SSL Zertifikat | In 5 Schritten zur sicheren Website

Aktualisiert am 07-06-2020, von Ellena

SSL Zertifikat
Der Weg zum SSL-Zertifikat (Grafik: eb)

Ein gültiges SSL-Zertifikat wird von Suchmaschinen und Browsern honoriert. Was ist bei der Umstellung auf https zu beachten?

Websites ohne SSL Zertifikat

Die URL (Uniform Resource Locator = einheitlicher Quellen-Anzeiger) der meisten Websites begann bisher mit http://….

HTTP (Hypertext Transfer Protocol) ist ein zustandsloses Protokoll zur Übertragung von Daten über ein Rechnernetz. Es wird standardmäßig eingesetzt, um Webseiten über einen Browser zu laden. Da diesem Protokoll keine Sicherheitsfunktion zugrunde liegt, sind diese Seiten relativ leicht angreifbar.

Andererseits heißt das nicht, dass diese Websites tatsächlich immer unsicher sind. In Anbetracht der weiterhin zunehmenden „Hacker“-Aktivitäten, ist das Risiko bei diesen Webseites einfach höher, dass Login-Daten etc. von Dritten abgegriffen werden können.

Risiko-Minimierung mit SSL Zertifikat

Um das Internet sicherer zu machen, wurde das sicherere Hypertext Übertragungsprotokoll (HTTPS) eingeführt. Dabei handelt es sich um eine Transportverschlüsselung (SSL/TLS), die eine abhörsichere Übertragung von Daten ermöglicht. Sie kennen SSL/TLS (Secure Socket Layer/Transport Layer Security) vielleicht schon von Ihren E-Mail-Konten.

Vor allem Websites mit sensiblen Inhalten wie Online-Banking-Plattformen oder -Shops arbeiten schon lange mit einem SSL-Zertifikat. Dagegen waren die meisten Nachrichten-Portale oder Blogs unverschlüsselt. Denn die Verschlüsselung kann, abhängig vom Aussteller des Zertifikats und Hosting-Anbieter, relativ teuer sein.

Bevorzugung von verschlüsselten Webseiten

Da Google weltweit die größte Suchmaschine ist, sollte Ihre Website möglichst auch dafür optimiert sein. Neben einigen anderen Faktoren gehört auch ein SSL-Zertifikat dazu. Wie Google bereits im September 2016 in seinem Blog bekannt gab, wird es HTTP-Websites zukünftig zunehmend als not secure kennzeichnen.

Dementsprechend zeigen nicht nur der Chrome-, sondern auch andere Browser einen (Warn-) Hinweis bei Websites ohne SSL-Zertikat. Wie beispielsweise Mozilla mitteilt, wird Firefox in Zukunft eine nicht verschlüsselte Website gar nicht mehr anzeigen. Und es dürfte eine Frage der Zeit sein, wann andere Browser folgen werden.

SSL Zertifikat erwerben

Erste Anlaufstelle vor der Umstellung Ihrer Website ist Ihr Hosting-Anbieter. Zwar stellt dieser in der Regel selbst kein SSL Zertifikat aus. Aber Hosting-Anbieter arbeiten meistens mit bestimmten Zertifikat-Ausstellern zusammen und akzeptieren nur diese.

Auf der Homepage Ihres Hosters erfahren Sie, welche Zertifikate er anbietet. Bei manchen bekommen Sie nur ein kostenpflichtiges SSL Zertifikat. Jedoch finden Sie auch immer häufiger die Option, den kostenlosen Service z. B. von Let’s Encrypt zu verwenden.

Darüber hinaus spielt es eine Rolle, ob Sie nur ein SSL Zertifikat für eine Website benötigst oder ob Sie mehrere verschlüsseln möchten. Auf jeden Fall sollten Sie ein 2048-Bit-Schlüsselzertifikat verwenden.

Vorteile sind, dass Sie das SSL-Zertifikat von Let’s Encrypt nichts kostet. Außerdem steht es Ihnen innerhalb weniger Minuten zur Verfügung. In punkto Sicherheit gibt es keinen Unterschied zu einem kostenpflichtigen SSL Zertifikat. Jedoch kann deren Bereitstellung bis zu 24 Stunden dauern.

Jedoch ist es, wie die Zertifikate anderer Anbieter normalerweise auch, kein dauerhaftes Zertifikat. Je nach Hosting-Anbieter musst es alle 30 bis 90 Tage verlängert werden. Allerdings können Sie eine automatische Verlängerung einstellen.

Sicherheitshalber sollten Sie Ihre Website aber am Ablaufdatum des Zertifikats kurz kontrollieren. Denn es kann vorkommen, dass die automatische Verlängerung nicht funktioniert. Dann würde die Website vom Browser sofort mit einem Warnhinweis versehen oder gesperrt.

Vorbereitung

Bevor Sie das SSL Zertifikat implementieren, überprüfen Sie am besten die Inhalte Ihrer Website. So könnten Sie beispielsweise nicht mehr genutzte Bilder oder Videos löschen. Denn diese wären ein unnötiger Ballast bei der Umstellung.

Anschließend sollten Sie ein Plugin wie WP-Sweep oder WP-Optimize installieren. Es befreit Ihre Website von Überresten gelöschter Dateien und Codes. Darüber hinaus sind solche Plugins auch „im laufenden Betrieb“ Ihrer Website sehr nützlich.

Abschließend ist es von Vorteil, ein komplettes Backup Ihrer, nun etwas schlankeren Website zu erstellen und abzuspeichern. Denn bei allen größeren Umbauten besteht immer die Möglichkeit, dass Fehler auftreten, die schlimmstenfalls Inhalte Ihrer Website verschwinden lassen.

SSL Zertifikat – Installation

Zunächst loggen Sie sich bei Ihrem Hosting-Anbieter ein. Anschließend rufen Sie den Admin-Bereich für Ihren Webspace auf. Danach geht es wie folgt weiter:

  1. Paketverwaltung
  2. SSL
  3. SSL anlegen

Falls Ihr Hosting-Anbieter eine 1-Click-Installation anbietet:

  1. Auf den entsprechenden Button klicken
  2. zu verschlüsselnde Domain auswählen
  3. Haken bei automatische Verlängerung setzen[1].

[1] Wenn Sie das SSL Zertifikat nicht einen Tag vor Ablauf verlängern, erlischt es am darauf folgenden Tag ohne Vorwarnung. Ihre Seite wäre wieder unverschlüsselt und u. U. nicht mehr aufrufbar (s. auch unter SSL Zerifikat erwerben).

SSL Zertifikat einrichten
5 Schritte zur sicheren Website (Grafik: eb)

Unterschiedliche URLs – identischer Inhalt

Sobald Sie okay geklickt haben, wird Ihr SSL Zertifikat erstellt. Abschließend fehlt nur noch der Haken bei der automatischen Weiterleitung der alten Adresse auf die neue Website. Das vereinfacht das weitere Verfahren erheblich und hilft, doppelte Inhalte zu vermeiden.

Da es sich aus Sicht der Suchmaschinen bei bei http:// meine-seite .com und https:// meine-seite .com um zwei verschiedene Internetadressen handelt, führt das zu Problemen. Denn die Inhalte der alten und der neuen Website sind ja identisch. Der so entstandene doppelte Inhalt beeinflusst jedoch das Ranking der neuen Website negativ. Des weiteren vermeiden Sie so auch 404 Fehlermeldungen durch tote Links auf anderen Webseiten.

Änderungen im WP-Backend

Obwohl Ihre Seite jetzt über ein gültiges SSL Zertifikat verfügt, erkennt das WordPress zunächst nicht. Deshalb loggen Sie sich in Ihrem WP-Backend ein und nehmen folgende Änderungen vor:

  1. Einstellungen
  2. WordPress-Adressen URL und Website-Adressen URL
  3. bei beiden hinter http ein s einfügen = https://…
  4. Änderung übernehmen

Außerdem müssen Sie die URL auch in den Einstellungen der Plugins anpassen, die auf Ihre Website-URL direkt zugreifen.

Website läuft … immer noch nicht

Um zu überprüfen, ob Ihre Website jetzt auch über die neue Adresse aufrufbar ist, geben Sie die neue URL am besten in die Browser-Suchleiste eines anderen Geräts (andere IP-Adresse) oder im Incognito-Modus Ihres Browsers ein.

Entweder erscheint neben Ihrer URL jetzt ein graues/grünes Schloss oder das Schloss zeigt einen Warnhinweis. Letzteres ist wahrscheinlicher. Zwar ist Ihre Website als solche jetzt verschlüsselt, aber es scheint immer noch Inhalte zu geben, die es nicht sind.

Wenn Sie Erfahrung mit den Entwickler-Werkzeugen Ihres Browsers haben, können Sie auch dort Hinweise auf unverschlüsselten Inhalte finden. Falls Sie jedoch eher wenige technische Kenntnisse haben, bietet sich für die Suche die Verwendung eines Plugins an.

Korrektur unverschlüsselter Inhalte

Die bekanntesten und wohl auch besten WP-Plugins für diesen Zweck sind Suchen & Ersetzen (SearchReplace by inpsyde) sowie Better Search Replace. Obwohl beide nach dem gleichen Prinzip funktionieren, habe ich mit dem zweiten ein besseres Ergebnis erzielt.

  1. Alte URL (http://…) eintragen
  2. neue URL (https://…) eingeben
  3. zu durchsuchende Dateien markieren
  4. Haken bei Testlauf setzen
  5. Starten

Das kann je nach Anzahl Ihrer Dateien einige Minuten dauern. Am Ende erhalten Sie eine Liste, in der alle Dateien markiert sind, die angepasst werden müssten.

Wenn Sie damit einverstanden sind, wiederholen Sie den Vorgang ohne den Haken bei Testlauf zu setzen. Danach sollten alle unverschlüsselten Dateien korrigiert sein. Anschließend können Sie das Plugin wieder deinstallieren.

Defekte / zerbrochene Links

Darüber hinaus haben Sie die Möglichkeit, Ihre Website mit dem Broken Link Checker auf veraltete Links zu durchsuchen. Auch dieses Plugin könnten Sie hinterher wieder deinstallieren. Allerdings leistet es auch später noch gute Dienste.

Denn es passiert immer wieder, dass Beiträge, auf die Sie verlinken, aus dem Netz verschwinden. Da Sie kaum regelmäßig manuell alle Links kontrollieren werden, zeigt Ihnen das Plugin zerbrochene Links direkt in Ihrem WP-Dashboard an.

Wenn Sie kein Extra-Plugin installieren möchtest, gibt es die Möglichkeit Ihre Links auch über die kostenlose Website Free Broken Link Checker zu testen. Vor allem bietet sich dieser Online-Check an, wenn Ihre Website zahlreiche Verlinkungen zu externen Webseiten enthält.

Warnhinweis trotz SSL Zertifikat

Nachdem Sie alle Umstellungsmaßnahmen erfolgreich beendet haben, können in der Folgezeit erneut Probleme auftreten. So könnte Ihr Schloss je nach Browser plötzlich wieder „ergrauen“, orange werden oder er zeigt ein oranges Warndreieck bzw. ein durchgestrichenes Schloss.

Zwar verfügt Ihre Website nach wie vor über ein gültiges SSL-Zertifikat, einige Teile werden aber unverschlüsselt übertragen. Meistens sind dies alte Bilder. Diese werden u. U. in manchen Browsern in Zukunft nicht mehr angezeigt.

Um dem kritischen Inhalt auf die Spur zu kommen, ist etwas Detektivarbeit nötig. Zum einen eignet sich zur Suche auch wieder der Broken Link Checker. Zum anderen kann es auch passieren, dass er keine Probleme anzeigt, der Browser aber schon.

Entweder Sie …

  • überprüfen manuell z. B. alle Bilder und ändern sie, sofern Sie fündig werden,
  • heben im Browser die Blockierung gemischter Inhalte auf, indem Sie auf das Schloss klicken und den Anweisungen folgen (was natürlich keine Wirkung bei Besuchern Ihrer Website zeigt)
  • oder Sie leben damit, dass vielleicht einzelne Beiträge nicht zu 100 % verschlüsselt sind.

Wobei die beiden letzten Optionen natürlich die Sicherheit verringern. Vor allem das Aufheben der Blockierung im Browser birgt das größte Risiko. Denn damit „öffnen“ Sie sozusagen die gesamte Website, selbst wenn nur wenige unsichere Teile vorhanden sind.

Außerdem werden zunehmend mehr Browser vor solchen Websites warnen, was potentielle Besucher u. U. abschreckt. In Zukunft werden unsichere Websites wahrscheinlich gar nicht mehr geöffnet und das Ranking wird sich deutlich verschlechtern.

Anmeldung bei Google

Etwas komplizierter gestaltet sich die Umstellung im Webmaster-Tool, sofern Sie dieses verwenden.

  1. Google Search Console im Browser aufrufen
  2. mit einer Google-Mail-Adresse einloggen
  3. die https-Property als neue Property hinzufügen
  4. weiter zu „Sitemaps“
  5. gewünschte Sitemap/s mit der neuen URL hinzufügen

Falls Sie Google Analytics verwenden, müssen Sie sich …

  1. bei Google Analytics einloggen
  2. Verwaltung
  3. auf die alte Property klicken
  4. neue Property mit neuer Tracking-ID für die neue URL erstellen
  5. alte Property löschen

Kontrollieren Sie bei dieser Gelegenheit auch, ob Sie Google Analytics datenschutzkonform einsetzen. Haben Sie

  • einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen
  • die IP Anonymisierung aktiviert
  • Ihre Datenschutzerklärung aktualisiert und einen
  • Opt-out Button im Cookie-Hinweis mit einem Link zum Browser Plugin gesetzt?

Zurück im WP-Dashboard löschen Sie alle alten Angaben im Google Analytics-Plugin. Anschließend geben Sie Ihren neuen Tracking-Code ein und autorisiertest das Plugin erneut.

Sowohl beim Webmaster-Tool als auch bei Google Analytics kann die Umstellung einige Tage bis Wochen dauern, da Google alle Dateien neu crawlen muss.

Soziale Netzwerke etc.

Zuletzt dürfen Sie nicht vergessen, auch alle Links, die z. B. in Ihren Profilen auf die alte Website hinweisen, zu ändern. Denn je weniger Besucher über die Weiterleitung auf Ihre „neue Website“ kommen, desto besser. Schließlich sollen sie sich ja an die neue URL gewöhnen und Ihre Website direkt darüber besuchen.

Fazit

Auch wenn der oben beschriebene Weg langwierig und mühsam zu sein scheint, ist er doch der schnellste. Vor allem für Blogger, die sich nicht tiefergehend mit Programmierung und Coding auseinandersetzen wollen, bietet sich diese Methode an. Denn auf ein SSL Zertifikat zu verzichten ist definitiv die schlechteste Alternative.

Voraussetzung ist natürlich, dass Ihr Hosting-Anbieter mitspielt. Da der Druck durch die Betreiber von Suchmaschinen und Browsern stetig wächst, dürfte sich wohl kein Hosting-Anbieter mehr dagegen sträuben. Wenn doch, sollten Sie den Anbieter wechseln.

Bei mir hat die Umstellung auf eine Webseite mit SSL Zertifikat problemlos funktioniert. Darüber hinaus konnte ich auch keine Verschlechterung der Performance oder Traffic-Einbußen feststellen. Sogar Google hat es nach zwei Wochen geschafft, fast alle eingereichten Dateien und Bilder neu zu crawlen.

Fragen oder Anmerkungen » Kontakt

SSL
Sichere Webseiten erkennen
Websites
Schlechte gemachte Websites – wo liegt das Problem?
Um die Nutzung meiner Website zu optimieren, verwende ich Cookies. Diese werden nur auf Ihrem Gerät gespeichert. Ich erfasse und speichere keine personenbezogenen Daten meiner Website-Besucher.
AKZEPTIEREN
ABLEHNEN
Datenschutz