Schützen Sie alle Ihre Websites immer mit HTTPS, auch wenn sie keine vertraulichen Daten enthalten. HTTPS bietet nicht nur kritische Sicherheits- und Datenintegrität für Ihre Websites und die personenbezogenen Daten Ihrer Nutzer, sondern ist auch für viele neue Browserfunktionen erforderlich, insbesondere für progressive Web-Apps.
HTTPS schützt die Integrität Ihrer Website
HTTPS verhindert, dass Eindringlinge die Kommunikation zwischen Ihren Websites und den Browsern Ihrer Nutzer manipulieren. Zu den Eindringlingen gehören sowohl absichtlich böswillige Angreifer als auch legitime, aber aufdringliche Unternehmen, z. B. Internetanbieter, die Werbung in Seiten einschleusen.
Eindringlinge missbrauchen ungeschützte Kommunikationen, um Ihre Nutzer dazu zu verleiten, vertrauliche Informationen preiszugeben, Malware zu installieren oder ihre eigenen Ressourcen einzufügen. Einige Drittanbieter fügen beispielsweise Werbung ein, die die Nutzererfahrung beeinträchtigen und zu Sicherheitslücken führen kann.
Angreifer nutzen jede ungeschützte Ressource, die zwischen Ihren Websites und Ihren Nutzern übertragen wird. Bilder, Cookies, Skripts und HTML können ausgenutzt werden. Angriffe können an jedem Punkt im Netzwerk auftreten, z. B. am Computer eines Nutzers, an einem WLAN-Hotspot oder bei einem manipulierten Internetanbieter. HTTPS erschwert es Eindringlingen, Zugriff auf die Ressourcen Ihrer Website zu erhalten.
HTTPS schützt die Privatsphäre und Sicherheit Ihrer Nutzer
HTTPS verhindert, dass Eindringlinge die Kommunikation zwischen Ihren Websites und Ihren Nutzern passiv abhören können.
Ein weitverbreitetes Missverständnis von HTTPS ist, dass HTTPS nur auf Websites erforderlich ist, die vertrauliche Kommunikationen verarbeiten. Tatsächlich kann jede ungeschützte HTTP-Anfrage potenziell Informationen über das Verhalten und die Identität Ihrer Nutzer preisgeben.
Ein einzelner Besuch auf einer Ihrer ungeschützten Websites mag harmlos erscheinen. Einige Eindringlinge sehen sich jedoch die zusammengefassten Browseraktivitäten Ihrer Nutzer an, um Rückschlüsse auf deren Verhalten und Absichten zu ziehen und ihre Identität zu deanonymisieren. So können Mitarbeiter beispielsweise ihren Arbeitgebern unbeabsichtigt sensible Gesundheitszustände allein durch das Lesen ungeschützter medizinischer Artikel offenlegen.
HTTPS ist die Zukunft des Webs
Leistungsstarke neue Webplattformfunktionen wie das Aufnehmen von Bildern oder das Aufzeichnen von Audioinhalten mit getUserMedia(), das Aktivieren von Offline-Apps mit Service Workern oder das Erstellen von progressiven Web-Apps erfordern eine ausdrückliche Genehmigung des Nutzers über HTTPS. Viele ältere APIs werden ebenfalls aktualisiert, sodass eine Berechtigung zum Ausführen erforderlich ist, z. B. die Geolocation API. HTTPS ist eine wichtige Komponente der Berechtigungsworkflows für neue und aktualisierte Funktionen.