Der Missbrauch von Daten wird immer mehr zu einem ernsthaften Problem. Im privaten wird immer mehr auf Cloud-Speicherlösungen vertraut. In Unternehmen wird Cyber Security auch immer mehr zu einem zentralen Punkt. Es werden Firmeninterne Daten gespeichert, Kundendaten und auch andere intime Details wie zum Beispiel Lohnabrechnungen. Sämtliche Bereiche werden digital. Eine SSL-Verschlüsselung gehört somit zu den Sicherheitsstandards. Doch wofür stehen SSL und HTTPS bei Webseiten?
Welcher Zweck wird erfüllt?
Der Begriff SSL ist die Abkürzung für „Secure Socket Layers“ und wird als Technik für die Verschlüsselung des Datenverkehrs im Internet eingesetzt. Bei einer Webseite wird die Übertragung zwischen dem Browser und dem Web-Server gesichert. Insbesondere im Online-Warenhandel werden vertrauliche Informationen übertragen und somit ist der Einsatz eines SSL-Zertifikats oder der Weiterentwicklung TLS (Transport Layer Security) unablässig. Zumal das Einrichten von SSL ziemlich einfach ist. Folgende Daten werden bei einem Transfer zum Beispiel geschützt:
- Login-Daten wie E-Mail-Adresse, Benutzername und Passwort
- Registrierungsdaten wie Name, Geschlecht, Adresse, Mail-Adressen, Telefonnummer
- Zahlungsinformationen
- Eingabeformulare (auch bei Kontaktformularen)
- Hochgeladene Dokumente vom Kunden Durch eine SSL-Verschlüsselung wird also sichergestellt, dass keiner mitlesen kann und auch die entsprechenden Dateien nicht manipulieren kann. Vor allem, wenn Sie öfters in einem Internet-Café sind, sollten Sie auf ein HTTPS-Protokoll besonderen Wert legen. Was das ist, erklären wir im nächsten Absatz.Was ist HTTPS?
HTTPS ist die Abkürzung für „Hypertext Transport Protocol Secure“ und ist das Protokoll zur sicheren Datenübertragung. HTTP ist dabei die nicht abgesicherte Variante. Heutzutage warnen moderne Browser sogar vor HTTP-Webseiten — zurecht. Angreifer können theoretisch immer mitlesen und Daten abändern. So kann sich der Kunde nie sicher sein, ob er seine Kreditkartendaten jetzt wirklich im Online-Shop hinterlassen hat oder doch bei einem Hacker. HTTPS: beziehungsweise SSL verschlüsselt die Daten und stellt die Authentizität zwischen Anfrage und Abfrage sicher. Experten empfehlen im übrigen vor allem den Einsatz von TLS-Zertifikaten —, selbst wenn von SSL die Rede ist, wird in der Regel TLS gemeint.
Ihre Vorteile, wenn Sie SSL/TLS und HTTPS nutzen:
- Rechtskonformer Einsatz Ihrer Webseite und Ihres Shops
- Datenschutz und große Sicherheit für Kunden und Partner
- Bevorzugung im Ranking bei Google, Bing & Co
- Ermöglicht HTTP/2 zur Verbesserung der Webseiten-Performance
- Sicherheitszertifikat ist leicht zu erkennen für Nutzer und verschafft vertrauen
- Internet-Browser verwehren den Zugang nicht — dadurch mehr Besucher
Von HTTP auf HTTPS umstellen
Ob eine bereits bestehende oder eine neue Seite ist ganz gleich. Jede Seite kann auf die Verschlüsselungstechnik setzen. Die Umstellung von HTTP auf HTTPS stellt dabei keinen großen Aufwand dar. Zuallererst muss ein entsprechendes Zertifikat für die eigene Domain beschafft werden.
SSL-Zertifikat einholen
Bei einem SSL-Zertifikat handelt es sich um einen Identitätsnachweis für eine Internetseite. Die offizielle Vergabestelle (CA) bürgt für die Richtigkeit der Angaben. Die Identität wird daher vorab geprüft — SSL-Zertifikate werden auf einem Server abgelegt und sobald ein Besucher die Webseite aufruft, wird dieses automatisch abgerufen. Hinsichtlich der Zertifikate gibt es einige Möglichkeiten. Anbei jeweils mit einer Erklärung.
Zertifikate mit Domain-Validierung
Bei diesen Zertifikaten handelt es sich um die niedrigste Authentifizierungsstufe. Die Vergabestelle prüft dabei lediglich, ob der Antragsteller auch wirklich der Besitzer der jeweiligen Domain ist. Es bleibt bei einer Domain-Validierung auch immer ein Restrisiko, weil Unternehmensinformationen nicht kontrolliert werden. Durch den geringen Aufwand ist dies auch die günstigste Variante der drei Zertifikatstypen. Fazit: Domain-Validierung eignet sich für Webseiten, bei denen Glaubwürdigkeit eher eine untergeordnete Rolle spielt.
Zertifikate mit Inhaber-Validierung
Diese Validierung ist deutlich umfangreicher und somit sicherer als die Domain-Validierung. Die CA prüft dabei die Domaininhaber und alle weiteren relevanten Unternehmensinformationen. Die Prüfung geht sogar bis ins Handelsregister. Bonus: Die überprüften Informationen sind dabei für jeden Besucher einsehbar. Der Aufwand muss sich auch bezahlt machen, daher ist ein SSL-Zertifikat mit Inhaber-Validierung deutlich preisintensiver. Fazit: Dieses SSL-Zertifikat eignet sich für Webseiten, worüber ein Datenverkehr mit nicht-sensiblen Daten stattfindet.
Zertifikate mit Extended Validierung
Bei diesem Zertifikat handelt es sich um die höchste und umfangreichste Validierungsstufe. Dabei wird noch detaillierter auf die Unternehmensinformationen eingegangen. Der jeweilige Prüfer unterliegt auch strengen Vergabekriterien. Ebenfalls eine Besonderheit ist, dass dieses Zertifikat auch nur wiederum von autorisierten Vergabestellen übermittelt wird. Die strengen Auflagen und die ausführliche Prüfung des Unternehmens gewährt die höchste Sicherheitsstufe überhaupt. Das stärkt die Glaubwürdigkeit der Webseite und auch das Vertrauen. Gleichzeitig ist es aber auch das teuerste Zertifikat. Fazit: Dieses Zertifikat ist ideal für Webseiten, welche sensible Daten erheben. Insbesondere richtet es sich an Online-Shops oder Online-Banking.
Installation eines SSL-Zertifikats
Das SSL-Zertifikat ist eingeholt und nun erfolgt die Installation. Einige Hosting-Anbieter übernehmen dies teilweise sogar automatisch. Bei Luxhosting.com haben Sie die Möglichkeit ab 8,50 Euro im Jahr ein Positive SSL zu kaufen. Dies kann zum Beispiel direkt auf Webseiten aus dem Website Builder angewendet oder bei Ihrem Web Hosting Paket. Die Konfiguration ist in der Benutzeroberfläche ziemlich einfach, weil es auf korrekte Zertifikate, richtige Verschlüsselungsart und passende Server-Konfiguration ankommt — alle drei Schritte erfüllen unsere Server.
Probleme bei der Umstellung
Es könnte bei der Umstellung auf HTTPS zu Fehler kommen, die allerdings vermieden werden sollte, damit keine Rankings bei Google, Bing & Co verloren gehen. Außerdem kann es passieren, dass Ihre Webseite für wenige Minuten nicht mehr abrufbar ist. Das sollte ebenfalls vermieden werden. Damit Sie nicht in Gefahr laufen, dass Ihnen dasselbe passiert, haben wir uns auch damit auseinandergesetzt und eine Anleitung zusammengestellt. Der häufigste Fehler ist, dass die Zertifikate nicht erneuert werden. Ein ungültiges oder abgelaufenes SSL-Zertifikat führt zu einer eher Warnung im Browserfenster. Microsoft Edge warnt mit „Seien Sie hier vorsichtig!“ Und Google Chrome warnt mit einem dezenten „Nicht Sicher“. Damit schaffen Sie sicherlich kein Vertrauen. Andere Browser verwehren auch das downloaden zusätzlich auf diesen Seiten. Ein weiterer Fehler ist die unkorrekte Weiterleitung. Es kommt zu Duplicate Content, wenn der 301-Redirect nicht korrekt eingerichtet wird. 301 ist eine permanente Weiterleitung, sodass es nur noch die HTTPS-Variante gibt. Nun geht es darum, dass der Inhalt entsprechend angepasst wird. Wenn Sie ein Widget aus einer externen Seite eingebunden haben über HTTP, dann wird Ihnen ebenfalls wieder eine Warnmeldung angezeigt und auch das grüne Schloss in der Adressleiste verschwindet. Der Fehler liegt oftmals in den Werbeanzeigen. In den Profilen der Werbetreibenden können und sollten Sie ebenfalls auf HTTPS umstellen. Die Webmaster Tools bei Google und Bing sowie Tracking-Tools wie Google Analytics gehören zum Standard einer jeden Webseite. Sie sollen hier ebenfalls auf HTTPS wechseln, denn theoretisch handelt es sich bei der HTTP- und HTTPS-Variante um zwei verschiedene Webseiten. Die XML-Sitemap ist ideal, damit Suchmaschinen es einfacher haben, Ihren Content auszulesen. Es ist aber zu Ihrem Nachteil, wenn hier die Links ebenfalls nicht auf HTTPS aktualisiert sind. Die Verlinkungen können generell zu einem Problem führen. Die interne Verlinkung sollte ebenfalls aktualisiert werden. Bei einem CMS wie WordPress mit eigenem Webhosting, sollten Sie hier auf ein Plugin wie „Better Search and Replace“ setzen. So müssen Sie nicht jeden Link manuell abändern. Bei externen Links sollten Sie auch auf HTTPS-Seiten setzen.
Jetzt erhöhte Sicherheit durch ein SSL-Zertifikat
Woran erkenne ich, ob ich ein gültiges SSL-Zertifikat habe?
Wenn Ihre Webseite erfolgreich umgestellt wurde, dann besitzt Ihre Webseite in der URL nun den HTTPS-Zusatz. Anstatt https://luxhosting.com/ ist es von nun an . Das „s“ steht wie bereits erwähnt für „secure“ und zeigt an, dass es sich um eine sichere Umgebung handelt. Ein gültiges SSL-Zertifikat sehe Sie durch ein grünes Schloss in der Adressleiste. Das ist sowohl bei der Inhabervalidierung als auch bei der Domainvalidierung der Fall. Sollte das SSL-Zertifikat fehlerhaft sein, dann wird das grüne Schloss mit einem gelben Warndreieck ergänzt. Sofern kein SSL-Zertifikat gefunden wurde, wird der Browser das entsprechend anzeigen mit einem Zusatz wie „Diese Verbindung ist nicht sicher“ oder „Seien Sie Vorsichtig“. Und er Regel führt das dazu, dass die Webseiten-Besucher direkt wieder verschwinden.
Höherer Trust Wert für Unternehmensseiten
Ein erhöhtes Nutzervertrauen wird durch das SSL-Zertifikat geschaffen. Das ist ein wesentliches Argument für eine sichere Datenverbindung. Vertrauen war im Internet noch nie so wichtig wie heute. Es wird von den Betreibern oft vergessen, dass wir am Ende des Tages auch nur Konsumenten sind. Jede Webseite die täglich abgerufen wird, ist sicherlich SSL-Zertifiziert, das kann auch das Online-Banking sein. Aber auch E-Mails sollten verschlüsselt sein, was jedoch nur selten der Fall ist. Ein SSL-Zertifikat ist kostenlos erhältlich bei Let’s Encrypt. Wenn Sie gerade eine Firmenhomepage erstellt haben, dann gibt es nun drei Handlungsempfehlungen:
- Binden Sie ein SSL-Zertifikat ein mit einer hohen Sicherheitsstufe
- Erwerben Sie Trustsiegel für zum Beispiel sicheren Zahlungsverkehr
- „Always on SSL“ aktivieren, damit jede Unterseite gesichert ist
Jetzt eine eigene Homepage mit SSL bei Luxhosting.com erstellen
