kleinere Firmen nicht einfach, denn es kostet Zeit und auch mindestens das Geld für ein Zertifikat (ca. 70 € pro Jahr). Ich verstehe das sehr gut, aber dennoch kann ich nur raten, die Webseiten zu aktualisieren, auch optisch. Wie heißt es so schön: „Das Auge isst mit.“ Eine Webseite, die heute noch so wie in den Anfängen des Internets aussieht, wird von aktuellen Browsern nicht optimal wieder gegeben und viele Besucher werden sie auch schnell wieder verlassen.
Durch die Umstellung auf zum Beispiel das kostenlose WordPress (siehe https://de.wordpress.com/) und mit einer geeigneten (meist auch kostenlosen) Vorlage, lassen sich professionell aussehende Webseiten mit wenig Zeitaufwand und Null Kosten erstellen. Natürlich erfordert das eine Einarbeitung und alle Texte und Bilder müssen in das neue Layout übertragen werden, aber es ist machbar.
Als Nutzer können Sie derzeit noch alle Webseiten erreichen, sie müssen nichts tun. Es erfolgt zwar eine Warnung, aber Sie können die Webseiten aufrufen. Das wird sich nach Oktober ändern. Ob sich die http-Blockade dann abschalten lässt, ist derzeit noch nicht klar. Derzeit kann ich die Versionen von Oktober noch nicht als Testversion installieren, um das auszuprobieren. Sollte es Möglichkeiten geben, um die http-Blockade abzuschalten, werde ich darüber im PC-Sicherheitsberater und Windows-Handbuch berichten. Gibt es diese nicht, können Sie einen anderen Browser verwenden oder eine ältere Browser-Version (Achtung, Sicherheitsrisiko durch Sicherheitslücken).
Im Artikel „Schluss mit unsicheren Webseiten“ geht es um die Sicherheit. Aus Sicherheitssicht ist es gut, wenn sich Webseiten über ein Zertifikat ausweisen, das erschwert den Betrug mit nachgemachten Webseiten und das Auslesen von Benutzereingaben. Das dadurch vermutlich Millionen älterer Webseiten aus dem Internet verschwinden werden, ist ein Begleiteffekt, den man durchaus mit einer Träne im Auge betrachten kann. Ganz verschwinden werden sie aber nicht, es wird immer noch eine Kopie im Archiv Wayback Machine geben: https://archive.org/
Schauen Sie mal rein, hier sehen Sie wie aktuelle Webseiten vor 5, 10, 15 oder noch mehr Jahren ausgesehen haben. Es ist wirklich interessant, wie sich das Internet entwickelt hat.
Viele Grüße
Michael-Alexander Beisecker
Chefredakteur Ihr PC-Sicherheits-Berater
Ich habe nun Webseiten kunstgerecht auf https umgestellt – Anbieterseitig und durch die Datei .htaccess. Das erste Ergebnis in den ersten Tagen ist leider umgekehrt: ein massiver Abfall an Seitenbesuchern. Die Besucher haben eben auch lt. Webstatistil des Anbieters zu ca. 6% ältere Internet Explorer, die meiner Erfahrung nach https oder jedenfalls strengstes https nicht vertragen, sondern dann irgendeine irreführende Fehlermeldung bringen; weiter andere nicht zuordenbare Browser; ebenfalls haben ca. 8% Windows XP usw. Was sonst die Ursache sein könnte weiß ich nicht.
Mag sein, dass sich das wieder bessert, wenn die Seite durch die Suchmaschinen wegen https aufgewertet wird. Auch das würde aber nichts daran ändern, dass eine für mich relevante Anzahl von Leuten, wahrscheinlich hauptächlich Älteren, jetzt Schwierigkeiten haben, die sie vorher nicht hatten, ZUgang zu den Seiten zu finden.
Lt. Prüfung durch den Anbieter bringt es inzwischen auch nichts mehr, zu versuchen, nur Anbieterseitig umzustellen. Dann können zwar manche Browser wählen, ob sie http oder https aufrufen, aber die modernen Browser bringen trotzdem Warnmeldungen, Also ging es nur so, mit der eingefügten htaccess-Datei. Da gibt es zwar keine Warnmeldungen, aber wie erwähnt, andere Probleme.
Ich habe vergeblich versucht, herauszufinden, ob es – was sehr aktuell und zweckmäßig wäre – auch für https-Fehler /SSL-Fehler einen speziellen Code für die htaccess-Datei gibt, die es ermöglicht, eine eigene error-soundsoviel-Datei zu verwenden, die Angaben des Servers (oder/und des Browsers ?) zu überschreiben — also so, wie es möglich ist bei error 404 für nicht gefundene Seiten zumindest zum Überschreiben der Servermeldung (siehe unten).
WEnn es so etwas tatsächlich nicht gäbe (?), müsste es wohl erfunden werden. Dann könnte dort auf eine Domain verwiesen werden, die sicherheitsmäßig harmlose Zusammenstellungen reiner Informationsseiten in http für ältere Browser liefert. (Das dürften dann nicht genau dieselben Seiten sein, wie sie auf der https-Domain vorkommen, damit es nicht etwa auch wieder benachteiligt wird bei Suchmaschinen).
Hier der nach Angaben des Anbieters erstellte inhalt der .htaccess-Datei für die normalen (Nicht-https-)Fehler und zur Umstellung auf https. Https als solche funktioniert jetzt, wenn ich selbst die Seiten aufrufe.
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule (.*) /error404.html
ErrorDocument 404 /error404.html
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
Mit freundlichen Grüßen,