{"id":2287,"date":"2015-12-22T09:00:27","date_gmt":"2015-12-22T08:00:27","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2287"},"modified":"2026-01-07T12:25:45","modified_gmt":"2026-01-07T11:25:45","slug":"http-verbindungen-verschwinden-bei-apple-microsoft-und-wikimedia-zugunsten-von-https","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/http-verbindungen-verschwinden-bei-apple-microsoft-und-wikimedia-zugunsten-von-https\/","title":{"rendered":"HTTP-Verbindungen verschwinden bei Apple, Microsoft und Wikimedia zugunsten von HTTPS"},"content":{"rendered":"

Nachdem Mozilla Anfang Mai verk\u00fcndete<\/a>, sich von HTTP zu verabschieden und HTTPS zu forcieren, ziehen nun mit Apple, Microsoft und der Wikimedia Foundation weitere wichtige Hersteller und Anbieter nach. Apple veranlasst, dass Entwickler ausschlie\u00dflich via HTTPS \u00fcbertragen, Microsoft hat HSTS in den Internet Explorer (IE) und Edge, dem Browser von Windows 10, eingef\u00fchrt und die Wikimedia Foundation setzt ebenfalls auf HSTS.<\/p>\n

<\/p>\n

Apple mobilisiert gegen unsichere HTTP-Verbindungen<\/h3>\n

Im iOS Developer Library \u00fcber die Neuerungen in iOS 9<\/a> verk\u00fcndet Apple, dass Entwickler, die neue Apps einreichen, ausschlie\u00dflich auf HTTPS-verschl\u00fcsselte \u00dcbertragungswege setzen sollten. Auch f\u00fcr bestehende Apps soll k\u00fcnftig ein HTTP-Verzicht gelten: zu einem noch nicht konkret definierten Zeitpunkt wird Apple ausschlie\u00dflich Apps zulassen, die HTTPS nutzen. Entwickler sollen mithilfe der neu eingef\u00fchrten Technik ATS („Application Transport Security“) Unterst\u00fctzung erhalten. Mit ATS m\u00fcssten die Apps dann lediglich die Domains angeben, mit denen sie kommunizieren m\u00f6chten, zudem soll ATS das versehentliche Preisgeben von Daten verhindern, leicht zu integrieren sein und f\u00fcr sichere Standardkonfigurationen sorgen. Da Apple lediglich von der Kommunikation zwischen den Apps und den „Backend-Servern“ spricht, ist unklar, ob die HTTPS-Pflicht ausschlie\u00dflich f\u00fcr Safari oder auch f\u00fcr Browser von Drittanbietern gilt.<\/p>\n

Die Mac OS X 10.11-Dokumentation<\/a> macht deutlich, dass mithilfe von ATS jedwede Klartext-Verbindung via HTTP unterbunden wird, es sei denn, der Entwickler kann gute Gr\u00fcnde f\u00fcr das Verwenden des unverschl\u00fcsselten HTTP-Protokolls liefern. Vor\u00fcbergehend m\u00f6chte Apple solche Ausnahmen \u00fcber die Konfiguration der Einstellungsdatei zulassen. Um einheitliche Standards zu setzen, m\u00f6chte Apple f\u00fcr die HTTPS-Verbindungen Voraussetzungen bez\u00fcglich verwendeter TLS-Versionen und Cipher Suiten festlegen; Details nennt der Konzern im weiteren Verlauf seiner WWDC-Entwicklerkonferenz. Im Herbst dieses Jahres sollen Mac OS X 10.11 „El Capitan“ und iOS 9 erscheinen.<\/p>\n

Microsoft f\u00fchrt HSTS ein<\/h3>\n

Die Browser Chrome, Firefox, Safari und Opera unterst\u00fctzen HSTS („HTTP Strict Transport Security“) bereits, nun spendiert auch Microsoft seinen Browsern IE 11 (Windows 7, 8 und 8.1) und Edge (Windows 10) das Verfahren: Mit dem Patchday vom 10. Juni 2015 erhielten die hauseigenen Browser mit dem Update KB 3058515 HSTS-Unterst\u00fctzung. Mithilfe des HSTS-Verfahrens kann sichergestellt werden, dass Nutzer immer den sicheren Weg via HTTPS gehen, selbst wenn Bookmarks oder manuelle Eingaben auf HTTP-Websites verweisen. Denn kompatible Browser werden beim Aufrufen einer Website, die HSTS unterst\u00fctzt, grunds\u00e4tzlich dazu \u00fcberredet, die sicher verschl\u00fcsselte HTTPS-Verbindung zu w\u00e4hlen. Das gilt auch, wenn m\u00f6gliche Angreifer unverschl\u00fcsselte HTTP-Verbindungen als sichere HTTPS-Verbindungen vorgaukeln m\u00f6chten, sodass m\u00f6glichen Man-in-the-Middle-Angriffen mithilfe von HSTS vorgebeugt werden kann.<\/p>\n

Website-Admins haben zwei M\u00f6glichkeiten, Browsern HSTS anzubieten: entweder \u00fcber einen HTTP response header<\/a> oder durch das Abrufen einer Liste mit HSTS-f\u00e4higen Websites<\/a>. Microsoft selbst nutzt eine Liste, die Googles Chromium-Projekt entstammt. Gelangen Nutzer auf Websites, auf denen verschl\u00fcsselte und unverschl\u00fcsselte Inhalte gemischt werden, blockt der neue Browser Edge solche Inhalte, w\u00e4hrend der IE auf das Wissen des Nutzers hofft und nachfragt, ob s\u00e4mtliche Elemente ausgef\u00fchrt werden sollen.<\/p>\n

Wikimedia Foundation setzt ebenfalls auf HSTS<\/h3>\n

Auch die Wikimedia Foundation erweitert ihre Sicherheitsparameter um HSTS: ein Blogbeitrag der Foundation<\/a> zeigt, dass Nutzer bereits seit 2011 mithilfe des Browser-Plugins HTTPS Everywhere<\/a> oder manuell das HTTPS-Protokoll nutzen k\u00f6nnen. Auch Suchergebnisse in Suchmaschinen werden standardm\u00e4\u00dfig verschl\u00fcsselt ausgegeben. S\u00e4mtliche Wikipedia-Sitzungen von angemeldeten Nutzern sind bereits seit 2013 verschl\u00fcsselt. Nun m\u00f6chte die Wikimedia Foundation mittels HSTS auch jene auf eine verschl\u00fcsselte Verbindung umleiten, die diese Features bislang nicht genutzt haben.<\/p>\n

Mit dem Einbinden von HSTS l\u00e4sst sich weder die Kommunikation zwischen den hauseigenen Servern und den Browsern der Nutzer noch die Suchanfragen auf der Seite selbst abfangen; s\u00e4mtliche Inhalte verschl\u00fcsselt die Wissensdatenbank. HSTS \u00fcbernimmt dabei die Aufgaben, Fallbacks auf \u00e4ltere Verschl\u00fcsselungsstandards sowie das \u00dcbernehmen der Cookies durch zwischengeschaltete Server zu vermeiden, womit es ziemlich leicht m\u00f6glich w\u00e4re, die Verbindungen zu kapern und die Kommunikation zu entschl\u00fcsseln. Begonnen hat der Umstellungsprozess am 12. Juni 2015; derzeit existiert noch kein Datum, ab wann die deutschen URLs automatisch auf HTTPS umgeleitet werden.<\/p>\n

Die gemeinn\u00fctzige Organisation schreibt in ihrem Beitrag \u00fcber die riesige technische Herausforderung, denn die Hardware-Ausr\u00fcstung musste in zahlreichen L\u00e4ndern ausgebaut werden. Weiter waren Softwareentwicklungen in gro\u00dfem Ausma\u00df und das Beheben etwaiger Kompatibilit\u00e4tsprobleme mit vielen verschiedenen Ger\u00e4ten Baustellen, die die Organisation stemmen musste. Die Wikimedia Foundation weist darauf hin, dass Wikipedia-Seiten nun langsamer laden k\u00f6nnten als dies vor der Umstellung der Fall war. Umfangreiche Tests und das Analysieren des Nutzerverhaltens k\u00f6nnten dies nicht verhindern, was insbesondere f\u00fcr L\u00e4nder gilt, deren Netzwerk-Infrastruktur schlechter ausgestattet ist. Die kommenden Wochen m\u00f6chte das Team daf\u00fcr nutzen, diese Fehler auszur\u00e4umen.\u00a0Geneigte Wikipedia-Nutzer k\u00f6nnen sich beizeiten einen detaillierten Bericht anschauen, der die gesamte Umstellung dokumentiert.<\/p>\n

HTTPS: das World Wide Web soll sicherer werden<\/h3>\n

Mit dem vorangetriebenen Verwenden von HTTPS anstelle des unsicheren HTTP gehen die verschiedenen Entwickler einen ma\u00dfgeblichen Schritt in Richtung sicheres Internet. Jedoch sind auch Website-Admins in der Pflicht, mitzuziehen \u2013 SSL-Verschl\u00fcsselung wird aus gutem Grund immer mehr zum Standard. Dass die Entwickler schrittweise umstellen, gibt Ihnen als Website-Admin die M\u00f6glichkeit, in Ruhe zu handeln. Bedenken Sie bitte bei der Auswahl Ihrer\u00a0SSL-Zertifikate<\/a>, dass domainvalidierte Zertifikate (DV) den Anspr\u00fcchen der Entwickler nicht standhalten. Werfen Sie einen Blick auf die Eigenschaften der unterschiedlichen Authentifizierungskategorien:<\/p>\n