Datenschutz

Vorteil durch Verschlüsselung: Google berücksichtigt HTTPS in seinen Suchergebnissen

Webseiten, die HTTPS-Verbindungen anbieten, werden in den Suchergebnissen von Google höher gerankt. Dass hat der Internet-Konzern letzte Woche offiziell bekanntgegeben. Google will mit dieser Maßnahme Webseitenbetreiber dazu motivieren, TLS-verschlüsselte Verbindungen zu ihren Servern zu ermöglichen. Dadurch würden Daten sowohl Ende-zu-Ende-verschlüsselt zwischen dem Client des Nutzers und dem Webserver übertragen und eine Authentifizierung durch Zertifikate möglich. Noch sei die Gewichtung des Faktors gegenüber anderen wie der inhaltlichen Qualität von Seiten gering und beeinflusse nicht einmal 1% der Suchanfragen, man behält sich jedoch einen zukünftig stärkeren Einfluss vor.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Bisher läuft nur ein kleiner des Internetverkehrs über TLS-Verbindungen. Das kanadische Netzwerk-Unternehmen sandvine berichtete 2014 von einem TLS-Anteil am Gesamtinternetverkehr von 6,1% in Europa – zählt jedoch Dienste nicht dazu, die auch unverschlüsselte Verbindungen erlauben.

Und da TLS nicht gleich TLS ist und die Wahl der Parameter über die Sicherheit des Verfahrens entscheidet – man erinnere sich an den Heartbleed-Bug, der für eine weit klaffende Sicherheitslücke sorgte oder die immer noch weite Verbreitung des unsicheren Hash-Algorithmus SHA-1 zum Signieren der Zertifikate – gibt Google Tipps für die Einstellungen mit. Auch wenn die zum Teil, etwa bei der Empfehlung, das Crawlen der Seite nicht zu blockieren, nicht ganz uneigennützig sind. Ebenso wird ein Testtool verlinkt, um die Sicherheit der eigenen Seite zu testen. Wir haben ein „A-“ bekommen und noch Aufholbedarf bei der Unterstützung von Perfect Forward Secrecy:

qualsys_ssl

Man kann davon ausgehen, dass durch die Marktmacht von Google tatsächlich ein Effekt eintreten wird, denn das Ranking der eigenen Seite in den Suchergebnissen stellt einen wesentlichen wirtschaftlichen Faktor für Unternehmen dar. Was aber auch sichtbar wird, ist die Komplexität und Undurchschaubarkeit der verschiedenen kombinierten RankingAlgorithmen, die bestimmen, an welcher Stelle ein Suchergebnis auftaucht und  die nicht nur zum inhaltlichen Vorteil des Nutzers konfiguriert sein müssen. Über 200 Faktoren bestimmen die Platzierung und für die Suchmaschinenoptimierung wird fieberhaft versucht diese Faktoren und ihre Relevanz herauszufinden. Ein jährlicher Bericht des Marketing-Unternehmens moz hat als einflussreichste Faktoren unter anderem die Aktualität der Inhalte, das Alter der Seite, die Einzigartigkeit des Inhalts und die Übereinstimmung mit den Suchbegriffen ermittelt.

Weitersagen und Unterstützen. Danke!
13 Kommentare
  1. jetzt müssen sie ja nur noch die verschlüsselung ihrer eigenen server richtig hinbekommen. tls ist ja schön und gut, aber wenn das youtube video nur per TLS_RSA_WITH_RC4_128_SHA (0x5) oder
    TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) ist das auch nix. wenn man bei mozilla rc4 ausgeschaltet hat bekommt man nur noch nen schwarzen bildschirm samt nixsagender fehlermeldung.

    TLS_RSA_WITH_RC4_128_SHA gilt dank RC4 als gebrochen.
    TLS_RSA_WITH_AES_128_GCM_SHA256 hat nicht den einzug in TLS 1.3 geschafft hat und wird/wurde dementsprechend von wenigen browsern implementiert.

    https://www.ssllabs.com/ssltest/analyze.html?d=r4%2d%2d%2dsn%2dqu5b%2dq0nl.googlevideo.com

    1. Firefox z.B. hat auch nicht vor TLS_RSA_WITH_AES_128_GCM_SHA256 zu unterstützen. Die sehen YouTube in der Pflicht PFS-Ciphers nachzurüsten. Ist auch richtig so! Steigen zwar für YouTube die Server-Kosten, aber wäre ja nicht so, dass Google sich das nicht leisten könnte…
      https://bugzilla.mozilla.org/show_bug.cgi?id=1029179

      Des weiteren sehe ich Google in der Pflicht auch endlich mal das SSL-Chaos bei Android zu lösen und dazu u.a. auch älteren Smartphone-Modellen ein Update zur Verfügung zu stellen.
      https://op-co.de/blog/posts/android_ssl_downgrade/

  2. Wenn Ihr bei der Crypto etwas nachbessern wollt schaut mal bei dem Bettercrypto-Projekt vorbei (https://bettercrypto.org/). Hier wird für diverse Software gut dokumentiert, wie man seine Server optimal konfiguriert.

    Wer keine Zeit hat sich selbst in das ganze SSL-Thema einzulesen, ist hiermit sehr gut beraten.

  3. Wenn ich das richtig sehe, benutzt aber auch netzpolitik.org noch SHA1.
    Es ist ja völlig richtig es zu kritisieren, wenn andere unsichere Hash-Algorithmen verwenden, aber es wäre natürlich auch toll es dann selbst besser zu machen…

  4. @ Anna

    Hast du wirklich erst durch Google von SSL Labs erfahren? Das Testtool von SSL Labs gilt in der Szene schon lange als erste Anlaufstelle für solche Tests. Aber besser spät als nie… ;-)

  5. Eine gute Entscheidung!
    Auch wenn https ein paar Macken hat, so ist es doch sehr löblich, daß dieses Verfahren in den Suchergebnis berücksichtigt wird.

    Daumen nach hoch!

  6. Natch, arch, the Admin has to post his two bits.

    I really couldn’t care less about Google. Really. The attempts to configure AND keep the platform wordpress (including editors!) consistent so that content CAN always be regarded as secure (by server and client) is just not trivial. This has improved.

    Technically, I read Daniel J. Bernsteins papers and his algorithms and try to keep up with the OS. It took netzpolitik AGES to get to ‚more or less‘ modern use of SSL/TLS simply because the security/stability of an old Debian ’slowed me down‘. Sooo…. The ssl labs tests aren’t required by someone who knows what they are doing. Using a newer version of a library is, however.

    Everyone knows by now, update early, update often. Mea Culpa, Maxmia Culpa.

    And, sue me.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.