• jbwebArt
  • Blog
  • Websites mit HTTPS und SSL verschlüsseln – Was Sie beachten müssen

Websites mit HTTPS und SSL verschlüsseln – Was Sie beachten müssen

von Jeannette Sachse (Kommentare: 0)

fHTTPS und SSL für Websites

Mit HTTPS und SSL-Zertifikat mehr Sicherheit für die Daten Ihrer Kunden und Website-Besucher

Auf fast allen Websites werden persönliche Daten übertragen. Dies geschieht oftmals noch über eine ungesicherte Verbindung. Immer mehr Browser kennzeichnen unsichere Websites jetzt eindeutig und warnen zudem bei der Eingabe von Daten in Formularen, die ungeschützt übertragen werden. Das schreckt die Nutzer ab. Mit HTTPS und einem SSL-Zertifikat können Sie dieses Problem vermeiden. Websitebetreiber die persönliche Daten erheben, müssen außerdem eine sichere Übertragung der Daten gewährleisten. Lesen Sie in meinem Beitrag was bei einer Umstellung auf HTTPS/SSL zu beachten ist und wie Sie am einfachsten vorgehen.

Vorteile und Gründe für eine Verschlüsselung

Keine Frage – spätestens wenn Nutzer auf Ihrer Website personenbezogene Daten eingeben können, sollten Sie grundsätzlich eine verschlüsselte Verbindung bereitstellen. Das beginnt schon beim einfachen Kontaktformular, geht über Login-Bereiche, bis hin zu der Eingabe von sensiblen Daten wie z. B. im Bestellprozess eines Online-Shops.

Gerade die aktuell aufgedeckten Sicherheitslücken im WPA2-Standard von WLAN zeigen, wie wichtig eine Verschlüsselung der Website ist, um eine sichere Datenübertragung zu gewährleisten.

Ein weiterer Vorteil ist, dass die Identität der Website mit der kommuniziert wird, eindeutig festgestellt werden kann. Also im Klartext: Bin ich wirklich mit meiner Bank verbunden oder gebe ich eventuell gerade meine Kontodaten einem Angreifer in die Hand?

Letztendlich hat Google auch noch ein Wort mitzureden. Ziel ist es, alle Websites verschlüsselt auszugeben. Google bevorzugt verschlüsselte Seiten im Ranking und zeigt diese bevorzugt in den Suchergebnissen an. Der Google eigene Browser Chrome und viele andere Browser versehen unverschlüsselte Seiten mit einem eindeutigen Hinweis. Bei der Eingabe von Daten in Formularen wird sogar eine Warnung angezeigt. Da wird der eine oder andere Nutzer zweimal überlegen, ob er seine persönlichen Daten eingibt.

Websites mit einer SSL-Verschlüsselung stärken das Vertrauen Ihrer Nutzer in Ihr Unternehmen und werden auch den Anforderungen von Google gerecht.

Was bedeutet HTTPS und SSL?

HTTPS ist ein Protokoll für die sichere Übertragung von Daten zwischen Browser und Webserver in Verbindung mit SSL/TLS und einem SSL-Zertifikat. SSL wurde mittlerweile durch TLS ersetzt. Gebräuchlich ist aber oftmals noch die Bezeichnung SSL. Per HTTP werden alle Daten zwischen einem Webserver und einem Browser unverschlüsselt übertragen. Daten die über eine ungesicherte Verbindung übermittelt werden, sind für Dritte einsehbar und manipulierbar. Besonders beim Onlinebanking oder bei Käufen in einem Online-Shop wäre das eine Katastrophe, denn Bankverbindungen, Passwörter oder Kreditkartendaten darf kein Dritter in die Hände bekommen.

Wie erkenne ich eine verschlüsselte Website?

Ganz einfach: Am HTTPS vor der URL (z. B. https://jbwebart.de) und am grünen Schlosssymbol im Browser. Nur wenn Sie das grüne Schlosssymbol sehen, ist die Webseite auch wirklich verschlüsselt. Je nach Validierungsstufe wird zusätzlich der Name des Unternehmens in grüner Schrift bzw. grün unterlegt angezeigt.

Screenshot Google Chrome sichere Website

Screenshot Google Chrome

Google Chrome zeigt neben dem grünen Schlosssymbol noch den Vermerk "Sicher" an (s. Abb.). Analog dazu werden unverschlüsselte Seiten mit dem Vermerk "Nicht sicher" und einem Ausrufungszeichen anstatt des Schlosssymbols versehen. 

Wie stelle ich nun meine Website auf HTTPS um?

In Kurzform: Sie benötigen als erstes ein SSL-Zertifikat für Ihre Domain. Ist dieses bei Ihrem Provider installiert, muss Ihre Website auf HTTPS umgestellt werden. Wenn ein Content-Management-System vorhanden ist, geschieht die Umstellung dort. Bei WordPress ist die Umstellung etwas umfangreicher als z.B. bei Contao. Sie sollten über das nötige Hintergrundwissen verfügen. Anschließend müssen entsprechende 301-Weiterleitungen eingerichtet und Google über die HTTPS-Version informiert werden.

Wo bekomme ich ein SSL-Zertifikat und gibt es Unterschiede bei den Zertifikaten?

Oftmals bieten die Provider in ihren Hostingpaketen bereits SSL-Zertifikate an.

SSL-Zertifikate erhalten Sie auch direkt bei verschiedenen Anbietern wie z. B. https://geotrust.com.
Let´s Encrypt stellt kostenlose SSL-Zertifikate zur Verfügung https://letsencrypt.org.

Unterschiede:

Die Zertifikate werden nach Validierungsstufen unterschieden.

Neben der einfachsten Validierungsstufe der Domainvalidierung (DV), gibt es noch die Unternehmensvalidierung (OV) und die Erweiterte Validierung (EV), die z. B. bei Banken Standard ist.

Bei der Domainvalidierung (DV) wird überprüft ob der Antragssteller auch Domaineigentümer ist und somit zur Beantragung berechtigt. Unternehmensdaten werden nicht geprüft und sind auch nicht im Zertifikat ersichtlich.

Bei der Unternehmensvalidierung (OV) ist die Prüfung schon aufwändiger. Im Zertifikat sind dann aber auch der Unternehmensname und die Anschrift ersichtlich. Klickt der Nutzer in der Adressleiste des Browsers auf das grüne Schlosssymbol, kann er diese Daten einsehen.

Zertifikate mit der Erweiterten Validierung (EV) unterliegen der strengsten Prüfung der Unternehmensangaben. Der Unternehmensname ist bei diesem Zertifikat bereits neben dem grünen Schlosssymbol in der Adressleiste des Browsers ersichtlich. Es ist das teuerste der drei genannten, aber es signalisiert dem Nutzer sofort, dass die aufgerufene Seite vertrauenswürdig und verschlüsselt ist.

Ein weiterer Unterschied:

Zertifikate für eine Domain oder mehrere Domains (Subdomains)

Ein Einzelzertifikat ist nur für eine Domain gültig, z. B. für https://jbwebart.de. Möchten Sie auch die Schreibweise mit "www." also  https://www.jbwebart.de absichern, benötigen Sie ein weiteres Zertifikat. Denn dabei handelt es sich um eine Subdomain. Hier genügt im allgemeinen aber eine 301-Weiterleitung.

Für mehrere Domains und Subdomains benötigen Sie sogenannte Wildcard-Zertifikate.

Achten Sie bei der Beantragung von Zertifikaten genau darauf, welche Domain verschlüsselt werden soll. Hier ist auch der Unterschied in der Schreibweise mit "www" und ohne "www" relevant.

Weitere Unterschiede bestehen in der z. B. in Verschlüsselungsstärke. Diese und weitere technische Details erfahren Sie beim Anbieter des Zertifikats.

Prüfen Sie vorher, welches Zertifikat für Ihre Anforderungen in Frage kommt. 

Häufige Fehler bei der Umstellung

Oftmals scheitert eine Umstellung auf HTTPS an einfachen Fehlern. Inhalte (z. B. Bilder oder Videos) werden noch via HTTP geladen oder Ihre Website verlinkt auf andere noch unverschlüsselte Websites. Auch sogenannte „iframes“ können eine Fehlerquelle darstellen. Hier hilft nur eine die Prüfung aller Pfade und Inhalte. Meistens sind es kleine Fehler, die sich relativ leicht beheben lassen.

Checkliste

  • Alle Inhalte (Bilder, Videos etc.) müssen via HTTPS geladen werden. Daher bei Problemen alle Pfade überprüfen und ggfs. anpassen.
  • Links zu anderen Websites dürfen nur auf verschlüsselte Seiten (https://) gesetzt werden
  • Überprüfen Sie ob Google-Webfonts richtig eingebunden sind
  • Interne Links müssen auf die HTTPS-Variante der Website zeigen
  • Richten Sie eine permanente Weiterleitung (301) für die nicht verschlüsselte Version der Website ein, also von der HTTP-Version auf die HTTPS-Version. Google behandelt nämlich beide Versionen als eigenständige Websites. Fehlt die 301-Weiterleitung, dann sind zwei identische Versionen der Website online. Das führt zu doppelten Content (Duplicate Content) und somit zu einer Abwertung der Website durch Google.
  • Ist die Website mit "www" und ohne "www" erreichbar, dann ist auch hier eine 301-Weiterleitung auf die verschlüsselte Version einzurichten. Auch hier wertet Google dieses als eigenständige Websites und wir stehen wieder vor dem Problem mit dem Duplicate Content.
  • Verwenden Sie nur gültige Zertifikate
  • Für jede Domain wird ein Zertifikat benötigt. Das gilt auch für Subdomains.

Fazit:

Verschlüsselte Websites gehören heute zum Standard. Zeigen Sie, das Ihnen der Schutz der Daten Ihrer Kunden und Nutzer in Zeiten von zunehmender Internetkriminalität wichtig ist. Davon abgesehen müssen Sie eine sichere Übermittlung von sensiblen und personenbezogenen Daten ermöglichen. Das ist auch dann notwendig, wenn nur ein einfaches Kontaktformular zum Einsatz kommt.

Kann ich Ihnen helfen?

  • Sie möchten Ihre Website auf HTTPS und SSL umstellen und benötigen Unterstützung?
  • Sie brauchen Hilfe bei der Installation eines SSL-Zertifikates?
  • Sie haben Fragen oder ein Problem mit Ihrer Webseite?

Dann nehmen Sie einfach hier mit mir unverbindlich Kontakt auf oder rufen gleich an: 030 92407558. Ich unterstütze Sie gerne.

Wenn Sie allgemeine Fragen oder Anregungen zu diesem Thema haben, nutzen Sie die Kommentarfunktion. Ich freue mich auf Ihren Beitrag.

Sie möchten keine Tipps mehr verpassen? Dann abonnieren Sie hier meinen Newsletter.

Zurück

Einen Kommentar schreiben

Sie haben eine Frage?