Websites mit HTTPS und SSL verschlüsseln – Was Sie beachten müssen
von Jeannette Czarkowski (Kommentare: 0)
Dieser Beitrag wurde am 01. Februar 2018 aktualisiert.
Mit HTTPS und SSL-Zertifikat mehr Sicherheit für die Daten Ihrer Kunden und Website-Besucher
Auf fast allen Websites werden persönliche Daten übertragen. Dies geschieht oftmals noch über eine ungesicherte Verbindung. Immer mehr Browser kennzeichnen unsichere Websites eindeutig und warnen zudem bei der Eingabe von Daten in Formularen, die ungeschützt übertragen werden. Das schreckt die Nutzer ab. Mit HTTPS und einem SSL-Zertifikat können Sie dieses Problem vermeiden. Websitebetreiber die persönliche Daten erheben, müssen stets eine sichere Übertragung der Daten gewährleisten. Lesen Sie in meinem Beitrag was bei einer Umstellung auf HTTPS/SSL zu beachten ist und wie Sie am einfachsten vorgehen.
Besteht eine Pflicht zur Verschlüsselung?
Keine Frage – spätestens wenn Nutzer auf Ihrer Website personenbezogene Daten eingeben können oder Sie personenbezogene Daten erheben, müssen Sie eine verschlüsselte Verbindung bereitstellen. Das beginnt schon beim einfachen Kontaktformular, geht über Login-Bereiche, die Anmeldung zu Newsletter, bis hin zu der Eingabe von sensiblen Daten wie z. B. im Bestellprozess eines Online-Shops. Die neue Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Damit ist eine SSL-Verschlüsselung nun ausdrücklich vorgeschrieben, wenn personenbezogene Daten erhoben werden.
Vorteile einer Verschlüsselung
Ein Vorteil ist, dass die Identität einer verschlüsselten Website eindeutig festgestellt werden kann. Also im Klartext: Befinde ich mich wirklich auf der Website meiner Bank oder gebe ich eventuell gerade meine Kontodaten einem Angreifer in die Hand?
Auch Google hat ein Wort mitzureden. Ziel ist es, alle Websites verschlüsselt auszugeben. Google bevorzugt verschlüsselte Seiten im Ranking und zeigt diese bevorzugt in den Suchergebnissen an. Der Google eigene Browser Chrome und andere Browser versehen unverschlüsselte Seiten mit einem eindeutigen Hinweis. Bei der Eingabe von Daten in Formularen wird eine Warnung angezeigt.
Außerdem: Websites mit einer SSL-Verschlüsselung stärken das Vertrauen Ihrer Nutzer in Ihr Unternehmen und werden auch den Anforderungen von Google gerecht.
Was bedeutet HTTPS und SSL?
HTTPS ist ein Protokoll für die sichere Übertragung von Daten zwischen Browser und Webserver in Verbindung mit SSL/TLS. Voraussetzung ist ein SSL-Zertifikat. SSL wurde mittlerweile durch den Nachfolger TLS ersetzt. Darum müssten wir eigentlich von TLS-Verschlüsselung reden. Gebräuchlich ist aber die Bezeichnung SSL. Weitere Informationen zu diesen Begriffen finden Sie hier.
Was passiert bei einer ungesicherten Verbindung?
Per HTTP (Webseiten die mit http:// beginnen) werden die Daten zwischen einem Webserver und einem Browser unverschlüsselt übertragen. Daten die über eine ungesicherte Verbindung übermittelt werden, sind für Dritte einsehbar und manipulierbar. Besonders beim Onlinebanking oder bei Käufen in einem Online-Shop wäre das eine Katastrophe, denn Bankverbindungen, Passwörter oder Kreditkartendaten darf kein Dritter in die Hände bekommen.
Wie erkenne ich eine verschlüsselte Website?
Ganz einfach: Am HTTPS vor der URL (z. B. https://jbwebart.de) und am grünen Schlosssymbol im Browser. Wenn Sie das grüne Schlosssymbol sehen, ist die Webseite auch wirklich verschlüsselt. Je nach Validierungsstufe wird zusätzlich der Name des Unternehmens in grüner Schrift bzw. grün unterlegt angezeigt.
Screenshot Google Chrome
Google Chrome zeigt neben dem grünen Schlosssymbol noch den Vermerk "Sicher" an (s. Abb.). Analog dazu werden unverschlüsselte Seiten mit dem Vermerk "Nicht sicher" und einem Ausrufungszeichen anstatt des Schlosssymbols versehen.
Wie stelle ich nun meine Website auf HTTPS um?
In Kurzform: Sie benötigen als erstes ein SSL-Zertifikat für Ihre Domain. Wenn das Zertifikat bei Ihrem Provider installiert und aktiviert wurde, muss Ihre Website auf HTTPS umgestellt werden. Ist ein Content-Management-System vorhanden, sind noch einige Schritte notwendig. Bei WordPress gestaltet sich die Umstellung etwas umfangreicher als z.B. bei Contao. Anschließend müssen entsprechende 301-Weiterleitungen eingerichtet und Google über die HTTPS-Version informiert werden.
Wo bekomme ich ein SSL-Zertifikat und gibt es Unterschiede bei den Zertifikaten?
Oftmals bieten die Provider in ihren Hostingpaketen bereits SSL-Zertifikate an.
SSL-Zertifikate erhalten Sie auch direkt bei verschiedenen Anbietern wie z. B. https://geotrust.com.
Let´s Encrypt stellt kostenlose SSL-Zertifikate zur Verfügung https://letsencrypt.org.
Unterschiede:
Die Zertifikate werden nach Validierungsstufen unterschieden.
Neben der einfachsten Validierungsstufe der Domainvalidierung (DV), gibt es noch die Unternehmensvalidierung (OV) und die Erweiterte Validierung (EV), die z. B. bei Banken Standard ist.
- Bei der Domainvalidierung (DV) wird überprüft ob der Antragssteller auch Domaineigentümer ist und somit zur Beantragung berechtigt. Unternehmensdaten werden nicht geprüft und sind auch nicht im Zertifikat ersichtlich.
- Bei der Unternehmensvalidierung (OV) ist die Prüfung schon aufwändiger. Im Zertifikat sind dann aber auch der Unternehmensname und die Anschrift ersichtlich. Klickt der Nutzer in der Adressleiste des Browsers auf das grüne Schlosssymbol, kann er diese Daten einsehen.
- Zertifikate mit der Erweiterten Validierung (EV) unterliegen der strengsten Prüfung der Unternehmensangaben. Der Unternehmensname ist bei diesem Zertifikat bereits neben dem grünen Schlosssymbol in der Adressleiste des Browsers ersichtlich. Es ist das teuerste der drei genannten, aber es signalisiert dem Nutzer sofort, dass die aufgerufene Seite vertrauenswürdig und verschlüsselt ist.
Ein weiterer Unterschied:
Zertifikate für eine Domain oder mehrere Domains (Subdomains)
- Ein Einzelzertifikat ist nur für eine Domain gültig, z. B. für https://jbwebart.de. Möchten Sie auch die Schreibweise mit "www." also https://www.jbwebart.de absichern, benötigen Sie ein weiteres Zertifikat. Denn dabei handelt es sich um eine Subdomain. Hier genügt im allgemeinen aber eine 301-Weiterleitung.
- Für mehrere Domains und Subdomains benötigen Sie sogenannte Wildcard-Zertifikate.
Achten Sie bei der Beantragung von Zertifikaten genau darauf, welche Domain verschlüsselt werden soll. Hier ist auch der Unterschied in der Schreibweise mit "www" und ohne "www" relevant.
Weitere Unterschiede bestehen in der z. B. in Verschlüsselungsstärke. Diese und weitere technische Details erfahren Sie beim Anbieter des Zertifikats.
Prüfen Sie vorher, welches Zertifikat für Ihre Anforderungen in Frage kommt.
Häufige Fehler bei der Umstellung
Oftmals scheitert eine Umstellung auf HTTPS an einfachen Fehlern. Inhalte (z. B. Bilder oder Videos) werden noch via HTTP geladen oder Ihre Website verlinkt auf andere noch unverschlüsselte Websites. Auch sogenannte „iframes“ können eine Fehlerquelle darstellen. Per "iframe" werden Inhalte anderer Websites wie z. B. Videos eingebunden. Hier hilft nur die Prüfung aller Pfade und Inhalte. Meistens sind es kleine Fehler, die sich relativ leicht beheben lassen.
Checkliste
- Alle Inhalte (Bilder, Videos etc.) müssen via HTTPS geladen werden. Daher bei Problemen alle Pfade überprüfen und ggfs. anpassen.
- Links zu anderen Websites dürfen nur auf verschlüsselte Seiten (https://) gesetzt werden
- Überprüfen Sie ob Google-Webfonts richtig eingebunden sind
- Interne Links müssen auf die HTTPS-Variante der Website zeigen
- Richten Sie eine permanente Weiterleitung (301) für die nicht verschlüsselte Version der Website ein, also von der HTTP-Version auf die HTTPS-Version. Google behandelt nämlich beide Versionen als eigenständige Websites. Fehlt die 301-Weiterleitung, dann sind zwei identische Versionen der Website online. Das führt zu doppelten Content (Duplicate Content) und somit zu einer Abwertung der Website durch Google.
- Ist die Website mit "www" und ohne "www" erreichbar, dann ist auch hier eine 301-Weiterleitung auf die verschlüsselte Version einzurichten. Auch hier wertet Google dieses als eigenständige Websites und wir stehen wieder vor dem Problem mit dem Duplicate Content.
- Verwenden Sie nur gültige Zertifikate
- Für jede Domain wird ein Zertifikat benötigt. Das gilt auch für Subdomains.
Fazit:
Verschlüsselte Websites gehören heute zum Standard. Zeigen Sie, das Ihnen der Schutz der Daten Ihrer Kunden und Nutzer in Zeiten von zunehmender Internetkriminalität wichtig ist. Davon abgesehen müssen Sie eine sichere Übermittlung von sensiblen und personenbezogenen Daten ermöglichen. Das ist bereits dann notwendig, wenn nur ein einfaches Kontaktformular zum Einsatz kommt. Am besten ist es, Ihre Website grundsätzlich zu verschlüsseln.
Wie kann ich Ihnen helfen?
- Möchten Sie Ihre Website auf HTTPS und SSL umstellen und benötigen Unterstützung?
- Brauchen Sie Hilfe bei der Installation eines SSL-Zertifikates?
- Haben Sie Fragen oder ein Problem mit Ihrer Webseite?
Dann nehmen Sie einfach hier mit mir unverbindlich Kontakt auf oder rufen gleich an: 033056 995095. Ich unterstütze Sie gerne.
Wenn Sie allgemeine Fragen oder Anregungen zu diesem Thema haben, nutzen Sie die Kommentarfunktion. Ich freue mich auf Ihren Beitrag.
Sie möchten keine Tipps mehr verpassen? Dann abonnieren Sie hier meinen Newsletter.
Damit Sie weiterhin gut informiert sind → jetzt Newsletter abonnieren.
Informationen zu PHP-Versionen, Contao-Updates und Praxistipps für Contao-Nutzer.
Der Newsletter wird ca. 1x monatlich versandt, ist kostenlos und kann jederzeit abbestellt werden. Weitere Informationen finden Sie in der Datenschutzerklärung.