Höchste Zeit für HTTPS

Seit Anfang des Jahres haben Website-Betreiber in Deutschland die Pflicht, Daten aus Kontaktformularen verschlüsselt zur übertragen (§ 13 Abs. 7 TMG). Im Klartext heißt das: Wer Daten erhebt und diese ohne SSL überträgt, kann abgemahnt werden.

Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) sorgt für eine verschlüsselte Verbindung zwischen Website und Besucher. In unserem Fall also zwischen dem Webserver, der die Website bereitstellt, und dem Browser.
Um HTTPS einrichten zu können benötigt man ein Sicherheitszertifikat, SSL-Zertifikat genannt.

Diese Zertifikate werden von einer Zertifizierungsstelle ausgegeben. Dabei gibt es verschiedene „Eskalationsstufen“, also unterschiedlich aufwändige (und teure) Zertifikate:

  • Domain-Validierung
    Für die meisten Websites ist dieses Zertifikat ausreichend, da die Art der Verschlüsselung dieselbe ist wie bei den teureren Zertifikaten.
    Bei diesem Zertifikat wird ausschließlich die Identität des Seitenbetreibers geprüft und mit den Daten der Domainregistrierung abgeglichen. Dadurch steht dieses Zertifikat innerhalb kürzester Zeit bereit.
    ssl-domain-validierung
  • Organisations-Validierung
    In diesem Fall wird sowohl der Domaininhaber als auch die Organisation dahinter geprüft. Unter anderem geht es darum, ob die Organisation berechtigt ist, die Domain zu führen.
    Die Bereitstellung dauert ein paar Tage, unter anderem deshalb, weil man Belege liefern muss wie z.B. einen Auszug aus dem Handelsregister.
  • Extended Validation SSL
    Das teuerste Zertifikat im Bunde. Es ist aufgrund der hohen Kosten vor allem für Onlineshops oder große Hostinganbieter interessant.
    Um ein solches Zertifikat zu bekommen werden noch weitreichendere Prüfungen vorgenommen. Man erkennt das Zertifikat daran, dass in der Adressleiste nicht nur das grüne Schloss und „https“ zu finden ist sondern der Name des Unternehmens neben dem Schloss ausgeschrieben wird. Klickt man das Schloss an erhält man weitere Informationen:
    ssl-extended-validation

Diese Zertifikate kann man beispielsweise über den Hoster erwerben. Mittlerweile gibt es einige Hostingunternehmen, die die einfachen Zertifikate (Domain-Validierung) kostenlos anbieten.
Viele Hoster organisieren ihre Hosting-Pakete gerade um, insofern ruhig mal schauen und beim Hostingunternehmen nachfragen.

Was habe ich davon, HTTPS einzurichten?

Datenintegrität und Verschlüsselung

HTTPS sorgt im Wesentlichen dafür, dass die Verbindung zwischen dem Webserver, also Eurer Website, und dem Browser der Besucherin/des Besuchers verschlüsselt wird. Das bedeutet, dass die übertragenen Daten weder abgefangen noch verändert werden können. Ein sogenannter „Man-in-the-Middle-Angriff“ ist damit nicht möglich.

Besucherinnen und Besucher können sicher sein, dass sie das zu sehen bekommen, was wir ihnen zeigen wollten. Gleichzeitig kann auch niemand ihre Bewegungen auf der Website verfolgen und missbrauchen.

Suchmaschinen-Ranking

Google hat bereits begonnen, den Faktor Sicherheit bzw. Verschlüsselung in das Ranking aufzunehmen. Laut dem offiziellen Google Webmaster Blog wird Sicherheit zunehmend mehr Gewicht bekommen. Unverschlüsselte Websites haben damit praktisch keine Chance mehr, auf die vorderen Plätze in den Suchergebnissen zu kommen.

Ab Anfang 2017 werden Browser (Chrome, Firefox) vor Websites warnen, die kein gültiges SSL-Zertifikat haben und entsprechend nicht verschlüsselt ausgeliefert werden können.

Ist meine Seite dann zu 100% sicher?

Auch eine Seite mit einem SSL-Zertifikat kann gehackt werden, wenn man beispielsweise schwache Passwörter benutzt. Gegen Brute-Force-Attacken, die auf unsichere (= zu kurze) Passwörter abzielen, bietet SSL keinen Schutz.

Aber Login-Daten werden von nun an verschlüsselt übertragen und können nicht mehr so leicht geklaut werden.

Was muss ich tun?

Am einfachsten ist es, Ihr holt Euch bei Eurem Hoster ein SSL-Zertifikat. Dieses Zertifikat kostet ca. 3 bis 5 EUR im Monat (Laufzeiten von 12, 24 oder 36 Monaten). Viele Hoster bieten mittlerweile die Zertifikate zur Domain-Validierung kostenlos an.
Wer eine Domain und mehrere Subdomains schützen möchte, fährt mit einem sogenannten „Wildcard“-Zertifikat meist etwas günstiger. Es schützt eine Domain und beliebig viele Subdomains.

Bei WordPress müsst Ihr dann noch alle ULRs von „http“ auf „https“ umstellen und eine .htaccess-Weiterleitung auf die  Domain mit „https“ einrichten. Dazu gibt es bereits viele Anleitungen:
Am besten gefallen haben mir die von Hans Jung bei Pressengers oder die von Florian Brinkmann in der t3n.

Was HTTPS so alles tut (und was nicht) wird hier erklärt: HTTPS FAQ (Englisch).

11 Kommentare zu “Höchste Zeit für HTTPS

  • Hallo Elisabeth,

    danke für deinen Beitrag. Ich habe jedoch einen Einwand, denn ganz so einfach wie du es darstellst ist es leider nicht eine bestehende WordPress Seite auf SSL umzustellen. Ich war nach 3 Fehlversuchen glücklich über meinen Backupservice, der mir in diesem Fall auch 3 Mal das Leben oder besser gesagt meinen Blog gerettet hat. Ich habe in der Zeit viel gelernt und möchte den folgenden Beitrag empfehlen, da mir dieser als einziger wirklich weitergeholfen hat: https://schroeffu.ch/2015/09/wordpress-auf-100-https-only-umstellen-http-vollstaendig-deaktivieren/ .
    Viel Erfolg allen, die noch auf SSL umstellen müssen oder wollen.

    Liebe Grüße, Martin

    • Danke für den weiteren Link, Martin!
      An welcher Stelle hattest du denn die Probleme? Bei mir ging das bei allen Websites, die ich umstellen sollte, recht reibungslos. (toi, toi, toi…) Aber ein aktuelles Backup zu haben ist nie verkehrt.

  • Hallo,
    Sehr guter Artikel. Grundsätzlich funktioniert die Umstellung einer bestehenden WordPress Seite auf https ohne Probleme innerhalb weniger Minuten. Natürlich sollte man davor ein Backup seines Blogs machen. Denn Fehler können immer wieder auftreten.

  • Hallo Elisabeth,
    Nur so am Rande möchte ich erwähnen, dass das Zertifikat von Hans Jung bei Pressengers abgelaufen ist… Ich denke, das spricht für sich, wenn es um die Implementierung von https bzw. Zertifikaten geht. Für simple, über schon fast zwei Jahrzehnte hinweg existierende Websites mit Kontaktformularen, müssen nun kostenpflichtige Zertifikate eingesetzt werden. Ich empfinde diese Regelung als übertriebene und kostenverursachende Bürokratie – Aber da bin ich bestimmt nicht der einzige und ich muss mich ja hier nicht weiter darüber beschweren ;-)
    Bei mir hat es im ersten Anlauf mit einem Testzertifikat von HostEurope und WordPress nicht(!) funktioniert und ich muss nun sehen, wie ich dass bewerkstelligt bekomme… Ich sehe mir jetzt gleich mal den Link von Martin Schlobach näher an. @Martin – Danke dafür

    • Hans ist auch schon länger nicht mehr bei pressengers, nebenbei bemerkt, aber sein Artikel ist halt dort. ;)
      Wahrscheinlich hat jemand übersehen, dass das Zertifikat abgelaufen ist. Soll vorkommen und ist den Leuten bei Pressengers vermutlich SEHR peinlich. Aber an den Inhalten ändert das ja zum Glück nix.
      HostEurope fand ich auch ein bisschen verwirrend, man bekam eine email mit allerhand Daten. Am Ende musste man aber nur im Kundenmenü irgendwo ein Häkchen setzen. Ist aber schon ein paar Monate her.
      Viel Erfolg!

    • Pardon. Was den Link auf Hans Jung angeht… Ich wollte heute nochmal was nachlesen und es funktionierte wieder nicht. Diesmal habe ich genauer hingeschaut, warum Kaspersky es blockiert: Das Zertifikat von »servicecp.de« – auf »dem Weg zur Website« von Hans Jung ist nach zwei Jahren Laufzeit seit dem 25.05.2016 abgelaufen…

  • Das mit den Kommentaren wusste ich noch nicht … Die Umstellung auf https / TLS / HTTP/2 habe ich im vergangenen Dezember gemacht. Hat (bis auf 2 Ausnahmen) in einem Rutsch auf allen Blogs funktioniert. Einzig interne Links im jeweiligen Theme mussten noch per Hand auf https nachgezogen werden.

    Wintergrüße aus Hamburg

  • Christian Kirsch 17. Dezember 2016

    Es gibt kostenlose Zertifikate bei letsencrypt. Die haben eine Laufzeit von 3 Monaten, danach muss man sie erneuern. Daran erinnert eine automatisch versendete Mail.

    Wer will, darf natürlich auch ein kostenpflichtiges Zertifikat von einem anderen Anbieter einsetzen.

  • Vielen Dank für Deinen Artikel, hat mir grad gestern bei der Umstellung sehr geholfen.
    Mir war nicht bewusst, dass alles Java anscheinend dann Fehler verursacht, aber letztlich ist das ja auch nur gut, denn so werden alle Seiten sicherer und der Druck auf Seitenbetreiber ohne https größer.

    Denkt bitte bei der https Umstellung nachher in den Webmastertools daran, dass ihr eine neue Domain eintragen müsste und die Angaben (z.B. Land) genauso sein müssen, wie bei der http Domain. UND: falls ihr eine disavow-Datei hochgeladen habt, solltet ihr die auch in der neuen https Domain bei den WMT hochladen. Das hätte ich fast vergessen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.