SSL-Zertifikate auch 2019 sicher einbinden und testen

screenshot des ssl labs testtools

SSL? HTTPS? Was bedeutet das, welche Vorteile haben Sie davon und wie können Sie überprüfen, ob es anständig läuft? Das komplexe Thema Verschlüsselung mit möglichst wenigen Definitionen und Fachbegriffen kompakt erklärt.

4.9/5 - (83 votes)

Wer braucht SSL?

Laut der DSGVO brauchen alle Webseiten eine SSL-Verschlüsselung, die in irgendeiner Form personenbezogene Daten erheben und verarbeiten.
Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet werden können. Damit sind auch Daten, über die sich ein Personenbezug herstellen lässt, als personenbezogene Daten anzusehen (Beispiele: Kfz-Kennzeichen, Kontonummer, Rentenversicherungsnummer), selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen.
Damit braucht de facto jede Webseite mit einem Kontaktformular, in dem der Name zusammen mit der E-Mail Adresse abgefragt wird, eine SSL-Verschlüsselung.

Vorteile einer Umstellung auf SSL und HTTPS

Auch wenn Ihre Webseite keine personenbezogenen Daten erhebt, kann eine SSL-Verschlüsselung für Sie Sinn machen. Ist die verschlüsselte Datenübertragung aktiv, befinden sich in der Browserzeile links neben der URL ein grünes Schloss und der Vermerk, dass die Seite sicher ist. Im Gegensatz dazu werden Seiten, die keine verschlüsselte Übertragung nutzen, in Browsern wie Chrome oder Firefox als unsicher markiert. Dadurch entsteht leicht das Gefühl, dass die betreffende Seite an sich unsicher sei. Außerdem ist die verschlüsselte Datenübertragung ein inzwischen bestätigter Rankingfaktor bei Google.
Mit einem SSL-Zertifikat erhöhen Sie also das Vertrauen der Besucher in Ihre Website und werden auch noch leichter über Google gefunden.

Was ist SSL?

Bei SSL handelt es sich um eine Technik, die dafür sorgt, dass Daten mit einer verschlüsselten Verbindung im Internet übertragen werden können - das können Daten von Webseiten oder die Übertragung zwischen E-Mail Servern sein. Mit SSL wird sichergestellt, dass der Datenaustauch weder mitgelesen noch manipuliert werden kann.

Einfach gesagt ist SSL also eine abhörsichere Leitung, über die sich Server mit anderen Servern und Datenbanken austauschen können.

Was bedeutet HTTPS?

HTTP (Hyper Text Transfer Protocol) ist ein Protokoll, also eine Sprache, in der sich Webserver mit anderen Servern und Datenbanken austauschen -„Webserveranisch“, sozusagen. Durch die Verschlüsselung des HTTP-Protokolls mit SSL wird aus HTTP HTTPS (Hyper Text Transfer Protocol Secure) - Webserversprache durch abhörsichere Leitungen!
Sie erkennen eine verschlüsselte Webseite also daran, dass ihre Adresse mit https:// beginnt. Moderne Browser kennzeichnen verschlüsselte Webseiten zusätzlich mit einem grünen, geschlossenen Vorhängeschloss in der Adresszeile.

Was macht ein SSL-Zertifikat?

Damit ein Browser eine verschlüsselte Verbindung zu einem Server und damit zu einer Webseite aufbauen kann, muss der Browser wissen, ob der Server auch zu der Domain gehört, für die er sich ausgibt. Für diese Authentifizierung der besuchten Webseite wird auch das SSL-Zertifikat genutzt.

SSL-Zertifikate dienen also der Verschlüsselung der Datenübertragung und der Authentifizierung des Datenempfängers.

Jeder Inhaber einer Webseite kann bei einer anerkannten Zertifizierungsstelle ein SSL-Zertifikat beantragen. Mehr zu Zertifizierungsstellen und Zertifikatstypen lesen Sie in unserem Artikel "Wie finde ich das richtige SSL-Zertifikat?".

schluessel

Große Schlüssel, kleine Schlüssel

Wird ein Zertifikat erteilt, so signiert die Zertifizierungsstelle den öffentlichen Schlüssel, um anzuzeigen, dass dieser in den Augen der Zertifizierungsstelle glaubwürdig ist. Mit diesem kryptographischen Schlüssel werden die Nachrichten verschleiert. Um die Nachricht wieder zu entschlüsseln, also in den Ursprungszustand zurück zu versetzen, wird ein weiterer Schlüssel benötigt, der private Schlüssel. Dieser private Schlüssel ist einzig auf dem verifizierten Server fest installiert und kann die Nachrichten entschlüsseln.
Die Anleitung, wie eine Nachricht zu verschlüsseln ist (der öffentliche Schlüssel) kann also frei verfügbar gemacht werden, während die einzige Möglichkeit die verschlüsselte Nachricht wieder zu dekodieren (der private Schlüssel) hinter Schloss und Riegel gehalten werden kann.
Bei den Schlüsseln handelt es sich um kryptografische Dateien von unterschiedlicher Größe: für den privaten Schlüssel sind 256bit der heutige Standard, für den öffentlichen Schlüssel sollten es 4096bit sein.

Verschlüsselungsstandards

Einen sicheren Schlüssel für das SSL Zertifikat zu haben ist die eine Sache, das Zertifikat richtig einzusetzen, die andere: Mit Hilfe ein und desselben SSL-Zertifikates können verschiedene Verschlüsselungsstandards eingesetzt werden. Veraltete Verschlüsselungsstandards können geknackt werden und müssen deshalb ausgeschlossen werden.

Bildlich kann man sagen, dass das SSL-Zertifikat und der private Schlüssel wie ein Sicherheitsschloss und der dazu gehörende Schlüssel funktionieren. Der Verschlüsselungsstandard wäre dann die Tür, in die das Sicherheitsschloss eingebaut wurde. Baut man dieses Schloss in eine Sicherheitstür nach neuestem Standard ein, so bleiben ungebetene Gäste sicher draußen. Eingebaut in einen alten Kellerverschlag werden aber auch der sicherste Schlüssel und das beste Schloss einen Einbruch nicht verhindern können.

Der Server sollte die derzeit sicherste Verschlüsselungsmethode, TLSv1.2, unterstützen und gleichzeitig veraltete Verschlüsselungsmethoden (SSLv1 und SSLv2) ausschließen.

Vertrauen ist gut, Kontrolle ist besser!

So überprüfen Sie schnell und einfach Ihre Servereinstellungen

Mit dem kostenlosen Online-Tool sslabs.com kontrollieren Sie den fachgerechten
Einbau Ihres SSL-Zertifikates.

Checkliste: Einbau eines SSL-Zertifikates - Umstellung auf HTTPS

1. Auswahl und Implementierung eines SSL-Zertifikats

Bei der technisch einwandfreien Implementierung kommt es auf einige wichtige Punkte an:

  • für den Einbau eines SSL-Zertifikats sind Programmierkenntnisse sowie voller Zugriff auf den Webserver erforderlich.
  • Es müssen einige wichtige Servereinstellungen korrekt konfiguriert werden.
  • Die Größe des Schlüssels muss eingestellt werden.
  • Veraltete Verschlüsselungsmechanismen müssen ausgeschlossen werden.
  • SSL-Zertifikate sind nur für begrenzte Zeit gültig und müssen dann erneuert werden.

Am einfachsten ist es, Sie wählen Ihr SSL-Zertifikat über Ihren Webhoster aus und überlassen Fachleuten den Einbau. Die meisten Webhoster haben SSL-Zertifikate im Angebot, inzwischen oft kostenlose Let´s Encrypt-Zertifikate. Auch eine Option auf automatische Verlängerung abgelaufener SSL-Zertifikate wird von vielen Webhostern angeboten.

2. 301-Weiterleitung

Es ist unbedingt auszuschließen, dass die Webseite auch noch über den „alten“ unverschlüsselten Weg (über HTTP) erreichbar bleibt. Damit früher gesetzte Links und Lesezeichen nicht ungültig werden, schaltet man die „alte“ HTTP-Adresse nicht ab, sondern leitet lediglich alle Anfragen an die neue HTTPS-Adresse weiter. Dafür sollte man permanente 301-Weiterleitungen  verwenden.

Werden nicht alle Anfragen permanent weitergeleitet, so entstehen daraus grundsätzlich zwei Probleme:

  • Es können Daten unverschlüsselt übertragen werden, wenn der Nutzer über einen "alten" Link auf die HTTP-Webseite gelangt und nicht auf das HTTPS oder das grüne Schloss achtet. Dies ist im Sinne der DSGVO nicht regelkonform und kann abgemahnt werden. Achtet der sicherheitsbewusste Nutzer auf die Verschlüsselung, wird er den Vorgang eventuell abbrechen und sein Geschäft auf einer sichereren Seite tätigen.
  • Der Google Crawler erkennt http://ihredomain.de und https://ihredomain.de als zwei separate Seiten, aber mit demselben Inhalt. Da Google so genannten „duplicate content“ im Ranking abstraft, verlieren Sie auch noch Ihre wertvolle Platzierung in der Suche.

3. Externe und interne Links

Auch wenn 301-Weiterleitungen fehlerhafte Links verhindern, sollten alle internen Links im Inhalt sowie im Quellcode Ihrer Website auf HTTPS geändert werden. Je nach Redaktionssystem kann dies automatisiert erfolgen. Auch für wichtige externe Links sollten Sie versuchen, diese auf die HTTPS-Version Ihrer Website zu ändern.

4.  Google Search Console und Sitemap

Nach dem erfolgreichen Umstellen auf HTTPS muss die URL (mit HTTPS) als neue Property via Google Webmastertools in die Google Search Console eingetragen werden. Auch die XML-Sitemap sollte erneut erstellt und eingereicht werden.

5. externe Tools

Technisch gesehen handelt es sich bei der HTTP- und der HTTPS-Variante Ihrer Webseite um zwei unterschiedliche Websites. Sie müssen also die HTTPS-Variante nach der Umstellung in verschiedenen externen Tools und Helferlein neu anmelden oder zumindest die url anpassen.

Darunter fallen zum Beispiel:

  • Google Analytics
  • Google Adwords
  • Bing Ads

6. Abruf von Inhalten

Wenn ein SSL-Zertifikat in eine Webseite eingebaut wird, so muss sichergestellt werden, dass alle Inhalte der Webseite über das sichere Protokoll abgerufen werden. Teilweise werden Bilder und andere Inhalte nicht verschlüsselt abgerufen. Dabei handelt es sich oft um Hintergrundbilder, Logos oder Inhalte, die von anderen Webseiten abgerufen werden.
Damit erhält die Webseite nicht die sichere Kennzeichnung und kein grünen Schloss in der Adresszeile - eigentlich schade, wenn man ein Zertifikat hat.
Unsicher eingebundene Inhalte sind zum Teil nicht so leicht aufzuspüren. Sollte Ihnen auffalenn, dass Ihre Website oder einzelne Unterseiten kein grünes Schloss erhalten, können Sie die einzelnen urls auf https://www.whynopadlock.com/ prüfen lassen.

Sie haben unsicher eingebundene Inhalte gefunden, wissen aber nicht, wie Sie diese verschlüsselt einbinden können? Rufen Sie uns gerne unter 089 2488290-0 an - wir helfen Ihnen!

 

SSL-Zertifikat eingebaut aber kein grünes Schloss?

SSL und HTTPS: Übersicht

Die realen Tücken bei der SSL-Verschlüsselung liegen, wie so oft, nicht in der Technik, sondern in der Implementierung.

    1. Das richtige SSL-Zertifikat: Für Privatleute, Vereine und Kleinunternehmer reicht ein Zertifikat der einfachsten Validierungsstufe (Domainvalidierung) völlig aus. DV-Zertifikate können von Let´s Encrypt kostenfrei bezogen werden.
    2. Der Einbau des Zertifikates: Beantragen Sie Ihr Zertifikat am Besten über Ihren Webhoster und lassen Sie es einbauen und automatisch verlängern.
    3. Überprüfen Sie den fachgerechten Einbau und die Servereinstellungen
      Achten Sie dabei auf

      • die Größe (=Sicherheit) des öffentlichen Schlüssels: 4096bit
      • die Größe (=Sicherheit) des privaten Schlüssels: 256bit
      • den modernen Verschlüsselungsstandard TLSv1.2
      • den Ausschluss der veralteten Standards SSLv1 und SSLv2
      • die vollständige und permanente 301-Weiterleitung aller Anfragen
    4. Umstellung von HTTP auf HTTPS
      • Interne und Externe Links
      • Social Media
      • Branchenbücher
    5. Überprüfen Sie den verschlüsselten Abruf aller Inhalte und Ressourcen (für jede url separat!)
    6. Melden Sie Ihre HTTPS-Webseite neu an oder passen Sie Einstellungen an
      • XML-Sitemap
      • Google Search Console
      • Google Analytics
      • Google AdWords
      • BingAds

Mehr Tipps & Tricks zur Suchmaschinenoptimierung für Ihre Website

Wir haben für Sie einen Kurzüberblick über die verschiedenen Aspekte der Suchmaschinenoptimierung mit vielen praktischen Anleitungen zum Selbermachen zusammengestellt!

 

Schreibe einen Kommentar