/ Security / In eigener Sache: Golem.de kommt jetzt sicher ins Haus – per HTTPS

In eigener Sache: Golem.de kommt jetzt sicher ins Haus – per HTTPS

126076-134784-i_rc.jpg
Moritz Rosenfeld on February 14, 2017 - 11:50 am in Security

Einige Leser werden es schon bemerkt haben: Golem.de wird seit der vergangenen Woche standardmäßig per HTTPS ausgeliefert. Die Umstellung auf HTTPS war uns seit langer Zeit ein Anliegen und wurde von vielen Lesern immer wieder vehement eingefordert. Bei einer Seite wie Golem.de ist diese Umstellung aber etwas komplizierter, als sich einfach bei Let’s Encrypt ein kostenfreies Zertifikat zu besorgen.

Alle Links müssen intern auf HTTPS umgestellt werden, auch alle mit uns verbundenen Dienste wie der Stellenmarkt, der Preisvergleich und die ausgelieferte Werbung müssen die verschlüsselte Auslieferung unterstützen. Das sorgt dafür, dass auch die kleinsten Elemente der Seite Probleme machen können. So war etwa der kleine grüne Haken, der in der mobilen Ansicht anzeigt, dass ein Nutzer mit dem Abo eingeloggt ist, für eine Mixed-Content-Warnung verantwortlich, weil die entsprechende Grafik nur über HTTP eingebunden war.

Bereits Ende Dezember 2016 war Golem.de über TLS verschlüsselt erreichbar, seit vergangenem Freitag werden alle Nutzer per Redirect auf diese Version weitergeleitet.

HTTPS bereits seit Längerem auf Unterseiten aktiv

Schon länger haben wir HTTPS auf verschiedenen Bereichen der Seite eingesetzt. So war der Login-Bereich in den Golem.de-Account genauso abgesichert wie unsere Videoseite. Mit der Umstellung der gesamten Seite auf HTTPS schließen wir diesen für uns wichtigen Schritt vorerst ab. Golem.de-Chefredakteur Benjamin Sterbenz sagte: “Wir freuen uns, unseren Lesern ab sofort HTTPS anbieten zu können. Und wir hoffen, dass möglichst bald viele Webseiten nachziehen. Mein Dank gilt unseren Entwicklern und allen, die uns mit Fehlermeldungen und Tipps unterstützt haben. It’s true!”

Mit der Umstellung auf HTTPS ist die Arbeit an der sicheren Auslieferung von Golem.de nicht vorbei. Wir begrüßen das Projekt Secure The News, das in einer Liste sammelt, welche Sicherheitsmechanismen von Nachrichtenseiten unterstützt werden. Um dort alle Kriterien zu erfüllen, fehlt uns derzeit noch aktiviertes HSTS – HTTP Strict Transport Security. Damit wird sichergestellt, dass ein Client in Zukunft keine unverschlüsselten Verbindungen von einem Server akzeptiert. Auch HSTS Preloading muss noch aktiviert werden – daran arbeiten wir derzeit.

Read more on: Source

Comments are disabled