Seit Anfang des Jahres haben Website-Betreiber in Deutschland die Pflicht, Daten aus Kontaktformularen verschlüsselt zur übertragen (§ 13 Abs. 7 TMG). Im Klartext heißt das: Wer Daten erhebt und diese ohne SSL überträgt, kann abgemahnt werden.

Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) sorgt für eine verschlüsselte Verbindung zwischen Website und Besucher. In unserem Fall also zwischen dem Webserver, der die Website bereitstellt, und dem Browser.
Um HTTPS einrichten zu können benötigt man ein Sicherheitszertifikat, SSL-Zertifikat genannt.

Diese Zertifikate werden von einer Zertifizierungsstelle ausgegeben. Dabei gibt es verschiedene „Eskalationsstufen“, also unterschiedlich aufwändige (und teure) Zertifikate:

  • Domain-Validierung
    Für die meisten Websites ist dieses Zertifikat ausreichend, da die Art der Verschlüsselung dieselbe ist wie bei den teureren Zertifikaten.
    Bei diesem Zertifikat wird ausschließlich die Identität des Seitenbetreibers geprüft und mit den Daten der Domainregistrierung abgeglichen. Dadurch steht dieses Zertifikat innerhalb kürzester Zeit bereit.ssl-domain-validierung
  • Organisations-Validierung
    In diesem Fall wird sowohl der Domaininhaber als auch die Organisation dahinter geprüft. Unter anderem geht es darum, ob die Organisation berechtigt ist, die Domain zu führen.
    Die Bereitstellung dauert ein paar Tage, unter anderem deshalb, weil man Belege liefern muss wie z.B. einen Auszug aus dem Handelsregister.
  • Extended Validation SSL
    Das teuerste Zertifikat im Bunde. Es ist aufgrund der hohen Kosten vor allem für Onlineshops oder große Hostinganbieter interessant.
    Um ein solches Zertifikat zu bekommen werden noch weitreichendere Prüfungen vorgenommen. Man erkennt das Zertifikat daran, dass in der Adressleiste nicht nur das grüne Schloss und „https“ zu finden ist sondern der Name des Unternehmens neben dem Schloss ausgeschrieben wird. Klickt man das Schloss an erhält man weitere Informationen:
    ssl-extended-validation

Diese Zertifikate kann man beispielsweise über den Hoster erwerben. Mittlerweile gibt es einige Hostingunternehmen, die die einfachen Zertifikate (Domain-Validierung) kostenlos anbieten.
Viele Hoster organisieren ihre Hosting-Pakete gerade um, insofern ruhig mal schauen und beim Hostingunternehmen nachfragen.

Was habe ich davon, HTTPS einzurichten?

Datenintegrität und Verschlüsselung

HTTPS sorgt im Wesentlichen dafür, dass die Verbindung zwischen dem Webserver, also Eurer Website, und dem Browser der Besucherin/des Besuchers verschlüsselt wird. Das bedeutet, dass die übertragenen Daten weder abgefangen noch verändert werden können. Ein sogenannter „Man-in-the-Middle-Angriff“ ist damit nicht möglich.

Besucherinnen und Besucher können sicher sein, dass sie das zu sehen bekommen, was wir ihnen zeigen wollten. Gleichzeitig kann auch niemand ihre Bewegungen auf der Website verfolgen und missbrauchen.

Suchmaschinen-Ranking

Google hat bereits begonnen, den Faktor Sicherheit bzw. Verschlüsselung in das Ranking aufzunehmen. Laut dem offiziellen Google Webmaster Blog wird Sicherheit zunehmend mehr Gewicht bekommen. Unverschlüsselte Websites haben damit praktisch keine Chance mehr, auf die vorderen Plätze in den Suchergebnissen zu kommen.

Ab Anfang 2017 werden Browser (Chrome, Firefox) vor Websites warnen, die kein gültiges SSL-Zertifikat haben und entsprechend nicht verschlüsselt ausgeliefert werden können.

Ist meine Seite dann zu 100% sicher?

Auch eine Seite mit einem SSL-Zertifikat kann gehackt werden, wenn man beispielsweise schwache Passwörter benutzt. Gegen Brute-Force-Attacken, die auf unsichere (= zu kurze) Passwörter abzielen, bietet SSL keinen Schutz.

Aber Login-Daten werden von nun an verschlüsselt übertragen und können nicht mehr so leicht geklaut werden.

Was muss ich tun?

Am einfachsten ist es, Ihr holt Euch bei Eurem Hoster ein SSL-Zertifikat. Dieses Zertifikat kostet ca. 3 bis 5 EUR im Monat (Laufzeiten von 12, 24 oder 36 Monaten). Viele Hoster bieten mittlerweile die Zertifikate zur Domain-Validierung kostenlos an.
Wer eine Domain und mehrere Subdomains schützen möchte, fährt mit einem sogenannten „Wildcard“-Zertifikat meist etwas günstiger. Es schützt eine Domain und beliebig viele Subdomains.

Bei WordPress müsst Ihr dann noch alle ULRs von „http“ auf „https“ umstellen und eine .htaccess-Weiterleitung auf die  Domain mit „https“ einrichten. Dazu gibt es bereits viele Anleitungen:
Am besten gefallen haben mir die von Hans Jung bei Pressengers oder die von Florian Brinkmann in der t3n.

Was HTTPS so alles tut (und was nicht) wird hier erklärt: HTTPS FAQ (Englisch).