SSL – Was ist das und wozu brauchen Sie das? (mit Infografik)

Stellen Sie sich vor, Sie stehen an der Kasse und flüstern der Verkäuferin Ihre Bankdaten und Ihren PIN zu. Hinter Ihnen in der Schlange steht nun einer, der sich unauffällig zu Ihnen nach vorne beugt, die Ohren spitzt und all das mit etwas Konzentration hervorragend mithören kann.

Verfügt Ihre Website über keine SSL-Verschlüsselung, dann gehen Besucher aber genau dieses Risiko ein, sobald sie bei Ihnen sensible Daten hinterlegen. Denn sobald ein User eine Internetseite besucht, kommuniziert dessen Computer mit dem Webserver, auf welchem die Website liegt. Der Computer schickt eine Anfrage, der Server eine Antwort. Sämtliche Daten, die dabei hin und her geschickt werden, sind dabei üblicherweise nicht geschützt, sodass jemand, der sich dazwischen stellt, alles mitlesen kann.

Da die Zahl der Hacker und Datendiebe immer weiter ansteigt, sollten gerade Seiten, auf denen sensible Daten übertragen werden, über eine sichere Verbindung verfügen. Das betrifft insbesondere Onlineshops, auf welchen Bankdaten angegeben werden, aber auch Seiten mit Login-Bereich oder Seiten, auf welchen Nutzer jegliche Art von Formularen ausfüllen können. Seit der neuen DSGVO (Datenschutzgrundverordnung) ist eine SSL Verschlüsselung für alle Seiten mit bspw. einem Kontaktformular Pflicht!

Funktionsweise der SSL Verschlüsselung

Da sich auch im „echten“ Leben niemand gerne beim Geldabheben über die Schulter blicken lässt, wurde bereits im Jahre 1994 mit dem HTTPS (HyperText Transfer Protocol Secure) auch online ein erster Schritt in Richtung Datensicherheit unternommen.
Mithilfe von HTTPS werden zu übermittelnde Daten auf 128- oder 256-bit-Stufe verschlüsselt und ferner überprüft HTTPS, ob die Identität des Partners stimmt. So werden beispielsweise Phishingattacken durch diese Art der Authentifizierung wesentlich erschwert, sobald User durch einen Klick auf einen Link auf eine manipulierte Website weitergeleitet werden.

SSL kommt bei der Verbindung mit HTTPS zum Einsatz und soll hier vereinfacht dargestellt werden: Über die bestehende Leitung wird eine zweite Verbindung gelegt. Es handelt sich um ein reines Aufzeichnungsprotokoll, das die Verschlüsselung zwischen zwei Rechnern regelt und gleichzeitig überprüft, ob die Daten, die auf der Anwenderseite eingegeben wurden, auch genau so auf der Anbieterseite wieder ausgegeben werden. Aus den gesendeten Daten werden dabei in regelmäßigen Abständen Prüfziffern errechnet und angefügt. Dieser Wert wird dann an beiden Enden einer Verbindung wieder abgeglichen.

Die Verschlüsselung selbst erfolgt stets mit Hilfe des Public-Key-Verfahrens: Dabei werden Daten bei ihrer Versendung codiert und beim Empfang wieder decodiert. Sollten die Daten während ihres Transfers vom Server zum Empfänger abgegriffen werden, so sind sie aufgrund ihrer Verschlüsselung unbrauchbar.

Bevor es zum finalen Datenaustausch kommt, werden mittels des „SSL Handshake Protocols“ die persönlichen Identifikationsdaten der Teilnehmer übermittelt. Außerdem handelt das SSL Handshake Protocol das Fragmentierungs- und Verschlüsselungsverfahren aus, welches bei der Verbindung Anwendung finden soll. Die beiden beteiligten Rechner einigen sich also einfach ausgedrückt auf einen Code und auf eine einheitliche Größe für die zu übermittelnden Datenpakete. Jetzt fließen codierte Informationshäppchen durch den Äther von symmetrischen Algorithmen: Der Empfangsrechner decodiert, setzt zusammen und macht die Informationen für den User lesbar.

Das SSL Zertifikat spielt dabei beim SSL Handshake Protocol eine wichtige Rolle: Das SSL Zertifikat dient als digitaler Personalausweis, der von einer Zertifizierungsstelle ausgegeben und durch einen öffentlich zugänglichen Signaturprüfschlüssel einer Person oder einer Organisation zugeordnet wird. Die Zertifizierungsstelle beglaubigt diese Zuordnung dadurch, dass sie das Zertifikat mit ihrer eigenen digitalen Unterschrift absegnet. Wird also ein bestimmter Code verwendet, kann durch die Zusammensetzung des Codes eindeutig hergeleitet und bestätigt werden, wer diesen Code benutzt.


 

Woran erkennen Sie, ob eine Seite über eine SSL-Verschlüsselung verfügt?

Ob eine Seite über eine SSL-Verschlüsselung verfügt erkennen Sie unmittelbar an der Browser-Adresszeile. Ist dem Domainnamen ein „https“ (wichtig ist das „s“ am Ende) voran gestellt, dann erfolgt die Verbindung verschlüsselt. Üblicherweise befindet sich dann auch ein grünes Schloss davor.

Ist die Seite hingegen nur über „http“ aufrufbar, dann verfügt sie über keine sichere Verbindung.


 

Was sind weitere Vorteile der SSL-Verschlüsselung?

Durch die erhöhte Sicherheit, die Sie Ihren Besuchern durch eine SSL-Verschlüsselung bieten, schaffen Sie Vertrauen in Ihre Website und somit auch in Ihr Unternehmen. Eine verschlüsselte Seite gibt dem User die Sicherheit, dass es sich bei dieser Website um die Homepage eines vertrauenswürdigen Unternehmens handelt, welches den Datenschutz seiner Kunden sehr ernst nimmt und den Kunden als Menschen sehr wertschätzt. Vor allem in Onlineshops kann eine SSL-Verschlüsselung die Kaufentscheidung des Besuchers damit positiv beeinflussen.

Auch im Bereich Suchmaschinenoptimierung bietet die SSL-Verschlüsselung Vorteile. Bereits im Jahr 2014 gab Google bekannt, dass Webseiten mit SSL-Verbindung im Ranking bevorzugt werden.


 

Woher bekommen Sie ein SSL-Zertifikat?

Ein SSL-Zertifikat können Sie meistens bei Ihrem Webhoster beantragen, also dort, wo auch Ihre Website liegt. Wenn Sie nun ein SSL-Zertifikat anfordern, verifiziert eine Drittpartei (wie Thawte, Globalsign, Symantec, … ) Ihre Unternehmensdaten und gibt auf Basis dieser Informationen ein nur für Sie bestimmtes Zertifikat aus. Das Zertifikat an sich besteht meist aus 3 sehr langen Ziffernblöcken, die man wie eine Art Key zur Freischaltung verwendet.

Was kostet ein SSL-Zertifikat?

Die Preise für ein SSL Zertifikat variieren je nach Anbieter, kosten aber in der Regel um die 30€ pro Jahr. Der Webhoster All Inkl stellt sogar ein kostenloses Let’s Encrypt SSL Zertifikat zur Verfügung.

Wenn Sie auch Subdomains mit SSL verschlüsseln möchten (z.B. shop.ihredomain.de), dann benötigen Sie ein sogenanntes Wildcard SSL Zertifikat. Das Wildcard SSL Zertifikat ist etwas teurer, gilt dafür aber für die gesamte Domain inkl. jeglicher Subdomains.


 

Was muss man auf der Webseite ändern, wenn man das Zertifikat installiert hat?

  • Alle HTTP-URLs müssen auf HTTPS weitergeleitet werden sonst entsteht „Duplicate Content“.
  • Gibt es interne, absolute Links, müssen diese auf HTTPS umgeschrieben werden.
  • Werden externe Dienste, wie z.B. Google Maps, verwendet, muss überprüft werden, ob diese über HTTPS eingebunden werden können.
  • Alle Links sollten anschließend überprüft und Fehler korrigiert werden.
  • Die XML-Sitemap darf ebenfalls nur noch HTTPS-Links enthalten.
  • Die XML-Sitemap sollte anschließend neu in der Google Search Console eingereicht werden.
  • Bilder müssen nochmal neu hochgeladen werden
  • Natürlich sollten Sie auch Ihre Website URL in sämtlichen sozialen Netzwerken entsprechend auf https umstellen.

 

SSL Zertifikat mit WordPress einbinden – Tutorial

Die Einbindung eines SSL Zertifikats kann Laien vor eine große Herausforderung stellen. Das Content Management System WordPress bietet hierfür kostenlose Plugins an, womit ein Großteil der Umstellung automatisch erfolgt. So sparen Sie sich beispielsweise den Aufwand mit dem erneuten Hochladen Ihrer Bilder.

Wir zeigen Ihnen, wie Sie in wenigen, einfachen Schritten Ihre WordPress Website auf HTTPS umstellen können.

Schritt 1: Komplette WordPress Seite auf HTTPS umstellen

Zunächst sollten Sie über die Einstellungen im WordPress-Backend Ihre komplette WordPress Website auf HTTPS umstellen. Klicken Sie hierzu im WordPress Backend-Menü auf Einstellungen -> Allgemein.

WordPress HTTPS

Unter „WordPress-Adresse“ und „Website-Adresse“ steht nun Ihre Domain mit einem vorangestellten „http“. Fügen Sie dem http nun in beiden Feldern ein kleines „s“ hinzu, also „https://ihredomain.de“

Schritt 2: Alte HTTP URLs automatisch durch neue HTTPS URLS ersetzen

Ihre WordPress Startseite und Ihr WordPress Backend sind nun unter https erreichbar. Wenn Sie aber auf eine Unterseite navigieren oder auf sonstige interne Links innerhalb Ihrer Website klicken, sind diese nach wie vor auf http gestellt. Wir müssen also auch alle internen Links auf https umstellen. Hierzu gehören auch sämtliche Bilder Ihrer Website. Webseitenbetreiber, die kein CMS nutzen, stehen hier also vor einem Haufen Arbeit. Für WordPress gibt es jedoch kostenlose Plugins, mit welchen Sie alte URLs automatisch durch neue ersetzen können. Wir empfehlen das Plugin Better Search Replace. Nach der Installation können Sie unter Werkzeuge -> Better Search Replace nun die Datenbank nach allen alten HTTP URLs suchen und diese automatisch durch die neuen HTTPS URLs ersetzen lassen. Achten Sie darauf, dass Sie unter „Tabellen auswählen“ alle Tabellen ausgewählt haben.

Better Search Replace

Durch die automatische Umstellung können (eher selten) auch Datenbankfehler entstehen. Ganz unten in den Better Search Replace Einstellungen können Sie festlegen, ob Sie zunächst einen Testlauf durchführen möchten. Verläuft der Testlauf fehlerfrei, können Sie das Häkchen entfernen und die Änderungen am Live-System vornehmen.

Herzlichen Glückwunsch! Ihre Website sollte nun vollständig über HTTPS aufrufbar sein und das grüne Schloss vor dem Domainnamen enthalten.

Schritt 3: HTTPS Umleitung über die .htaccess Datei erzwingen

Wenn Ihre Website über Backlinks (z.B. Erwähnungen Ihrer URL in anderen Blogs oder Foren) verfügt, die noch auf die alte HTTP Seite verlinken, laufen diese nun natürlich ins Leere. Viele externe Verlinkungen auf Ihre Domain können Sie natürlich nicht selbst anpassen. In der .htaccess-Datei können Sie jedoch über eine 301-Weiterleitung erzwingen, dass Ihre alte HTTP Seite auf HTTPS umgeleitet wird. Wenn nun also jemand auf einer anderen Seite auf Ihre alte HTTP URL klickt, wird er automatisch auf die neue HTTPS Seite weitergeleitet. Dieser Vorgang ist sehr wichtig, da Backlinks ein wichtiger Google Rankingfaktor sind und ohne diese Anpassung wären die meisten von ihnen verloren, was sich negativ auf Ihre Google Platzierungen auswirken kann.

Die .htaccess-Datei befindet sich im Root-Verzeichnis Ihrer WordPress-Website, also dort, wo auch die Ordner „wp-content“ und „wp-admin“ liegen. Mit einem FTP Programm wie FileZilla können Sie auf Ihr Webseitenverzeichnis zugreifen. Öffnen Sie die .htacess-Datei in einem einfachen Texteditor und fügen Sie folgende Zeilen ganz am Anfang ein:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Manchmal kann es passieren, dass die .htaccess im Verzeichnis versteckt ist. Wenn Sie also im Root-Verzeichnis keine .htaccess-Datei sehen, dann klicken Sie bei FileZilla oben im Menü auf Server -> Auflistung versteckter Dateien erzwingen.

Schritt 4: Letzte Anpassungen

Sie haben es fast geschafft! Falls Sie die Google Search Console  nutzen, müssen Sie hier Google nur noch über die Adressänderung Ihrer Website informieren. Loggen Sie sich hierzu ein und klicken Sie auf die entsprechende Domain. Klicken Sie dann oben rechts auf das Zahnrad-Icon und dann auf „Adressänderung“.

Google Search Console

Folgen Sie den Anweisungen, um Google über die neue HTTPS Website zu informieren. Das war’s!

Und hier noch eine schöne Infografik zu dem Thema SSL Zertifikat:

SSL Infografik

Quelle: GoDaddy

Wie gut kennen Sie sich mit Online Marketing aus?

Kostenlose Downloads:

Buyer Persona Workbook

 

SEO Checkliste

 

Mehr aus unserem Blog

Alle Beiträge ansehen
Erik 15. August 2018