Das Thema HTTPS/SSL wird immer wichtiger und hatte 2017 seinen großen Durchbruch. Auch Studio2 hat im Laufe des Jahres die meisten Websites auf eine gesicherte SSL-Verbindung umgestellt. Und allen anderen Kunden möchten wir es an dieser Stelle klar empfehlen.
Die Verbindung zwischen dem Webserver und dem Browser des Besuchers lief bisher meistens über das HTTP-Protokoll. Dabei können die Daten jedoch unterwegs von Dritten mitgelesen werden, beispielsweise in öffentlichen WLANs. Das ist vor allem dann problematisch, wenn es um persönliche Daten geht: Bestellungen, Passwörter, Formularfelder, Nachrichten im Kontaktformular etc.
Immer mehr Websites nutzen deshalb das HTTPS-Protokoll. Dabei werden die Daten auf dem Weg zwischen Webserver und Browser verschlüsselt – per Secure Socket Layer (SSL) bzw. über das Nachfolgeprotokoll Transport Layer Security (TLS). Als Nutzer erkennen Sie eine gesicherte Website am grünen Schloss-Symbol in der Adressleiste; beim Anklicken zeigen die meisten Browser weitere Informationen zur Sicherheit der Verbindung an.
Von der Sonderlösung zum Standard
Vor einigen Jahren war es noch relativ aufwändig und teuer, eine Website per HTTPS/SSL zu schützen; daher wurde dieser Schutz vor allem bei Onlineshops eingesetzt, beim Online-Banking und ähnlichen Websites mit vertraulichen Daten. Inzwischen hat sich die Situation geändert:
- Google bewertet HTTPS seit 2014 als Rankingfaktor: Gesicherte Websites werden besser bewertet und erhalten dadurch eine (geringfügig) bessere Platzierung in den Suchergebnissen.
- Webbrowser wie Chrome und Firefox bezeichnen HTTP-Websites seit 2017 ausdrücklich als »nicht sicher«.
- WordPress sieht SSL als zukünftigen Webstandard und pusht seit 2017 den Einsatz. WordPress empfiehlt nur noch Webhoster mit standardmäßiger SSL-Verschlüsselung; in zukünftigen WordPress-Versionen soll es Funktionen geben, die eine HTTPS-Verbindung zwingend voraussetzen.
- Das Bundesministerium für Verbraucherschutz empfiehlt bereits seit Januar 2016 gesicherte HTTPS-Verbindungen, um persönliche Daten zu schützen.
Durch zahlreiche Medienberichte, z.B. über zunehmende Online-Kriminalität oder über die Snowden-Enthüllungen zur Abhörpraxis der Nachrichtendienste, ist das Thema auch in der breiten Öffentlichkeit angekommen. Daher lässt sich zusammenfassen: SSL ist im Interesse der Online-Nutzer und wird von ihnen immer stärker beachtet.
Unterschiedliche SSL-Zertifikate
Damit ein Browser eine verschlüsselte Verbindung zu einer Website aufbauen kann, muss die Website ein SSL-Zertifikat bereitstellen. Dieses Zertifikat bestätigt zum einen, dass der Webserver zu der Domain (Webadresse) gehört, für die er sich ausgibt. Außerdem gehört zum Zertifikat ein öffentlicher Schlüssel, mit dem der Browser die Daten der Website wieder entschlüsseln und für den Nutzer anzeigen kann.
Seit Ende 2015 kann man bei Let’s Encrypt (eine Zertifizierungsstelle, die u.a. von Mozilla, Google, Cisco sowie einigen Universitäten unterstützt wird) kostenlose, automatisch erstellte Zertifikate bestellen. Diese Initiative hat zu einer breiten Verbreitung von SSL geführt.
Die Zertifikate von Let’s Encrypt und ähnlichen Stellen bieten nur eine einfache Domain Validation, d.h. der Server gehört zu der aufgerufenen Domain (was für viele Websites ausreicht). Sie sind für drei Monate gültig; danach muss ein neues Zertifikat bestellt werden.
Bei Onlineshops empfiehlt sich ein weitergehender Schutz durch Zertifikate mit Organisation Validation (OV) oder Extended Validation (EV). Dabei wird auch die Identität der jeweiligen Firma/Organisation und ihre Anschrift geprüft, bei EV-Zertifikaten auch das Bankkonto und die Identität der Person, die das Zertifikat beantragt. Solche Prüfungen sind aufwändig und nicht kostenlos zu haben; sie bieten den Besuchern der Seite aber auch besseren Schutz vor Betrügern und schaffen dadurch Vertrauen.
SSL Einrichten
Sie können SSL-Zertifikate bei Ihrem Webhoster beantragen und zu Ihrem Paket dazu buchen. Die Preise liegen derzeit bei 5–6 € (OV) bzw. 20–25 € (EV) pro Monat.
Mittlerweile bieten die meisten Webhoster auch ein eigenes, kostenloses Zertifikat oder unterstützen Let’s Encrypt-Zertifikate. Strato, 1blu und all-inkl.com z.B. verlängern diese Zertifikate automatisch, wenn sie abgelaufen sind. Bei HostEurope können Let’s Encrypt-Zertifikate eingebunden werden, müssen aber nach drei Monaten manuell neu eingerichtet werden – nicht sehr benutzerfreundlich.
Wenn das Zertifikat bereit steht, muss die WordPress-Website so umgestellt werden, dass sie komplett über die sichere Verbindung läuft. Dabei müssen alle Bilder, Schriften etc. ebenfalls per HTTPS eingebunden werden, sonst erscheint bei den Besuchern statt des grünen Schlosses ein gelbes Warndreieck, das eine fehlerhafte Umsetzung anzeigt.
Nach der Umstellung empfiehlt es sich, die Website neu bei Google anzumelden, damit die neue HTTPS-Adresse gleich in den Suchergebnissen erscheint.
Fazit
Sichere Website-Verbindungen per HTTPS/SSL sollten auf allen gewerblichen Websites zum Einsatz kommen, auch wenn es nur um ein Kontaktformular geht. Damit stärken Sie das Vertrauen Ihrer Besucher, und nebenbei auch Ihr Google-Ranking. Und früher oder später wird SSL wohl zum Standard werden.
Weitere Informationen
Ausführlicher Beitrag bei PCWelt
SSL, Zertifikate und die Bedeutung für das SEO