Webdesign

SSL Zertifikat | In 5 Schritten zur sicheren Website

Ein gültiges SSL-Zertifikat wird von Suchmaschinen und Browsern honoriert. Was ist bei der Umstellung auf https zu beachten?

von Ellena -

Websites ohne SSL Zertifikat

Die URL, der einheitliche Quellen-Anzeiger der meisten Websites begann lange Zeit mit http://…. und sie waren somit nicht verschlüsselt.

Andererseits heißt das nicht, dass diese Websites tatsächlich immer unsicher waren. In Anbetracht der weiterhin zunehmenden Hacker-Aktivitäten, ist das Risiko bei diesen Webseites einfach höher, dass Login- oder andere persönliche Daten von Dritten abgegriffen werden können.

SSL Zertifikat - In 5 Schritten zur sicheren Website
Grafik: eb / Logo: Let’s Encrypt

Risiko-Minimierung mit SSL Zertifikat

Um das Internet sicherer zu machen, wurde das sicherere Hypertext Übertragungsprotokoll HTTPS eingeführt. Dabei handelt es sich um eine Transportverschlüsselung – SSL und TLS, die eine sichere Übertragung von Daten ermöglicht. Du kennst diese Transportverschlüsselungsarten vielleicht schon von deinen E-Mail Konten.

Vor allem Websites mit sensiblen Inhalten wie Online-Banking-Plattformen oder -Shops arbeiten schon lange mit einem SSL Zertifikat. Dagegen waren die meisten Nachrichten-Portale oder Blogs unverschlüsselt. Denn die Verschlüsselung kann, abhängig vom Aussteller des SSL Zertifikats und Hosting-Anbieter, relativ teuer sein.

Bevorzugung von verschlüsselten Websites

Da Google weltweit die größte Suchmaschine ist, sollte deine Website möglichst auch für das Ranking bei Google optimiert sein. Neben einigen anderen Faktoren gehört auch ein SSL Zertifikat dazu. Wie Google bereits im September 2016 in seinem Blog bekannt gab, wird es › HTTP-Websites zukünftig zunehmend als not secure kennzeichnen.

Dementsprechend zeigen nicht nur der Chrome-, sondern auch andere Browser bei Websites ohne SSL Zertifikat einen Warnhinweis. Wie beispielsweise Mozilla mitteilt, wird Firefox in Zukunft eine nicht verschlüsselte Website gar nicht mehr anzeigen. Und es dürfte eine Frage der Zeit sein, wann andere Browser folgen werden.

SSL Zertifikat erwerben

Erste Anlaufstelle vor der Umstellung deiner Website ist dein Hosting-Anbieter. Zwar stellt dieser in der Regel selbst kein SSL Zertifikat aus. Aber Hosting-Anbieter arbeiten meistens mit bestimmten SSL Zertifikat-Ausstellern zusammen und akzeptieren nur diese.

Auf der Homepage oder im Dashboard deines Hosters erfährst du, welche Zertifikate er anbietet. Bei manchen bekommst du nur ein kostenpflichtiges SSL Zertifikat, edoch findest du auch immer häufiger die Option, den kostenlosen Service beispielsweise von Let’s Encrypt zu verwenden.

› Let’s Encrypt

Darüber hinaus spielt es eine Rolle, ob du nur ein SSL Zertifikat für eine Website benötigst oder ob du mehrere verschlüsseln möchtest. Auf jeden Fall solltest du ein 2048-Bit-Schlüsselzertifikat verwenden.

Vorteile sind, dass das SSL-Zertifikat von Let’s Encrypt nichts kostet. Außerdem steht es dir innerhalb weniger Minuten zur Verfügung. In puncto Sicherheit gibt es keinen Unterschied zu einem kostenpflichtigen SSL Zertifikat. Deren Bereitstellung kann aber bis zu 24 Stunden dauern.

Allerdings ist Let’s Encrypt, wie die Zertifikate anderer Anbieter normalerweise auch, kein dauerhaftes Zertifikat. Je nach Hosting-Anbieter musst du es alle 30 bis 90 Tage verlängern. Allerdings kannst du auch eine automatische Verlängerung einstellen.

Erneuerung des Zertifikats prüfen
Sicherheitshalber solltest du deine Website aber am Ablaufdatum des Zertifikats kurz kontrollieren. Denn es kann vorkommen, dass die automatische Verlängerung nicht funktioniert. Dann würde die Website vom Browser sofort mit einem Warnhinweis versehen oder gesperrt.

Vorbereitung

Bevor du das SSL Zertifikat einsetzt, überprüfst du am besten die Inhalte deiner Website. So kannst du beispielsweise nicht mehr genutzte Bilder oder Videos löschen. Denn diese wären ein unnötiger Ballast bei der Umstellung.

Anschließend solltest du ein Plug-in wie WP-Sweep oder WP-Optimize installieren. Es befreit deine Website von Überresten gelöschter Dateien und Codes. Darüber hinaus sind solche Plug-ins auch im laufenden Betrieb deiner Website sehr nützlich.

› WP Sweep
› WP Optimize

Abschließend ist es von Vorteil, ein komplettes Backup deiner, nun etwas schlankeren Website zu erstellen und abzuspeichern. Denn bei allen größeren Umbauten besteht immer die Möglichkeit, dass Fehler auftreten, die schlimmstenfalls Inhalte deiner Website verschwinden lassen.

SSL Zertifikat – Installation

Zunächst loggst du dich bei deinem Hosting-Anbieter ein. Anschließend rufst du den Admin-Bereich für deinen Webspace auf. Danach geht es wie folgt weiter:

  1. Paketverwaltung
  2. SSL
  3. SSL anlegen

Falls dein Hosting-Anbieter eine 1-Click-Installation anbietet:

  1. Auf den entsprechenden Button klicken
  2. zu verschlüsselnde Domain auswählen
  3. Haken bei automatische Verlängerung setzen [1].

[1] Wenn du das SSL Zertifikat nicht einen Tag vor Ablauf verlängerst, erlischt es am darauf folgenden Tag ohne Vorwarnung. Deine Seite wäre wieder unverschlüsselt und unter Umständen nicht mehr aufrufbar – síehe auch unter « SSL Zertifikat erwerben.

SSL Zertifikat - Zertifikat anfordern
Schritt für Schritt zum SSL Zertifikat (Grafik: eb/Logo: Let’s Encrypt)

Unterschiedliche URLs – Identischer Inhalt

Sobald du auf okay geklickt hast, wird dein SSL Zertifikat erstellt. Abschließend fehlt nur noch der Haken bei der automatischen Weiterleitung der alten Adresse auf die neue Website. Das vereinfacht das weitere Verfahren erheblich und hilft, doppelte Inhalte zu vermeiden.

Da es sich aus Sicht der Suchmaschinen bei bei http:// meine-seite .de und https:// meine-seite .de um zwei verschiedene Internetadressen handelt, führt das zu Problemen. Denn die Inhalte der alten und der neuen Website sind ja identisch. Der so entstandene doppelte Inhalt beeinflusst jedoch das Ranking der neuen Website negativ. Des weiteren vermeidest du mit der Weiterleitung auch 404 Fehlermeldungen durch tote Links auf anderen Webseiten.

Änderungen im WP-Backend

Obwohl deine Seite jetzt über ein gültiges SSL Zertifikat verfügt, erkennt das WordPress zunächst nicht. Deshalb loggst du dich in deinem WP-Backend ein und nimmst folgende Änderungen vor:

  1. Einstellungen
  2. WordPress-Adressen URL und Website-Adressen URL
  3. bei beiden hinter http ein s einfügen: https://…
  4. Änderung übernehmen

Außerdem musst du die URL auch in den Einstellungen der Plug-ins, die auf deine Website-URL direkt zugreifen, anpassen.

Website läuft … immer noch nicht

Um zu überprüfen, ob deine Website jetzt auch über die neue Adresse aufrufbar ist, gibst du die neue URL am besten in die Browser-Suchleiste eines anderen Geräts mit einer anderen IP-Adresse oder im Privaten Modus deines Browsers ein.

Entweder erscheint neben deiner URL jetzt ein verriegeltes Schloss oder das Schloss zeigt einen Warnhinweis. Letzteres ist wahrscheinlicher. Zwar ist deine Website als solche jetzt verschlüsselt, aber es scheint immer noch Inhalte zu geben, die es nicht sind.

Wenn du Erfahrung mit den Entwickler-Werkzeugen deines Browsers hast, kannst du auch dort Hinweise auf unverschlüsselte Inhalte finden. Falls du jedoch über eher wenige technische Kenntnisse verfügst, bietet sich für die Suche die Verwendung eines speziellen Plugins an.

SSL Zertifikat - Verschlüsselung überprüfen
SSL Zertifikat – Verschlüsselung überprüfen (Grafik: eb)

Korrektur unverschlüsselter Inhalte

Das bekannteste und wohl auch beste WP-Plug-in für diesen Zweck ist Better Search Replace. Zur Durchführung des Tests gehst du wie folgt vor:

  1. Alte http://… URL eintragen
  2. neue https://… URL eingeben
  3. zu durchsuchende Dateien markieren
  4. Haken bei Testlauf setzen
  5. Starten

Das kann je nach Anzahl deiner Dateien einige Minuten dauern. Am Ende erhältst du eine Liste, in der alle Dateien markiert sind, die angepasst werden müssten.

Wenn du damit einverstanden bist, wiederholst du den Vorgang ohne den Haken bei Testlauf zu setzen. Danach sollten alle unverschlüsselten Dateien korrigiert sein. Anschließend kannst du das Plugin wieder deinstallieren.

› Better Search Replace

Darüber hinaus hast du die Möglichkeit, deine Website mit dem Broken Link Checker auf veraltete Links zu durchsuchen. Auch dieses Plug-in kannst du hinterher wieder deinstallieren. Allerdings leistet es eventuell auch später noch gute Dienste. Denn es passiert immer wieder, dass Beiträge, auf die du verlinkst, aus dem Netz verschwinden. Da du kaum regelmäßig manuell alle Links kontrollieren wirst, zeigt dir das Plugin zerbrochene Links direkt in deinem WP-Dashboard an.

Wenn du kein Extra-Plug-in installieren möchtest, gibt es die Möglichkeit deine Links auch über die Website Free Broken Link Check kostenlos zu testen. Vor allem bietet sich dieser Online-Check an, wenn deine Website zahlreiche Verlinkungen zu externen Webseiten enthält.

› WP Broken Link Checker
› BrokenLinkCheck

Warnhinweis trotz SSL Zertifikat

Nachdem du alle Umstellungsmaßnahmen erfolgreich beendet hast, können in der Folgezeit erneut Probleme auftreten. So könnte dein Schloss je nach Browser sich plötzlich wieder öffnen, orange werden oder es erscheint ein oranges Warndreieck oder ein durchgestrichenes Schloss.

Zwar verfügt deine Website nach wie vor über ein gültiges SSL-Zertifikat, einige Teile werden aber unverschlüsselt übertragen. Meistens sind dies alte Bilder. Diese werden unter Umständen in manchen Browsern in Zukunft nicht mehr angezeigt.

Um dem kritischen Inhalt auf die Spur zu kommen, ist etwas Detektivarbeit nötig. Zum einen eignet sich zur Suche auch wieder der Broken Link Checker. Zum anderen kann es auch passieren, dass er keine Probleme anzeigt, der Browser aber schon.

Entweder du …

  • überprüfst manuell alle Bilder und änderst deren URL, sofern du fündig wirst,
  • hebst im Browser die Blockierung gemischter Inhalte auf, indem du auf das Schloss klickst und den Anweisungen folgst, was natürlich keine Wirkung bei externen Besuchern deiner Website zeigt
  • oder du lebst damit, dass vielleicht einzelne Beiträge nicht zu 100 Prozent verschlüsselt sind.

Wobei die beiden letzten Optionen natürlich die Sicherheit verringern und keine echten Alternativen sind. Das Aufheben der Blockierung im Browser birgt das größte Risiko, denn damit öffnest du sozusagen die gesamte Website, selbst wenn nur wenige unsichere Teile vorhanden sind. Auf Dauer einige unsichere Inhalte auf der Website zu behalten ist jedoch nicht wesentlich weniger problematisch. Moderne Browser blockieren oft auch unverschlüsselte Einzelseiten, selbst wenn die Website ansich verschlüsselt ist und Interessenten werden deine gesamte Website vielleicht nicht mehr aufrufen.

Bei dieser Gelegenheit solltest du auch Links, die auf externe Seiten verweisen, hinsichtlich deren Verschlüsselung überprüfen. Zwar ist es nicht verboten, auf unsichere Inhalte zu verweisen, aber du zeigst mehr Verantwortungsbewusstsein in puncto Sicherheit im Internet, wenn du nicht auf solche Webseiten verlinkst. Nicht zuletzt setzt du mit unverschlüsselten Inhalten oder Links zu solchen Seiten das Vertrauen deiner Leser auf Spiel.

Anmeldung bei Google

Etwas komplizierter gestaltet sich die Umstellung im › Webmaster-Tool, sofern du dieses verwendest.

  1. Google Search Console im Browser aufrufen
  2. mit einer Google-Mail-Adresse einloggen
  3. die https-Property als neue Property hinzufügen
  4. weiter zu Sitemaps
  5. gewünschte Sitemaps mit der neuen URL hinzufügen

Falls du › Google Analytics verwendest, müsstest du dich …

  1. bei Google Analytics einloggen
  2. Verwaltung
  3. auf die alte Property klicken
  4. neue Property mit neuer Tracking-ID für die neue URL erstellen
  5. alte Property löschen

Kontrolliere bei dieser Gelegenheit auch, ob du Google Analytics datenschutzkonform, das heißt, die Version GA4 mit den notwendigen technischen Anpassungen einsetzt. Hast du zumindest

  • mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen
  • die IP Anonymisierung aktiviert
  • deine Datenschutzerklärung aktualisiert und einen
  • Opt-out Button im Cookie-Hinweis mit einem Link zum Browser Plug-in gesetzt?

Zurück im WP-Dashboard löschst du alle alten Angaben im Google Analytics-Plugin. Anschließend gibst du deinen neuen Tracking-Code ein und autorisierst das Plug-in erneut.

Sowohl beim Webmaster-Tool als auch bei Google Analytics kann die Umstellung einige Tage bis Wochen dauern, da Google seine Webcrawler neu durch alle Dateien wandern lassen muss.

Soziale Netzwerke etc.

Zuletzt darfst du nicht vergessen, auch alle Links, die zum Beispiel in deinen Social Media Profilen auf die alte Website hinweisen, zu ändern. Denn je weniger Besucher nur über die Weiterleitung auf deine sozusagen neue Website kommen, desto besser. Schließlich sollen sie sich ja an die neue URL gewöhnen und deine Website direkt darüber besuchen.

SSL Zertifikat - Zusammenfassung

SSL Zertifikat – Zusammenfassung

Bei mir hat die Umstellung auf eine Webseite mit SSL Zertifikat problemlos funktioniert. Darüber hinaus konnte ich auch keine Verschlechterung der Performance oder Einbußen bei den Besucherzahlen feststellen. Sogar Google hat es nach zwei Wochen geschafft, fast alle eingereichten Dateien und Bilder neu zu crawlen.

Voraussetzung ist natürlich, dass dein Hosting-Anbieter mitspielt. Da der Druck durch die Betreiber von Suchmaschinen und Browsern stetig wächst, dürfte sich wohl kein Hosting-Anbieter mehr dagegen sträuben. Wenn doch, solltest du den Anbieter wechseln.

Fazit

Auch wenn der oben beschriebene Weg langwierig und mühsam zu sein scheint, ist er doch der schnellste. Vor allem für Blogger, die sich nicht tiefergehend mit Programmierung und Codes auseinandersetzen wollen, bietet sich diese Methode an. Denn auf ein SSL Zertifikat zu verzichten ist definitiv keine Option.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

Ergänzende Beiträge

Sichere Webseiten | Was bedeutet Verschlüsselung? 404 Fehlermeldung | 6 Tipps zur Vermeidung toter Links Ranking von Websites | Informationen und 3 Testmethoden Veraltete Website | 8 gravierende Fehler beheben Hosting von Websites | 8 Tipps für die Wahl des richtigen Anbieters luckycloud Hosting | Sicheres zuverlässiges Webhosting

NEUESTEr / Aktualisierter BEITRag

WP-Plugins - 12 empfehlenswerte Erweiterungen

WP Plug-ins | 13 empfehlenswerte Erweiterungen

BEITRagskategorien und Lexikon

Webdesign Reviews How To Allgemein Digitales von A bis Z
Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2025 eb Webdesign

AGB/Dokumente Impressum Datenschutz Barrierefreiheit