transport-no-tls-at-all
Seite wird ohne HTTPS ausgeliefert
Ihre Seite ist nur über reines HTTP erreichbar. Jede Verbindung (Login-Formulare, Formular-Übermittlungen, Seiteninhalte) läuft im Klartext durchs Netz und kann mitgelesen oder verändert werden.
Worum es geht
Moderne Webseiten werden über HTTPS ausgeliefert, das Protokoll hinter dem kleinen Schloss neben der Adresse. HTTPS verschlüsselt die Verbindung zwischen Browser und Server; niemand auf der Strecke dazwischen kann mitlesen oder verändern, was übertragen wird.
Ihre Seite ist nur über reines HTTP erreichbar, das ältere Protokoll ohne diesen Schutz. Jede Seite, jedes Formular, jeder Login läuft im Klartext durchs Netz. Browser zeigen “Nicht sicher” in der Adresszeile und warnen Besucher:innen aktiv, sobald sie etwas eintippen wollen.
Warum das wichtig ist
Ohne HTTPS kann jeder mit Netzzugang zwischen Besucherin und Server (ein feindseliges öffentliches WLAN, ein Internetanbieter, ein Unternehmens-Proxy, ein Angreifer im lokalen Netz):
- Alles mitlesen. Inklusive Passwörter, Kontaktformular-Nachrichten, Suchanfragen, Zahlungsdetails oder Admin-Panel-Inhalten.
- Ändern, was Ihre Besucherin sieht. Schadcode in Skripte einsetzen, Download-Links durch verseuchte Dateien ersetzen, den Login auf eine gefälschte Seite umleiten, Preise auf einer E-Commerce-Seite ändern, unerwünschte Werbung einblenden. Auf Flughafen- und Hotel-WLANs ist das aus reinen Werbeeinnahmen vielfach belegt.
- Session-Cookies abgreifen und damit jede:n eingeloggte:n Nutzer:in imitieren. Hat der Angreifer den Cookie, braucht er kein Passwort mehr, er hält die Sitzung.
Eine kompensierende Maßnahme gibt es hier nicht. Die einzige Lösung ist echtes HTTPS auf der Verbindungsebene.
Browser strafen reines HTTP zudem im Suchranking ab. Google nutzt HTTPS seit 2014 als Ranking-Signal; Chrome markiert HTTP-Only-Seiten seit 2018 als “Nicht sicher”.
So beheben Sie das
Für eine öffentliche Webseite ist der Wechsel zu HTTPS praktisch kostenlos und weitgehend automatisiert. Ihr Hosting kann das umsetzen:
- TLS-Zertifikat von Let’s Encrypt holen. Die meisten Hosting-Plattformen (Netlify, Vercel, Cloudflare, IONOS, STRATO, Hetzner Cloud, AWS, Azure) bieten Ein-Klick-Ausstellung im Panel.
- Sicherstellen, dass sowohl die Hauptdomain als auch die
www-Variante mit demselben Zertifikat über HTTPS laden. - Reines HTTP auf HTTPS umleiten, damit niemand auf einer alten URL stranden kann. Details im HTTP-Redirect-Artikel.
- HSTS aktivieren, damit Browser Klartext-HTTP für Ihre Domain gar nicht mehr versuchen (siehe HSTS-Artikel).
- Automatische Erneuerung einrichten. Let’s-Encrypt-Zertifikate laufen 90 Tage; die Auto-Erneuerung erledigt das im Hintergrund, aber ein Blick auf den Schalter lohnt trotzdem. Vergessene Erneuerung ist eine der häufigsten Ursachen für plötzlich unerreichbare Seiten.
Wenn alles steht, bewertet der unten verlinkte SSL-Labs-Checker eine saubere Konfiguration mit A oder A+.
Mehr dazu
- Let’s Encrypt — Erste Schritte: die meistgenutzte kostenfreie Zertifizierungsstelle.
- SSL-Labs-Server-Test: voll ausgewertete Bewertung Ihres HTTPS-Setups.
- Mozilla SSL Configuration Generator: erzeugt fertige Server-Konfigurationen für nginx, Apache, Caddy und andere.
- BSI-Hinweise zu TLS