SSL – was ist das und wozu brauchst du das?
Stell dir vor, du stehst an der Kasse und flüsterst der Verkäuferin vertrauliche Bankdaten und deinen PIN zu. Direkt hinter dir in der Schlange befindet sich jemand, der sich diskret nach vorne beugt, die Ohren spitzt und mit etwas Aufmerksamkeit problemlos mithören kann.
Wenn eine Website keine SSL Verschlüsselung hat, setzen Besucher genau dieses Risiko ein, sobald sie sensible Daten auf der Seite hinterlassen. Denn wenn ein Benutzer eine Website besucht, findet eine Kommunikation zwischen seinem Computer und dem Webserver statt, auf dem die Website gehostet wird. Der Computer sendet Anfragen, und der Server antwortet darauf. Die übermittelten Daten sind normalerweise ungeschützt, sodass jemand, der sich dazwischen drängt, alles mitlesen kann.
Angesichts der zunehmenden Anzahl von Hackern und Datenbetrügern sollten gerade Websites, auf denen sensible Daten übertragen werden, über eine sichere Verbindung verfügen. Dies betrifft insbesondere Online Shops, in denen Bankdaten angegeben werden, aber auch Seiten mit einem Login Bereich oder Seiten, auf denen Benutzer verschiedene Arten von Formularen ausfüllen können. Seit der Einführung der Datenschutzgrundverordnung (DSGVO) ist eine SSL Verschlüsselung für alle Seiten mit beispielsweise einem Kontaktformular gesetzlich vorgeschrieben!
Die Funktionsweise der SSL Verschlüsselung
Stell dir vor, du möchtest beim Geldabheben nicht, dass jemand über deine Schulter schaut. Schon im Jahr 1994 wurde ein erster Schritt in Richtung Datensicherheit online unternommen, und zwar mit dem HTTPS (HyperText Transfer Protocol Secure). Bei der Verwendung von HTTPS werden die zu übermittelnden Daten auf einer Verschlüsselungsstufe von 128 oder 256 Bit gesichert. Zusätzlich prüft HTTPS, ob die Identität des Partners stimmt. Durch diese Art der Authentifizierung werden beispielsweise Phishing-Angriffe erschwert, wenn User durch einen Link auf eine manipulierte Website weitergeleitet werden.
SSL kommt bei der Verbindung mit HTTPS zum Einsatz und ich erkläre es hier vereinfacht: Eine zweite Verbindung wird über die bereits bestehende Leitung aufgebaut. Es handelt sich um ein Protokoll, das die Verschlüsselung zwischen zwei Rechnern regelt und gleichzeitig überprüft, ob die vom Benutzer eingegebenen Daten auf der Anbieterseite korrekt wiedergegeben werden. Es werden regelmäßig Prüfziffern aus den gesendeten Daten berechnet und angefügt. Diese Werte werden dann an beiden Enden der Verbindung verglichen.
Die Verschlüsselung selbst erfolgt immer mit Hilfe des Public Key Verfahrens: Die Daten werden während der Übertragung verschlüsselt und beim Empfang wieder entschlüsselt. Sollten die Daten während der Übertragung abgefangen werden, sind sie aufgrund ihrer Verschlüsselung unbrauchbar.
Bevor der finale Datenaustausch erfolgt, werden mittels des “SSL Handshake Protocols” die persönlichen Identifikationsdaten der Teilnehmer übermittelt. Außerdem wird durch das SSL Handshake Protocol das Fragmentierungs- und Verschlüsselungsverfahren vereinbart, das bei der Verbindung angewendet werden soll. Die beiden beteiligten Rechner einigen sich also auf einen Code und eine einheitliche Größe für die zu übermittelnden Datenpakete. Jetzt fließen codierte Informationshäppchen durch den Äther, und der Empfangsrechner entschlüsselt sie, setzt sie zusammen und macht die Informationen für dich lesbar.
Das SSL Zertifikat spielt eine wichtige Rolle beim SSL Handshake Protocol: Es fungiert als digitaler Personalausweis, der von einer Zertifizierungsstelle ausgestellt und durch einen öffentlich zugänglichen Signaturprüfschlüssel einer Person oder Organisation zugeordnet wird. Die Zertifizierungsstelle bestätigt diese Zuordnung, indem sie das Zertifikat mit ihrer eigenen digitalen Unterschrift beglaubigt. Wenn also ein bestimmter Code verwendet wird, kann anhand der Codezusammensetzung eindeutig nachvollzogen und bestätigt werden, wer diesen Code verwendet.
Woran erkennst du, ob eine Seite über eine SSL-Verschlüsselung verfügt?
Du kannst unmittelbar an der Browser Adresszeile erkennen, ob eine Seite über eine SSL-Verschlüsselung verfügt. Wenn dem Domainnamen ein “https” (mit dem “s” am Ende) vorangestellt ist, erfolgt die Verbindung verschlüsselt. In der Regel wird auch ein grünes Schloss angezeigt.
Ist die Seite hingegen nur über “http” aufrufbar, dann verfügt sie über keine sichere Verbindung.
Was sind weitere Vorteile der SSL-Verschlüsselung?
Durch die erhöhte Sicherheit, die du deinen Besuchern durch eine SSL-Verschlüsselung bietest, schaffst du Vertrauen in deine Website und dein Unternehmen. Eine verschlüsselte Seite gibt den Nutzern die Sicherheit, dass es sich um die Homepage eines vertrauenswürdigen Unternehmens handelt, das den Datenschutz seiner Kunden ernst nimmt und ihre Privatsphäre respektiert. Vor allem in Onlineshops kann eine SSL-Verschlüsselung die Kaufentscheidung der Besucher positiv beeinflussen.
Auch im Bereich der Suchmaschinenoptimierung bietet die SSL-Verschlüsselung Vorteile. Bereits im Jahr 2014 hat Google bekannt gegeben, dass Websites mit SSL-Verbindung im Ranking bevorzugt werden.
Woher bekommst du ein SSL Zertifikat?
Du kannst in der Regel ein SSL Zertifikat bei deinem Webhoster beantragen, dort, wo auch deine Website gehostet wird. Wenn du ein SSL Zertifikat anforderst, überprüft eine Drittpartei (wie Thawte, Globalsign, Symantec, usw.) deine Unternehmensdaten und stellt basierend auf diesen Informationen ein individuelles Zertifikat für dich aus. Das Zertifikat besteht in der Regel aus drei sehr langen Ziffernblöcken, die als Art Schlüssel zur Freischaltung dienen.
Was kostet ein SSL Zertifikat?
Die Preise für ein SSL Zertifikat variieren je nach Anbieter, liegen jedoch in der Regel bei etwa 30€ pro Jahr. Der Webhoster All Inkl stellt sogar ein kostenloses Let’s Encrypt SSL-Zertifikat zur Verfügung.
Wenn du auch Subdomains mit SSL verschlüsseln möchtest (z.B. shop.deinedomain.de), benötigst du ein sogenanntes Wildcard SSL-Zertifikat. Das Wildcard SSL Zertifikat ist etwas teurer, gilt jedoch für die gesamte Domain, einschließlich aller Subdomains.
Was musst du auf deiner Webseite ändern, wenn du das Zertifikat installiert hast?
- Du musst alle HTTP-URLs auf HTTPS umleiten, um “Duplicate Content” zu vermeiden.
- Wenn du interne, absolute Links hast, musst du diese auf HTTPS umschreiben.
- Überprüfe, ob externe Dienste wie z.B. Google Maps über HTTPS eingebunden werden können.
- Gehe alle Links durch und korrigiere eventuelle Fehler.
- Stelle sicher, dass die XML-Sitemap nur noch HTTPS Links enthält.
- Reiche die aktualisierte XML Sitemap in der Google Search Console erneut ein.
- Lade Bilder erneut hoch, damit sie über HTTPS geladen werden.
- Vergiss nicht, deine Website URL in allen sozialen Netzwerken entsprechend auf HTTPS umzustellen.
SSL Zertifikat mit WordPress einbinden – Tutorial
Die Einbindung eines SSL Zertifikats kann dir als Laie vor eine große Herausforderung stellen. Das Content Management System WordPress bietet hierfür kostenlose Plugins an, womit ein Großteil der Umstellung automatisch erfolgt. So sparst du dir beispielsweise den Aufwand mit dem erneuten Hochladen deiner Bilder.
Ich zeige dir, wie du in wenigen einfachen Schritten deine WordPress Website auf HTTPS umstellen kannst.
Schritt 1: Komplette WordPress Seite auf HTTPS umstellen
Zunächst solltest du über die Einstellungen im WordPress Backend Menü auf Einstellungen -> Allgemein deine komplette WordPress Website auf HTTPS umstellen.
Unter “WordPress Adresse” und “Website Adresse” steht nun deine Domain mit einem vorangestellten “http”. Füge dem http nun in beiden Feldern ein kleines “s” hinzu, also “https://ihredomain.de”.
Schritt 2: Alte HTTP URLs automatisch durch neue HTTPS URLs ersetzen
Deine WordPress Startseite und dein WordPress Backend sind nun unter HTTPS erreichbar. Wenn du aber auf eine Unterseite navigierst oder auf sonstige interne Verlinkungen innerhalb deiner Website klickst, sind diese nach wie vor auf HTTP gestellt. Wir müssen also auch alle internen Links auf HTTPS umstellen. Hierzu gehören auch sämtliche Bilder deiner Website. Webseitenbetreiber, die kein CMS nutzen, stehen hier also vor einer Menge Arbeit. Für WordPress gibt es jedoch kostenlose Plugins, mit denen du alte URLs automatisch durch neue ersetzen kannst. Ich empfehle das Plugin “Better Search Replace”. Nach der Installation kannst du unter Werkzeuge -> Better Search Replace nun die Datenbank nach allen alten HTTP URLs suchen und diese automatisch durch die neuen HTTPS URLs ersetzen lassen. Achte darauf, dass du unter “Tabellen auswählen” alle Tabellen ausgewählt hast.
Durch die automatische Umstellung können (eher selten) auch Datenbankfehler entstehen. Ganz unten in den “Better Search Replace” Einstellungen kannst du festlegen, ob du zunächst einen Testlauf durchführen möchtest. Verläuft der Testlauf fehlerfrei, kannst du das Häkchen entfernen und die Änderungen am Live-System vornehmen.
Herzlichen Glückwunsch! Deine Website sollte nun vollständig über HTTPS aufrufbar sein und das grüne Schloss vor dem Domainnamen enthalten.
Schritt 3: HTTPS Umleitung über die .htaccess Datei erzwingen
Wenn deine Website über Backlinks (z.B. Erwähnungen deiner URL in anderen Blogs oder Foren) verfügt, die noch auf die alte HTTP Seite verlinken, laufen diese nun natürlich ins Leere. Viele externe Verlinkungen auf deine Domain kannst du natürlich nicht selbst anpassen. In der .htaccess Datei kannst du jedoch über eine 301 Weiterleitung erzwingen, dass deine alte HTTP Seite auf HTTPS umgeleitet wird. Wenn nun also jemand auf einer anderen Seite auf deine alte HTTP URL klickt, wird er automatisch auf die neue HTTPS Seite weitergeleitet. Dieser Vorgang ist sehr wichtig, da Backlinks ein wichtiger Google Rankingfaktor sind und ohne diese Anpassung wären die meisten von ihnen verloren, was sich negativ auf deine Google Platzierungen auswirken kann.
Die .htaccess Datei befindet sich im Root Verzeichnis deiner WordPress Website, also dort, wo auch die Ordner “wp-content” und “wp-admin” liegen. Mit einem FTP Programm wie FileZilla kannst du auf dein Webseitenverzeichnis zugreifen. Öffne die .htaccess Datei in einem einfachen Texteditor und füge folgende Zeilen ganz am Anfang ein:
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Manchmal kann es passieren, dass die .htaccess im Verzeichnis versteckt ist. Wenn du also im Root Verzeichnis keine .htaccess Datei siehst, dann klicke bei FileZilla oben im Menü auf Server -> Auflistung versteckter Dateien erzwingen.
Schritt 4: Letzte Anpassungen
Du hast es fast geschafft! Falls du die Google Search Console nutzt, musst du hier Google nur noch über die Adressänderung deiner Website informieren. Logge dich hierzu ein und klicke auf die entsprechende Domain. Klicke dann oben rechts auf das Zahnrad Icon und anschließend auf “Adressänderung”.
Folge den Anweisungen, um Google über die neue HTTPS Website zu informieren. Das war’s!
Wie hilfreich war dieser Beitrag?
Klicke auf die Sterne um zu bewerten!
Durchschnittliche Bewertung / 5. Anzahl Bewertungen:
Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.
Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!
Lasse uns diesen Beitrag verbessern!
Wie können wir diesen Beitrag verbessern?