Auf https umstellen

Es ist sinnvoll, deine Webseite auf https bzw. SSL umzustellen. Zertifikate gibt es inzwischen kostenlos und die Einrichtung ist unkompliziert.

Vielleicht hast du es ja mitbekommen, es gibt immer mehr Webeitenbetreiber, die ihre "URLs" umstellen. Wo vorher ein http:// prangte, steht nun ein https.

Was hat es damit auf sich?

(picture: ein-schloss-am-rechner.png alt: Symbolbild für SSL)

SSL gewährleistet die verchlüsselte Übertragung von Daten. Es gibt aktuell einen großen Ansturm darauf, unter Anderem, weil vor einiger Zeit das Gerücht rum ging: Wer seine Seite nicht über https anbietet, wird im Google-Ranking fallen.

Tatsächlich haben die ersten Browser, allen voran Firefox, angefangen da ein bisschen rigoroser zu sein. Der Firefox blendet inzwischen einen Warnhinweis ein, wenn man auf einer Webseite ein Formular abschicken will und die Webseite nicht über https erreichbar ist.

Solche Warnhinweise will man auf der eigenen Webseite natürlich vermeiden, das ist aber trotzdem nur ein Grund von Vielen, warum man über SSL nachdenken sollte.

Funktionsweise

Nehmen wir das Formular von eben und gehen davon aus, dass es via https zu erreichen ist. Ich gebe alle notwendigen Daten ein und will diese abschicken. Vor dem Senden, werden mein Eingaben verschlüsselt und dann erst an den Server übertragen. Nur dieser Server kann sie entschlüsseln.

Angreifern, die meine Daten auf dem Weg von mir zum Server abgreifen, sind so nicht in der Lage sie zu lesen.

Deshalb umstellen

Damit dürfte der Schritt von Mozilla (die Entwickler von Firefox) klar sein. Schließlich kann ich in einem Formular ja persönliche, schützenswerte Daten eingeben, die bitte nicht abgefangen werden sollen.

Noch wichtiger ist das natürlich bei Shopseiten, dort gebe ich eventuell ja sogar meine Zahlungsdaten ein. Diese können noch so gut verschlüsselt auf dem Server liegen, sicher sind sie erst, wenn sie auch verschlüsselt - also via ssl - übertragen werden.

SSL-Zertifikat beziehen

Um es klar zu machen: Natürlich könnte man so ein Zertifikat selber erstellen, aber selbsterstellte Zertifikate kann eben jeder erstellen, deshalb wird ihnen nicht vertraut.

letsencrypt

Um ein offizielles Zertifikat zu beziehen, muss man sich an eine Vergabestellen richten. Die derzeit bekannteste dürfte letsencrypt sein. Diese bieten seit einiger Zeit kostenlose Zertifikate auf Domainbasis an.

Solche Zertfikate können entweder direkt über ein Tool von letsencrypt erstellt werden und müssen dann in den Webserver eingebunden werden. Das geht also bei einem normalen Hosting-Paket nicht, denn dort hat man in der Regel keinen direkten Zugriff auf den Server.

Immer mehr Hoster bieten allerdings ein kostenloses Zertifikat über letsencrypt an, https://all-inkl.com ist einer davon.

Hoster

Viele größere Hoster bieten zudem Pakete an, in denen bereits ein Zertifikat enthalten ist. Zusätzliche Zertifikate (oder wenn eben keines enthalten ist), kann man meist hinzu bestellen. Die Kosten varrieren hier stark, je nach Art des Zertifikats.

Die Umstellung

Neben der eigentlichen Einrichtung des Zertifikats, muss ggf. auch das CMS umgestellt werden. WordPress bietet hier die Möglichkeit in den allgemeinen Einstellungen einfach die URLs anzupassen. Bei anderen CMS funktioniert das natürlich auch anders.

Nachdem man aber das CMS umstellt hat, sollte man die eigene Seite noch mal absuchen. Denn es kann sein, dass zwar die vom CMS generierten URLs umgestellt sind, aber CSS-Dateien, JavaScripte, Bilder oder Schriften noch über eine http-url eingebunden werden.

Seiten auf denen das der Fall ist, werden zwar als sicher angezeigt, allerdings mit dem Hinweis, dass eben Teile der Seite über ein unsicheres Protokoll geladen wurden. Also hier genau nachprüfen!

Nachteile

Angeblich soll die Umstellung auf https einen möglichen Drop des Google-Rankings erzeugen. Die einen sagen so, die anderen so. Ich kann mir nicht wirklich vorstellen, dass dies eine eklatante Änderung des Rankings nach sich zieht, denn gerade Google forciert die Umstellung auf SSL.

Achtung Podcaster! Wir müssen unsere Seiten leider auch weiterhin zusätzlich unter http anbieten. Zumindest wenn wir bei iTunes vertreten sein wollen. Hier gibt es leider immer noch Probleme, Apple hat es bisher nicht geschafft, dass mp3-Dateien über https abgerufen werden können.

Stellt also beide Varianten zur Verfügung. Die Browser sind so schlau, auf https zu wechseln, iTunes nimmt die http-Variante.

Feedback

Probleme mit der Umstellung? Fragen? Schreib mir weiter unten einen Kommentar und hinterlasse mich auf jeden Fall hier einen Daumen hoch oder runter.