SSL-Zertifikat | Schritt für Schritt zur sicheren Webseite

. Veröffentlicht: • Aktualisiert: 2018-12-14

Eine verschlüsselte Webseite schafft nicht nur mehr Vertrauen bei deinen Besuchern. Ein gültiges SSL-Zertifikat wird auch von Suchmaschinen und Browsern honoriert. Was ist bei der Umstellung auf https zu beachten?

Webseiten ohne SSL-Zertifikat

Die URL (Uniform Resource Locator = einheitlicher Quellen-Anzeiger) der meisten Webseiten begann bisher mit http://….

SSL-Zertifikat
Illustration: eb / ebblogs

HTTP (Hypertext Transfer Protocol) ist ein zustandsloses Protokoll zur Übertragung von Daten über ein Rechnernetz. Es wird standardmäßig eingesetzt, um Webseiten über einen Browser zu laden. Da diesem Protokoll keine Sicherheitsfunktion zugrunde liegt, sind diese Seiten relativ leicht angreifbar.

Andererseits heißt das nicht, dass diese Seiten tatsächlich immer unsicher sind. In Anbetracht der weiterhin zunehmenden „Hacker“-Aktivitäten, ist das Risiko bei diesen Webseiten einfach höher, dass Login-Daten etc. von Dritten abgegriffen werden können.

» Vorbereitung
» WP-Backend
» Korrekturen
» Google

Risiko-Minimierung

Um das Internet sicherer zu machen, wurde das sichere Hypertext Übertragungsprotokoll (HTTPS) eingeführt. Dabei handelt es sich um eine Transportverschlüsselung (SSL/TLS), die eine abhörsichere Übertragung von Daten ermöglicht. Du kennst SSL/TLS (Secure Socket Layer/Transport Layer Security) vielleicht schon von deinen E-Mail-Konten.

Vor allem Webseiten mit sensiblen Inhalten wie Online-Banking-Plattformen oder -Shops arbeiten schon lange mit einem SSL-Zertifikat. Dagegen waren die meisten Nachrichtenseiten oder Blogs unverschlüsselt. Denn die Verschlüsselung ist, abhängig vom Aussteller des Zertifikats und Hosting-Anbieter, relativ teuer.

Bevorzugung von verschlüsselten Webseiten

Da Google weltweit die größte Suchmaschine ist, sollte deine Webseite möglichst auch dafür optimiert sein. Neben einigen anderen Faktoren trägt auch ein SSL-Zertifikat dazu bei.
Wie Google bereits im September 2016 in seinem Blog bekannt gab, wird es HTTP-Webseiten zukünftig zunehmend als not secure kennzeichnen.

Dementsprechend zeigen nicht nur der Chrome-, sondern auch andere Browser einen (Warn-) Hinweis bei Webseiten ohne SSL-Zertikat.

Erwerben eines Zertifikats

Erste Anlaufstelle vor der Umstellung deiner Webseite ist dein Hosting-Anbieter. Zwar stellt dieser in der Regel selbst kein SSL-Zertifikat aus. Aber Hosting-Anbieter arbeiten meistens mit bestimmten Zertifikat-Ausstellern zusammen und akzeptieren nur diese.

Auf der Webseite deines Hosts erfährst du, welche Zertifikate er anbietet. Bei manchen bekommst du nur ein kostenpflichtiges SSL-Zertifikat. Jedoch findest du auch immer häufiger die Option, den kostenlosen Service von Let’s Encrypt zu verwenden.

Darüber hinaus spielt es eine Rolle, ob du nur ein SSL-Zertifikat für eine Webseite benötigst oder ob du mehrere Seiten verschlüsseln möchtest. Auf jeden Fall solltest du ein 2048-Bit-Schlüsselzertifikat verwenden.

Vorteile sind, dass dich das SSL-Zertifikat von Let’s Encrypt nichts kostet. Außerdem steht es dir innerhalb weniger Minuten zur Verfügung.

Andererseits ist es kein dauerhaftes Zertifikat. Je nach Hosting-Anbieter musst es alle 30 bis 90 Tage verlängert werden. Allerdings kannst du auch eine automatische Verlängerung einstellen. In punkto Sicherheit gibt es keinen Unterschied zu einem kostenpflichtigen SSL-Zertifikat. Jedoch kann deren Bereitstellung bis zu 24 Stunden dauern.

Vorbereitung

Bevor du das SSL-Zertifikat implementierst, überprüfst du am besten die Inhalte deiner Webseite. So könntest du nicht mehr genutzte Bilder oder Videos löschen. Denn diese wären ein unnötiger Ballast bei der Umstellung.

Anschließend solltest du ein Plugin wie WP-Sweep oder WP-Optimize installieren. Es befreit deine Webseite von Überresten gelöschter Dateien oder Codes. Darüber hinaus sind solche Plugins auch „im laufenden Betrieb“ deiner Webseite sehr nützlich.

Abschließend ist es sicherer, ein komplettes Backup deiner, nun etwas schlankeren Webseite zu erstellen und abzuspeichern. Denn bei allen größeren Umbauten besteht immer die Möglichkeit, dass Fehler auftreten.

Installation

Zunächst loggst du dich bei deinem Hosting-Anbieter ein. Anschließend rufst du den Admin-Bereich für deinen Webspace auf. Danach geht es wie folgt weiter:

+ Paketverwaltung
++ SSL
+++ SSL anlegen

Außerdem bieten einige Hosting-Anbieter eine 1-Click-Installation an.

+ auf den entsprechenden Button klicken,
++ zu verschlüsselnde Domain auswählen
+++ Haken bei automatischer Verlängerung setzen

Letzteres ist zu empfehlen, da bei einer Laufzeit von 30 bis 90 Tagen das manuelle Verlängern leicht in Vergessenheit gerät. Falls du das SSL-Zertifikat nicht einen Tag vor Ablauf verlängerst, erlischt es am darauf folgenden Tag und deine Seite ist wieder unverschlüsselt. Anschließend ist deine „neue“ Webseite u. U. nicht mehr aufrufbar.

Unterschiedliche URLs – identischer Inhalt

Sobald du okay geklickt hast, wird dein SSL-Zertifikat erstellt. Abschließend fehlt nur noch der Haken bei der automatischen Weiterleitung der alten Adresse auf die neue Webseite. Das vereinfacht das weitere Verfahren erheblich und hilft, doppelte Inhalte zu vermeiden.

Da es sich aus Sicht der Suchmaschinen bei bei http://meine-seite.com und https://meine-seite.com um zwei verschiedene Internetadressen handelt, führt das zu Problemen. Denn idealerweise sind die Inhalte der alten und neuen Webseite identisch. Der so entstandene doppelte Inhalt beeinflusst jedoch das Ranking der neuen Webseite negativ. Des weiteren vermeidest du so auch tote Links auf anderen Webseiten.

Änderungen im WP-Backend

Obwohl deine Seite jetzt über ein gültiges SSL-Zertifikat verfügt, erkennt das WordPress zunächst nicht.
Deshalb loggst du dich in deinem Backend ein und nimmst folgende Änderungen vor:

+ Einstellungen
++ WordPress-Adresse URL und Webseiten-Adresse URL
+++ bei beiden hinter http ein s einfügen = https://…
++++ Änderung übernehmen

Außerdem musst du die URL auch in den Einstellungen der Plugins anpassen, die auf deine URL direkt zugreifen.

Webseite läuft … immer noch nicht

Um zu überprüfen, ob deine Webseite jetzt auch über die neue Adresse aufrufbar ist, gibst du die neue URL am besten in die Browser-Suchleiste eines anderen Geräts (andere IP-Adresse) oder im Incognito-Modus ein.

Entweder erscheint neben deiner URL jetzt ein grünes Schloss oder das Schloss bleibt grau. Letzteres ist wahrscheinlicher. Zwar ist deine Webseite jetzt verschlüsselt, aber es scheint immer noch Inhalte zu geben, die es nicht sind.

Da es vor allem für technisch weniger begabte Webseiten-Betreiber schwierig ist, den fehlerhaften Inhalten auf die Spur zu kommen, bietet sich für die Suche die Verwendung eines Plugins an.

Korrektur unverschlüsselter Inhalte

Die bekanntesten und wohl auch besten WP-Plugins für diesen Zweck sind Suchen & Ersetzen (SearchReplace by inpsyde) sowie Better Search Replace. Obwohl beide nach dem gleichen Prinzip funktionieren, habe ich mit dem zweiten ein besseres Ergebnis erzielt.

+ alte URL (http://meine-seite.com) eintragen
++ neue URL (https://meine-seite.com) eintragen
+++ zu durchsuchende Dateien markieren
++++ Haken bei Testlauf setzen
+++++ starten

Das kann je nach Anzahl deiner Dateien einige Minuten dauern. Am Ende erhältst du eine Liste, in der alle Dateien markiert sind, die angepasst werden müssten. Wenn du damit einverstanden bist, wiederholst du den Vorgang ohne den Haken bei Testlauf. Danach sollten alle falschen Dateien korrigiert sein. Anschließend kannst du das Plugin wieder deinstallieren.

Defekte / zerbrochene Links

Darüber hinaus hast du die Möglichkeit, deine Webseite mit dem Broken Link Checker auf veraltete Links zu durchsuchen. Auch dieses Plugin könntest du hinterher wieder deinstallieren. Allerdings leistet es auch später noch gute Dienste.

Vor allem wenn deine Seite zahlreiche Verlinkungen zu externen Webseiten enthält. Denn es passiert immer wieder, dass Beiträge, auf die du verlinkst, aus dem Netz verschwinden. Da du kaum regelmäßig manuell alle Links kontrollieren wirst, zeigt dir das Plugin zerbrochene Links direkt auf deinem WP-Dashboard an.

» ABBILDUNGEN

Graues Schloss mit Warndreieck

Nachdem du alle Umstellungsmaßnahmen erfolgreich beendet hast, können in der Folgezeit erneut Probleme auftreten. So könnte dein grünes Schloss plötzlich wieder ergrauen, orange werden oder ein oranges Warndreieck erscheint.

Zwar verfügt deine Webseite nach wie vor über ein gültiges SSL-Zertifikat, einige Teile der Seite werden aber unverschlüsselt übertragen. Meistens sind dies alte Grafiken. Um dem kritischen Inhalt auf die Spur zu kommen, ist etwas Detektivarbeit nötig. Zum einen eignet sich zur Suche auch wieder der Broken Link Checker. Zum anderen kann es auch passieren, dass er keine Probleme anzeigt, der Browser aber schon.

Entweder du …

  • untersuchst manuell z. B. alle Grafiken und änderst sie, sofern du fündig wirst,
  • hebst im Browser die Blockierung gemischter Inhalte auf, indem du auf das Schloss klickst und den Anweisungen folgst
  • oder du lebst damit, dass vielleicht einzelne Beiträge nicht zu 100 % verschlüsselt sind.

Wobei die beiden letzten Optionen natürlich die Sicherheit verringern. Vor allem das Aufheben der Blockierung im Browser birgt das größte Risiko. Denn damit gibst du sozusagen die gesamte Webseite frei, selbst wenn nur wenige unsichere Teile vorhanden sind.

Anmeldung bei Google

Etwas komplizierter gestaltet sich die Umstellung im Webmaster-Tool.

+ Rufe die Google Search Console auf
++ logge dich ein
+++ füge die https-Property als neue Property hinzu
++++ gehe zu Crawling
+++++ Sitemaps
++++++ füge die gewünschten Sitemaps mit der neuen URL hinzu.

Falls du Google Analytics verwendest …

+ Logge dich bei Google Analytics ein.
++ gehe zu Verwaltung
+++ klicke auf deine alte Property,
++++ erstelle eine komplett neue für die neue Adresse
+++++ mit einer neuen Tracking-ID und
++++++ lösche die alte Property.

Kontrolliere bei dieser Gelegenheit, ob du Google Analytics datenschutz-konform einsetzt:

  • Vertrag zur Auftragsdatenverarbeitung abgeschlossen
  • IP Anonymisierung aktiviert
  • Datenschutzerklärung aktualisiert
  • Opt Out Cookies und Link zum Browser Plugin gesetzt

Zurück auf dem WP-Dashboard löschst du alle alten Angaben im Google Analytics-Plugin. Anschließend gibst du deinen neuen Tracking-Code ein und autorisiertest das Plugin neu.

Sowohl beim Webmaster-Tool als auch bei Google Analytics kann die Umstellung einige Tage bis Wochen dauern, da Google alle Dateien neu crawlen muss.

Soziale Netzwerke etc.

Zuletzt darfst du nicht vergessen, auch alle Links, die z. B. in deinen Profilen auf die alte Webseite hinweisen, zu ändern. Denn je weniger Besucher über die Weiterleitung auf deine neue Seite kommen, desto besser. Schließlich sollen sie sich ja an die neue URL gewöhnen und deine Seite direkt darüber besuchen.

Fazit

Auch wenn der oben beschriebene Weg langwierig und mühsam zu sein scheint, ist er doch der schnellste. Vor allem für Blogger, die sich nicht tiefergehend mit Programmierung und Coding auseinandersetzen wollen, bietet sich diese Methode an. Denn auf ein SSL-Zertifikat zu verzichten ist definitiv die schlechteste Alternative.

Voraussetzung ist natürlich, dass dein Hosting-Anbieter mitspielt. Da der Druck durch die Betreiber von Suchmaschinen und Browsern stetig wächst, dürfte sich wohl kein Hosting-Anbieter mehr dagegen sträuben. Wenn doch, solltest du den Anbieter wechseln.

Bei mir hat die Umstellung auf eine Webseite mit SSL-Zertifikat problemlos funktioniert. Darüber hinaus konnte ich auch keine Verschlechterung der Performance oder Traffic-Einbußen feststellen. Sogar Google hat es nach zwei Wochen geschafft, fast alle eingereichten Dateien und Bilder neu zu crawlen.


Das könnte dich auch interessieren:

Vermeidung von 404 Fehlermeldungen


Schreibe einen Kommentar