Eine Webseite unter HTTPS ohne gültiges Zertifikat zu betreiben, bringt wenig: Die Herkunft der Webseite lässt sich nicht sicher nachweisen. Google rät aus diesem Grunde dazu, stattdessen besser auf HTTPS zu verzichten, als ein ungültiges Zertifikat zu verwenden.
Ein großer Vorteil von HTTPS besteht darin, dass durch das verwendete Zertifikat die Inhaberschaft einer Domain nachgewiesen werden kann. Außerdem werden die Daten beim Transport zwischen Client und Server verschlüsselt.
Ist das verwendete SSL-Zertifkat nicht gültig, können diese Sicherheitsmechanismen kompromittiert werden. Ein Zertifikat kann vom Browser zum Beispiel als ungültig erkannt werden, wenn es abgelaufen ist, wenn die Zertifizierungsstelle nicht anerkannt ist, oder wenn das Zertifikat manipuliert wurde. Auch technische Probleme können zu einem ungültigen Zertifikat führen. So ist dann zum Beispiel kein sicherer Nachweis zur Domain mehr möglich.
Aus diesem Grund zeigen moderne Browser bei Webseiten mit ungültigem Zertifikat eine Warnmeldung an, die teilweise noch deutlicher erscheint als bei Webseiten, die auf HTTPS verzichten:
Für die Nutzer ist das ein Zeichen, dass sie der betreffenden Webseite besser keine persönlichen und sensiblen Daten wie Passwörter oder ihre Bankverbindung anvertrauen sollten.
Johannes Müller riet per Twitter dazu, besser auf HTTPS zu verzichten, als ein ungültiges Zertifikat zu verwenden:
Das kann jedoch nur eine Übergangslösung sein. Inzwischen erwarten die Nutzer, dass die von ihnen besuchten Webseiten sicher sind. Eine Grundvoraussetzung dazu ist der Betrieb unter HTTPS mit einem gültigen Zertifikat.
Johannes Müller hatte übrigens im April des vergangenen Jahres erklärt, dass es wohl keine negativen Rankingeffekte durch ungültige Zertifikate gebe.
Titelbild: Copyright dacianlogan - Fotolia.com