SSL-Zer­ti­fi­ka­te auch 2019 sicher ein­bin­den und testen

screenshot des ssl labs testtools

SSL? HTTPS? Was bedeu­tet das, wel­che Vor­tei­le haben Sie davon und wie kön­nen Sie über­prü­fen, ob es anstän­dig läuft? Das kom­ple­xe The­ma Ver­schlüs­se­lung mit mög­lichst weni­gen Defi­ni­tio­nen und Fach­be­grif­fen kom­pakt erklärt.

4.9/5 – (83 votes) 

Wer braucht SSL?

Laut der DSGVO brauchen alle Web­seiten eine SSL-Ver­schlüs­se­lung, die in irgend­ei­ner Form per­so­nen­be­zo­ge­ne Daten erhe­ben und verarbeiten.
Daten sind per­so­nen­be­zo­gen, wenn sie ein­deu­tig einer bestimm­ten natür­li­chen Per­son zuge­ord­net wer­den kön­nen. Damit sind auch Daten, über die sich ein Per­so­nen­be­zug her­stel­len lässt, als per­so­nen­be­zo­ge­ne Daten anzu­se­hen (Bei­spie­le: Kfz-Kenn­zei­chen, Kon­to­num­mer, Ren­ten­ver­si­che­rungs­num­mer), selbst wenn die Zuord­nungs­in­for­ma­tio­nen nicht all­ge­mein bekannt sind. Ent­schei­dend ist allein, dass es gelin­gen kann, die Daten mit ver­tret­ba­rem Auf­wand einer bestimm­ten Per­son zuzuordnen.
Damit braucht de fac­to jede Web­seite mit einem Kon­takt­for­mu­lar, in dem der Name zusam­men mit der E‑Mail Adres­se abge­fragt wird, eine SSL-Verschlüsselung.

Vor­tei­le einer Umstel­lung auf SSL und HTTPS

Auch wenn Ihre Web­seite kei­ne per­so­nen­be­zo­ge­nen Daten erhebt, kann eine SSL-Ver­schlüs­se­lung für Sie Sinn machen. Ist die ver­schlüs­sel­te Daten­über­tra­gung aktiv, befin­den sich in der Brow­ser­zei­le links neben der URL ein grü­nes Schloss und der Ver­merk, dass die Sei­te sicher ist. Im Gegen­satz dazu wer­den Sei­ten, die kei­ne ver­schlüs­sel­te Über­tra­gung nut­zen, in Brow­sern wie Chro­me oder Fire­fox als unsi­cher mar­kiert. Dadurch ent­steht leicht das Gefühl, dass die betref­fen­de Sei­te an sich unsi­cher sei. Außer­dem ist die ver­schlüs­sel­te Daten­über­tra­gung ein inzwi­schen bestä­tig­ter Ran­king­fak­tor bei Google.
Mit einem SSL-Zer­ti­fi­kat erhö­hen Sie also das Ver­trau­en der Besucher in Ihre Web­site und wer­den auch noch leich­ter über Google gefunden.

Was ist SSL?

Bei SSL han­delt es sich um eine Tech­nik, die dafür sorgt, dass Daten mit einer ver­schlüs­sel­ten Ver­bin­dung im Inter­net über­tra­gen wer­den kön­nen – das kön­nen Daten von Web­seiten oder die Über­tra­gung zwi­schen E‑Mail Ser­vern sein. Mit SSL wird sicher­ge­stellt, dass der Daten­austauch weder mit­ge­le­sen noch mani­pu­liert wer­den kann.

Ein­fach gesagt ist SSL also eine abhör­si­che­re Lei­tung, über die sich Ser­ver mit ande­ren Ser­vern und Daten­ban­ken aus­tau­schen können.

Was bedeu­tet HTTPS?

HTTP (Hyper Text Trans­fer Pro­to­col) ist ein Pro­to­koll, also eine Spra­che, in der sich Web­ser­ver mit ande­ren Ser­vern und Daten­ban­ken aus­tau­schen -„Web­ser­vera­nisch“, sozu­sa­gen. Durch die Ver­schlüs­se­lung des HTTP-Pro­to­kolls mit SSL wird aus HTTP HTTPS (Hyper Text Trans­fer Pro­to­col Secu­re) – Web­ser­ver­spra­che durch abhör­si­che­re Leitungen!
Sie erken­nen eine ver­schlüs­sel­te Web­seite also dar­an, dass ihre Adres­se mit https:// beginnt. Moder­ne Brow­ser kenn­zeich­nen ver­schlüs­sel­te Web­seiten zusätz­lich mit einem grü­nen, geschlos­se­nen Vor­hän­ge­schloss in der Adresszeile.

Was macht ein SSL-Zertifikat?

Damit ein Brow­ser eine ver­schlüs­sel­te Ver­bin­dung zu einem Ser­ver und damit zu einer Web­seite auf­bau­en kann, muss der Brow­ser wis­sen, ob der Ser­ver auch zu der Domain gehört, für die er sich aus­gibt. Für die­se Authen­ti­fi­zie­rung der besuch­ten Web­seite wird auch das SSL-Zer­ti­fi­kat genutzt.

SSL-Zer­ti­fi­ka­te die­nen also der Ver­schlüs­se­lung der Daten­über­tra­gung und der Authen­ti­fi­zie­rung des Datenempfängers.

Jeder Inha­ber einer Web­seite kann bei einer aner­kann­ten Zer­ti­fi­zie­rungs­stel­le ein SSL-Zer­ti­fi­kat bean­tra­gen. Mehr zu Zer­ti­fi­zie­rungs­stel­len und Zer­ti­fi­kats­ty­pen lesen Sie in unse­rem Arti­kel „Wie fin­de ich das rich­ti­ge SSL-Zer­ti­fi­kat?“.

schluessel

Gro­ße Schlüs­sel, klei­ne Schlüssel

Wird ein Zer­ti­fi­kat erteilt, so signiert die Zer­ti­fi­zie­rungs­stel­le den öffent­li­chen Schlüs­sel, um anzu­zei­gen, dass die­ser in den Augen der Zer­ti­fi­zie­rungs­stel­le glaub­wür­dig ist. Mit die­sem kryp­to­gra­phi­schen Schlüs­sel wer­den die Nach­rich­ten ver­schlei­ert. Um die Nach­richt wie­der zu ent­schlüs­seln, also in den Ursprungs­zu­stand zurück zu ver­set­zen, wird ein wei­te­rer Schlüs­sel benö­tigt, der pri­va­te Schlüs­sel. Die­ser pri­va­te Schlüs­sel ist ein­zig auf dem veri­fi­zier­ten Ser­ver fest instal­liert und kann die Nach­rich­ten entschlüsseln.
Die Anlei­tung, wie eine Nach­richt zu ver­schlüs­seln ist (der öffent­li­che Schlüs­sel) kann also frei ver­füg­bar gemacht wer­den, wäh­rend die ein­zi­ge Mög­lich­keit die ver­schlüs­sel­te Nach­richt wie­der zu deko­die­ren (der pri­va­te Schlüs­sel) hin­ter Schloss und Rie­gel gehal­ten wer­den kann.
Bei den Schlüs­seln han­delt es sich um kryp­to­gra­fi­sche Datei­en von unter­schied­li­cher Grö­ße: für den pri­va­ten Schlüs­sel sind 256bit der heu­ti­ge Stan­dard, für den öffent­li­chen Schlüs­sel soll­ten es 4096bit sein.

Ver­schlüs­se­lungs­stan­dards

Einen siche­ren Schlüs­sel für das SSL Zer­ti­fi­kat zu haben ist die eine Sache, das Zer­ti­fi­kat rich­tig ein­zu­set­zen, die ande­re: Mit Hil­fe ein und des­sel­ben SSL-Zer­ti­fi­ka­tes kön­nen ver­schie­de­ne Ver­schlüs­se­lungs­stan­dards ein­ge­setzt wer­den. Ver­al­te­te Ver­schlüs­se­lungs­stan­dards kön­nen geknackt wer­den und müs­sen des­halb aus­ge­schlos­sen werden.

Bild­lich kann man sagen, dass das SSL-Zer­ti­fi­kat und der pri­va­te Schlüs­sel wie ein Sicher­heits­schloss und der dazu gehö­ren­de Schlüs­sel funk­tio­nie­ren. Der Ver­schlüs­se­lungs­stan­dard wäre dann die Tür, in die das Sicher­heits­schloss ein­ge­baut wur­de. Baut man die­ses Schloss in eine Sicher­heits­tür nach neu­es­tem Stan­dard ein, so blei­ben unge­be­te­ne Gäs­te sicher drau­ßen. Ein­ge­baut in einen alten Kel­ler­ver­schlag wer­den aber auch der sichers­te Schlüs­sel und das bes­te Schloss einen Ein­bruch nicht ver­hin­dern können.

Der Ser­ver soll­te die der­zeit sichers­te Ver­schlüs­se­lungs­me­tho­de, TLSv1.2, unter­stüt­zen und gleich­zei­tig ver­al­te­te Ver­schlüs­se­lungs­me­tho­den (SSLv1 und SSLv2) ausschließen.

Ver­trau­en ist gut, Kon­trol­le ist besser!

So über­prü­fen Sie schnell und ein­fach Ihre Servereinstellungen

Mit dem kos­ten­lo­sen Online-Tool sslabs.com kon­trol­lie­ren Sie den fachgerechten
Ein­bau Ihres SSL-Zertifikates.

Check­lis­te: Ein­bau eines SSL-Zer­ti­fi­ka­tes – Umstel­lung auf HTTPS

1. Aus­wahl und Imple­men­tie­rung eines SSL-Zertifikats

Bei der tech­nisch ein­wand­frei­en Imple­men­tie­rung kommt es auf eini­ge wich­ti­ge Punk­te an:

  • für den Ein­bau eines SSL-Zer­ti­fi­kats sind Pro­gram­mier­kennt­nis­se sowie vol­ler Zugriff auf den Web­ser­ver erforderlich.
  • Es müs­sen eini­ge wich­ti­ge Ser­ver­ein­stel­lun­gen kor­rekt kon­fi­gu­riert werden.
  • Die Grö­ße des Schlüs­sels muss ein­ge­stellt werden.
  • Ver­al­te­te Ver­schlüs­se­lungs­me­cha­nis­men müs­sen aus­ge­schlos­sen werden.
  • SSL-Zer­ti­fi­ka­te sind nur für begrenz­te Zeit gül­tig und müs­sen dann erneu­ert werden.

Am ein­fachs­ten ist es, Sie wäh­len Ihr SSL-Zer­ti­fi­kat über Ihren Web­hos­ter aus und über­las­sen Fach­leu­ten den Ein­bau. Die meis­ten Web­hos­ter haben SSL-Zer­ti­fi­ka­te im Ange­bot, inzwi­schen oft kos­ten­lo­se Let´s Encrypt-Zer­ti­fi­ka­te. Auch eine Opti­on auf auto­ma­ti­sche Ver­län­ge­rung abge­lau­fe­ner SSL-Zer­ti­fi­ka­te wird von vie­len Web­hos­tern angeboten.

2. 301-Wei­ter­lei­tung

Es ist unbe­dingt aus­zu­schlie­ßen, dass die Web­seite auch noch über den „alten“ unver­schlüs­sel­ten Weg (über HTTP) erreich­bar bleibt. Damit frü­her gesetz­te Links und Lese­zei­chen nicht ungül­tig wer­den, schal­tet man die „alte“ HTTP-Adres­se nicht ab, son­dern lei­tet ledig­lich alle Anfragen an die neue HTTPS-Adres­se wei­ter. Dafür soll­te man per­ma­nen­te 301-Wei­ter­lei­tun­gen  verwenden.

Wer­den nicht alle Anfragen per­ma­nent wei­ter­ge­lei­tet, so ent­ste­hen dar­aus grund­sätz­lich zwei Probleme:

  • Es kön­nen Daten unver­schlüs­selt über­tra­gen wer­den, wenn der Nut­zer über einen „alten“ Link auf die HTTP-Web­seite gelangt und nicht auf das HTTPS oder das grü­ne Schloss ach­tet. Dies ist im Sin­ne der DSGVO nicht regel­kon­form und kann abge­mahnt wer­den. Ach­tet der sicher­heits­be­wuss­te Nut­zer auf die Ver­schlüs­se­lung, wird er den Vor­gang even­tu­ell abbre­chen und sein Geschäft auf einer siche­re­ren Sei­te tätigen.
  • Der Google Craw­ler erkennt http://ihredomain.de und https://ihredomain.de als zwei sepa­ra­te Sei­ten, aber mit dem­sel­ben Inhalt. Da Google so genann­ten „dupli­ca­te con­tent“ im Ran­king abstraft, ver­lie­ren Sie auch noch Ihre wert­vol­le Plat­zie­rung in der Suche.

3. Exter­ne und inter­ne Links

Auch wenn 301-Wei­ter­lei­tun­gen feh­ler­haf­te Links ver­hin­dern, soll­ten alle inter­nen Links im Inhalt sowie im Quell­code Ihrer Web­site auf HTTPS geän­dert wer­den. Je nach Redak­ti­ons­sys­tem kann dies auto­ma­ti­siert erfol­gen. Auch für wich­ti­ge exter­ne Links soll­ten Sie ver­su­chen, die­se auf die HTTPS-Ver­si­on Ihrer Web­site zu ändern.

4.  Google Search Con­so­le und Sitemap

Nach dem erfolg­rei­chen Umstel­len auf HTTPS muss die URL (mit HTTPS) als neue Pro­per­ty via Google Web­mas­ter­tools in die Google Search Con­so­le ein­ge­tra­gen wer­den. Auch die XML-Site­map soll­te erneut erstellt und ein­ge­reicht werden.

5. exter­ne Tools

Tech­nisch gese­hen han­delt es sich bei der HTTP- und der HTTPS-Vari­an­te Ihrer Web­seite um zwei unter­schied­li­che Web­sites. Sie müs­sen also die HTTPS-Vari­an­te nach der Umstel­lung in ver­schie­de­nen exter­nen Tools und Hel­fer­lein neu anmel­den oder zumin­dest die url anpassen.

Dar­un­ter fal­len zum Beispiel:

  • Google Ana­ly­tics
  • Google Adwords
  • Bing Ads

6. Abruf von Inhalten

Wenn ein SSL-Zer­ti­fi­kat in eine Web­seite ein­ge­baut wird, so muss sicher­ge­stellt wer­den, dass alle Inhal­te der Web­seite über das siche­re Pro­to­koll abge­ru­fen wer­den. Teil­wei­se wer­den Bil­der und ande­re Inhal­te nicht ver­schlüs­selt abge­ru­fen. Dabei han­delt es sich oft um Hin­ter­grund­bil­der, Logos oder Inhal­te, die von ande­ren Web­seiten abge­ru­fen werden.
Damit erhält die Web­seite nicht die siche­re Kenn­zeich­nung und kein grü­nen Schloss in der Adress­zei­le – eigent­lich scha­de, wenn man ein Zer­ti­fi­kat hat.
Unsi­cher ein­ge­bun­de­ne Inhal­te sind zum Teil nicht so leicht auf­zu­spü­ren. Soll­te Ihnen auf­fa­lenn, dass Ihre Web­site oder ein­zel­ne Unter­sei­ten kein grü­nes Schloss erhal­ten, kön­nen Sie die ein­zel­nen urls auf https://www.whynopadlock.com/ prü­fen lassen.

Sie haben unsi­cher ein­ge­bun­de­ne Inhal­te gefun­den, wis­sen aber nicht, wie Sie die­se ver­schlüs­selt ein­bin­den kön­nen? Rufen Sie uns ger­ne unter 089 2488290–0 an – wir hel­fen Ihnen!

 

SSL-Zer­ti­fi­kat ein­ge­baut aber kein grü­nes Schloss?

SSL und HTTPS: Übersicht

Die rea­len Tücken bei der SSL-Ver­schlüs­se­lung lie­gen, wie so oft, nicht in der Tech­nik, son­dern in der Implementierung.

    1. Das rich­ti­ge SSL-Zer­ti­fi­kat: Für Pri­vat­leu­te, Ver­ei­ne und Klein­un­ter­neh­mer reicht ein Zer­ti­fi­kat der ein­fachs­ten Vali­die­rungs­stu­fe (Domain­va­li­die­rung) völ­lig aus. DV-Zer­ti­fi­ka­te kön­nen von Let´s Encrypt kos­ten­frei bezo­gen werden.
    2. Der Ein­bau des Zer­ti­fi­ka­tes: Bean­tra­gen Sie Ihr Zer­ti­fi­kat am Bes­ten über Ihren Web­hos­ter und lassen Sie es ein­bau­en und auto­ma­tisch verlängern.
    3. Über­prü­fen Sie den fach­ge­rech­ten Ein­bau und die Servereinstellungen
      Ach­ten Sie dabei auf
      • die Grö­ße (=Sicher­heit) des öffent­li­chen Schlüs­sels: 4096bit
      • die Grö­ße (=Sicher­heit) des pri­va­ten Schlüs­sels: 256bit
      • den moder­nen Ver­schlüs­se­lungs­stan­dard TLSv1.2
      • den Aus­schluss der ver­al­te­ten Stan­dards SSLv1 und SSLv2
      • die voll­stän­di­ge und per­ma­nen­te 301-Wei­ter­lei­tung aller Anfragen
    4. Umstel­lung von HTTP auf HTTPS 
      • Inter­ne und Exter­ne Links
      • Social Media
      • Bran­chen­bü­cher
    5. Über­prü­fen Sie den ver­schlüs­sel­ten Abruf aller Inhal­te und Res­sour­cen (für jede url separat!)
    6. Mel­den Sie Ihre HTTPS-Web­seite neu an oder pas­sen Sie Ein­stel­lun­gen an 
      • XML-Site­map
      • Google Search Console
      • Google Ana­ly­tics
      • Google AdWords
      • Bing­Ads

Mehr Tipps & Tricks zur Suchmaschinen­optimierung für Ihre Website

Wir haben für Sie einen Kurz­über­blick über die ver­schie­de­nen Aspek­te der Suchmaschinen­optimierung mit vie­len prak­ti­schen Anlei­tun­gen zum Sel­ber­ma­chen zusammengestellt!

 

Schreibe einen Kommentar