Cyberkriminalität, SSL-Zertifikat und SEO

Das SSL Zertifikat garantiert die Sicherheit von Websites, ist aber nicht die einzige Konfiguration, um sich gegen Datenklau zu schützen. Im digitalen Zeitalter sind Cyberkriminalität und Datenschutz zentrale Themen für Unternehmen und Webseitenbetreiber. Die Sicherheit einer Website ist nicht nur entscheidend für den Schutz sensibler Daten, sondern hat auch einen direkten Einfluss auf das Suchmaschinenranking. Dieser Blogartikel beleuchtet wichtige Sicherheitsaspekte von Websites, einschließlich der Installation und Verwaltung von SSL-Zertifikaten (SSL - Secure Sockets Layer), sowie weiteren Sicherheitseinstellungen wie Cross-Origin Links, HSTS Header, Content Security Policy Header und Secure Referrer Policy Header.

Bedeutung und Bugs durch fehlerhafte Installationen von SSL-Zertifikaten

‍
SSL-Zertifikate sind unerlässlich, um die Kommunikation zwischen Benutzer und Website zu verschlüsseln. Doch Fehler bei der Installation können Sicherheitslücken schaffen. Die daraus resultierenden Probleme können sein:

• Falsche Konfiguration: Die Zertifikate können nicht korrekt installiert oder konfiguriert sein, was zu Warnungen im Browser führt.
• Abgelaufene Zertifikate: Wenn Zertifikate nicht rechtzeitig erneuert werden, können Benutzer Warnungen über unsichere Verbindungen erhalten.
• Fehlende Zertifikatskette: Das SSL-Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammen und eine vollständige Zertifikatskette beinhalten.

Weitere Sicherheitseinstellungen für Websites

Nicht nur das SSL Zertifikat sorgt für den sicheren Datentransfer. Es gibt noch eine Reihe von anderen Settings, die essenziell für die Website-Sicherheit sind.

Cross-Origin Links  

Cross-Origin  Resource Sharing (CORS) ermöglicht es Webanwendungen, Ressourcen von einer  anderen Domäne anzufordern. Unsichere Cross-Origin Links können jedoch  Sicherheitsrisiken darstellen, indem sie Cross-Site Scripting (XSS) oder  Cross-Site Request Forgery (CSRF) ermöglichen.

Funktionsweise

• Ermöglichen Laden von Ressourcen von anderen Domains
• Definiert durch CORS-Header, welche Domains Zugriff auf Ressourcen

SEO Relevanz

• Unsichere  Cross-Origin Links verursachen Sicherheitslücken    
• NegativerEinfluss auf Ladezeiten

‍

HTTP Strict Transport Security Header

HSTS zwingt Browser, nur über HTTPS auf eine Website zuzugreifen. Fehlerhafte HSTS Header können jedoch:

Inkompatibilitäten verursachen: Einige ältere Browser unterstützen HSTS nicht vollständig.

Schutzlücken eröffnen: Ein fehlender oder falsch konfigurierter HSTS Header kann es Angreifern ermöglichen, Man-in-the-Middle-Angriffe durchzuführen.

Funktionsweise

• HSTS Header  weisen den Browser an, nur sichere HTTPS-Verbindungen zu akzeptieren  
• HTTP-Verbindungen  werden automatisch auf HTTPS umgeleitet.
• Schutz vor  Downgrade-Angriffen und Cookie-Diebstahl

SEO Relevanz

• Optimal konfigurierte HSTS Header verbessern die Sicherheit und UX
• Suchmaschinen bevorzugen Websites mit HSTS unterstützt

‍

Content Security Policy Header

CSP ist eine Sicherheitsmaßnahme, die das Laden unsicherer Skripte oder Ressourcen auf einer Website verhindert. Eine fehlerhafte Konfiguration kann jedoch legitime Inhalte blockieren oder Sicherheitslücken nicht ausreichend abdecken.

Funktionsweise

• Definiert Richtlinien für das Laden von Skripten, Styles und anderen Ressourcen.
• Bestimmt vertrauenswürdige Quellen, von denen Ressourcen geladen werden dürfen.
• Verhindert XSS-Angriffe

SEO Relevanz

• Effektive CSP minimiert Sicherheitsrisiken
• Steigert Nutzervertrauen
• Websites mit CSP ranken in Suchmaschinen besser.

‍

Secure Referrer Policy Header

Der Referrer Policy Header steuert, welche Informationen beim Verweisen auf eine andere Seite gesendet werden. Eine strenge Referrer-Policy kann die Weitergabe sensibler Daten verhindern, während eine zu lockere Policy Informationen preisgeben könnte, die für Angreifer nützlich sind.

Funktionsweise

• Die Referrer Policy steuert, welche Referrer-Informationen übermittelt werden.
• Strenge Policies unterbinden das Weiterleiten von sensiblen Daten.

SEO Relevanz

• Vertrauliche Informationen können nicht weitergeleitet werden.
• Suchmaschinen bewerten Secure Referrer Policy Header tendenziell positiv.

Folgen fehlerhafter oder abgelaufener SSL-Zertifikate

Websiten mit abgelaufenen SSL-Zertifikaten werden von 90 Prozent der User nicht mehr über Organic Search aufgerufen. Der Grund für dieses Verhalten ist ein Alert-Hinweis in den Suchmaschinen. Zudem zeigt die Search Bar im Browser ebenfalls eine Warnmeldung. Gute Gründe, die Website nicht zu besuchen. Der negative SEO Effekt: Traffic Einbruch und ausbleibende User Signale in Richtung der Suchmaschinen. Damit werden die URLs seltener oder gar nicht mehr gerankt. Eine fehlende oder fehlerhafte SSL-Verschlüsselung führt zu einer indirekten SEO-Abstrafungen, denn sie zieht schlechtere Platzierung in den SERPs nach sich.

‍
Durch unverschlüsselte Verbindungen können von Angreifer persönliche Daten abgefangen, was zu Datenverlust oder -diebstahl führen kann. Damit könnte ein fehlerhaftes SSL-Zertikiat zu einer Datenschutzverletzungen beitragen. Nicht nur das Ranking sinkt. Fehlerhafte SSL-Zertifikate können juristische Konsequenzen haben. Ein bekanntes Beispiel ist der Fall der Symantec-Zertifizierungsstelle im Jahr 2015. Symantec stellte unautorisierte Zertifikate für Domains von Google aus. Damit ging ein erheblicher Vertrauensverlust einher. Das Unternehmen wurde in letzter Konsequenz aus den Browser-Trust-Stores von Google, Mozilla, Apple und Microsoft entfernt.

Ein weiteres Beispiel ist der Fall der französischen Zertifizierungsstelle Certinomis. Aufgrund wiederholter Verstöße gegen Zertifikatsvalidierungsregeln von Mozilla nicht mehr vertraut wurde.

SSL Zertifikate prüfen

Websitebetreiber haben verschiedene Möglichkeiten, die Sicherheit und korrekte Installation ihres SSL-Zertifikats zu prüfen:

1. Online SSL Checker: Dienste wie SSL Labs (Qualys SSL Labs) bieten umfassende SSL-Tests, die Informationen über die Zertifikatskette, die Konfiguration und mögliche Sicherheitslücken liefern.
2. Browser-Inspektion: In modernen Browsern können Betreiber die Zertifikatsdetails anzeigen, indem sie auf das Schlosssymbol in der Adressleiste klicken.
3. Automatisierte Überwachung: Tools wie Let's Encrypt bieten automatische Erneuerung und Überprüfung von SSL-Zertifikaten.
4. Server-Konfigurationsprüfung: Überprüfen Sie die Webserver-Konfiguration, um sicherzustellen, dass die Zertifikate korrekt installiert und alle Sicherheitsstandards eingehalten werden.

Diese Methoden helfen dabei, die Integrität und Sicherheit der SSL-Zertifikate sicherzustellen. In jedem SEO Onsite Audit klären wir bei unseren Kundenwebsites ab, ob das SSL Zertifikat reibungslos funktioniert. Denn zu aller erst zeigen unsere SEO Reportings, wenn Traffic plötzlich sinkt und die SEO Tools Alarm schlagen.

Zu unserem SEO Service gehört es immer, dass wir bei der Auswahl des SSL Zertifikat-Typs beraten. Denn diese Entscheidung hat Relevanz für die Wirksamkeit der SEO Strategie.

‍

Fazit

Die Sicherheit von Websites spielt eine entscheidende Rolle für den Schutz von Benutzerdaten und hat zudem einen direkten Einfluss auf das SEO-Ranking. Eine sorgfältige Implementierung von SSL-Zertifikaten, HSTS, CSP und Referrer Policy Headern kann dazu beitragen, die Sicherheit zu erhöhen und die Sichtbarkeit in Suchmaschinen zu verbessern. Webseitenbetreiber sollten daher regelmäßig Sicherheitsüberprüfungen durchführen und sicherstellen, dass alle Sicherheitsmaßnahmen korrekt implementiert und aktuell sind.

Autor: f.baer

‍