Umstellung auf SSL/TLS-Verschlüsselung

Warum du deine Webseite jetzt auf SSL umstellen sollst

Immer mehr Webseiten bieten „sichere Verbindungen“ via HTTPS mit SSL/TLS (Erklärung folgt weiter unten) an. Das erkennst du in vielen Browsern daran, dass oben rechts neben der Adresse ein grünes Schloss angezeigt wird. Mit dem letzten Update des Firefox wird auch bei der Eingabe von Login-Daten auf Seiten, die keine sichere Verbindung anbieten ausdrücklich gewarnt, dass diese Daten mitgelesen werden können.

SSL verschlüsselte Webseite im Browser
websteiger.de ist über eine verschlüsselte Verbindung gesichert, zu erkennen am grünen Schloss im Browser

Plötzlich wird mit Begriffen wie „unsichere Verbindung“ und Warnmeldungen um sich geworfen, dass einem schwindelig wird. Dabei haben wir uns alle jahrelang über solche „unsicheren“ Verbindungen in Foren und sonstwo angemeldet.

Sichere Verbindungen brauchten da nur Online-Shops, wo du wirklich Bankdaten und so weiter angegeben hast.

Das Problem ist folgendes: Selbst wenn sich auf deiner Webseite außer dir niemand anmelden kann, solltest du trotzdem auf eine „sichere Verbindung“ umstellen und ich sage dir auch warum.

Die großen „Bestimmer“ des Internets, allen voran Google, drängen immer stärker darauf, alle Webseiten nur noch verschlüsselt auszuliefern. In Zeiten von NSA, CIA und Co sicher ein nobler Ansatz. Google bevorzugt sogar SSL-verschlüsselte Seiten in den Suchergebnissen. Der Bonus ist (noch) gering aber vorhanden.

Das weitaus größere Problem ist aber die Panikmache der Browser-Entwickler.

Oben habe ich es schon angesprochen. Mit dem letzten Firefox-Update taucht eine fette Warnung bei jedem Login auf, der nicht verschlüsselt ist. Das grüne Schloss gibt es ja schon länger und ich sage dir, früher oder später kommt das rote Schloss bei unverschlüsselten Seiten.

unverschlüsselter WordPress Login
Diese Warnung zeigt mein Firefox seit dem letzten Update bei unverschlüsselten Logins

Jetzt stell dir mal vor, ein ahnungsloser Besucher landet auf deiner Webseite und bekommt als erste ein fettes rotes Warnschild mit dem Hinweis „diese Seite ist nicht sicher“ vor den Latz geknallt. Du kannst dir sicher vorstellen, dass der schneller weg ist als du SSL sagen kannst.

Wenn du dich jetzt nicht darum kümmerst deine Seite zu verschlüsseln, laufen dir morgen die Besucher weg. (Ja, ich kann auch dramatisch sein ;-))

Was brauchst du, um deine Webseite zu verschlüsseln?

Damit deine Webseite über eine gesicherte Verbindung aufgerufen werden kann, brauchst du ein Zertifikat. Es ist noch gar nicht lange her, dass du für so einen digitalen Schein hundert und mehr Euro pro Jahr abdrücken musstest.

Ich will hier gar nicht so sehr auf die Details dieser Zertifikate eingehen. Auf Wikipedia kannst du dazu mehr lesen, wenn du möchtest.

Inzwischen gibt es zum Glück eine sehr gute und unkomplizierte Methode an ein kostenloses Zertifikat zu kommen, das weltweit akzeptiert wird. Mit Let’s Encrypt wurde ein Service ins Leben gerufen der diese Zertifikate ausstellt. Der Dienst wird von vielen großen Playern des Internets, darunter Google und Facebook, gesponsert.

Einen winzig kleinen Haken gibt es: Die Zertifikate sind nur 90 Tage lang gültig und müssen danach erneuert werden. Der Service ist so angelegt, dass das automatisch passieren soll. Das alles einzurichten ist aber kompliziert und auch nicht bei jedem Hoster möglich, da du recht tief in die Servereinstellungen musst.

Erfreulicherweise übernehmen immer mehr Hosting-Anbieter das für dich und du kannst dein Zertifikat ganz einfach per Klick in deinem Kundenkonto erstellen. Frag bei deinem Anbieter nach. Wird kein kostenloses SSL angeboten und auch kein Termin zur Einführung genannt, denk mal über einen Wechsel des Hosters nach.

Was bedeutet eigentlich HTTPS, SSL und TLS

Jetzt werfe ich hier schon die ganze Zeit mit Kürzeln um mich, höchste Zeit die mal zu erklären.

HTTPS heißt „HyperText Transfer Protocol Secure“ und ist ein Protokoll zur Übertragung von Daten im Internet. Genauso wie HTTP, das nur nicht „Secure“ ist ;-).

SSL und TLS meint im Grunde das Gleiche. SSL steht für „Secure Sockets Layer“ und ist die alte Bezeichnung für TLS „Transport Layer Security“. Dieses Protokoll wird zur Verschlüsselung von Daten eingesetzt. Obwohl SSL eigentlich die alte Bezeichnung ist, wird das Kürzel häufiger verwendete als TLS. Wenn du also nicht gerade einen Informatik-Blog liest, kannst du davon ausgehen, dass die Bezeichnungen synonym verwendet werden (hier auf meinem Blog übrigens auch).

Was sind die Vorteile von SSL?

  • eingegebene Daten werden verschlüsselt und somit „sicher“ übertragen
  • Google gibt dir dafür einen kleinen Ranking-Bonus
  • es ist Voraussetzung für HTTP/2

Was ist HTTP/2 und was hat das mit SSL zu tun?

HTTP/2 ist die Version 2 des HTTP-Protokolls, über das wir weiter oben schon gesprochen haben. Das tolle an HHTP/2 ist, dass es Webseiten deutlich schneller machen kann, weil es mehrere Anfragen zur gleichen Zeit erlaubt.

Ein Beispiel: Auf deiner Webseite sind sechs Bilder zu sehen. HTTP/1 fragt Bild 1 beim Server an, der Server überträgt die Daten und dein Browser lädt das Bild. Erst wenn das Bild geladen wurde kann Bild 2 angefragt werden.

HTTP/2 fragt einfach alle sechs Bilder gleichzeitig an.

Übrigens, und damit wären wir wieder bei den Browser-Entwicklern, braucht HTTP/2 rein technisch gesehen kein SSL. Nur akzeptieren die gängigen Browser keine unverschlüsselten HTTP/2 Übertragungen.

So stellst du deine (WordPress-)Webseite auf SSL um

Je nach Webseite und Hoster funktioniert das etwas unterschiedlich. Ganz kurz zusammengefasst musst du (oder dein Web-Admin) folgendes tun:

  • Zertifikat einbinden (das geht beim Webhoster)
  • bei sämtlichen internen URLs und Verlinkungen das „s“ hinter „http“ ergänzen (bei WordPress unter „Einstellungen“ -> „Allgemein“ bei den URLs für „WordPress-Adresse“ und „Website-Adresse“, anschließend mit dem Search and Replace Plugin nach deiner alten HTTP-URL suchen und mit der neuen HTTPS-URL ersetzen. Vorher natürlich ein Backup machen)
  • in der HTACCESS deiner Seite eine Weiterleitung von der HTTP- zur HTTPS-Version einrichten

Die Weiterleitung für die HTACCESS sieht folgendermaßen aus:

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </IfModule>

Hast du deine Seite schon umgestellt oder hast du noch Fragen dazu? Schreib es mir in den Kommentaren.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Meine Webseite nutzt Cookies. Nutzt du die Seite weiterhin, erklärst du dich damit einverstanden. Mehr Infos dazu