SSL Zertifikat: Webseite auf https umstellen

Du hast es sicher schon mitbekommen: Google probiert immer mehr die Verwendung von SSL als Web-Standard zu machen. Verschlüsselung wird sicherlich langfristig also auch zum Ranking-Faktor. Doch was ist so ein SSL-Zertifikat überhaupt?

SSL-Zertifikate sind Maßnahmen auf Webseiten, die die Besucher bei der Übermittlung von Daten schützen sollen. Lange Zeit wurden diese SSL-Verschlüsselungen von dem Großteil der Webmaster belächelt und als „nice to have“ angesehen. Dabei bringt die sichere Verbindung zwischen dem Server und dem Client weitaus mehr Vorteile als gedacht.

Seit dem 1. Januar 2017 werden die gesicherten Verbindungen von Webseiten mit der Angabe „https“ vor der URL gekennzeichnet. Ein Blick ins Web zeigt, dass noch ganz viele Webseiten ihr Angebot ohne ein SSL-Zertifikat anbieten. Wir zeigen dir in diesem Beitrag, wie du deine Webseite auf https umstellen kannst.

Wie funktioniert ein SSL-Zertifikat?

Die Abkürzung SSL steht für „Secure-Sockets-Layer“ und ist für die Verschlüsselung die Daten, die von deinem Rechner zu einem Server transferiert werden. In diesem Zusammenhang taucht auch die Abkürzung „TLS“ auf, die für „Transport-Layer-Security“ steht. Hier handelt es sich um eine Weiterentwicklung des SSL-Protokolls von Netscape.
Ist eine Webseite per SSL gesichert, so werden alle Verbindungen zwischen dem Server und dem Client verschlüsselt. Dadurch haben Besucher die Möglichkeit, die Webseite sicher über ihren Browser aufzurufen und beispielsweise bei einer Bestellung ihre Daten eingeben können, mit der Gewissheit, dass diese durch die SSL-Verschlüsselung von Dritten nicht mitgelesen werden können. Für die Herstellung der sicheren Verbindung zwischen dem Server und dem Browser, erfolgt durch den Browser die Abfrage an den Server, ob dieser auch zu der aufgerufenen Domain gehört. Damit der Server diese Verbindung bestätigen kann, benötigt dieser ein SSL-Zertifikat. Das SSL-Zertifikat ist somit der Legitimationsnachweis der Webseite.

Vergeben werden die notwendigen SSL-Zertifikate durch die „Certification Authorities (CA)“. Erhält eine öffentlich erreichbare Webseite das SSL-Zertifikat, werden alle Angaben zu dieser Seite vorab durch die CA geprüft. Anschließend ist das Zertifikat öffentlich einsehbar und wird bei der CA hinterlegt. Als erstes wird der öffentliche Schlüssel verwendet, um die übertragenen Informationen zu sichern und dann wird die Verschlüsselung erzeugt. Ein zweiter Schlüssel, der auf dem zertifizierten Server hinterlegt ist, ist erforderlich, um die Daten zu entschlüsseln.

Die verschiedenen SSL-Zertifikate

Es gibt verschiedene Anbieter von SSL-Zertifikaten, die aber alle vom CA Security Council (CASC) autorisiert sind. Bei dem CASC handelt es ich um eine Interessensgruppe, die das Ziel verfolgt, die Internetsicherheit zu erhöhen. Die bekanntesten SSL-Zertifikats-Anbieter sind beispielsweise GlobalSign, AlphaSSL, Symantec, Thawte und Geo Trust.

Welches Zertifikat ist das richtige für dich?

Bei der Auswahl des SSL-Zertifikats ist wichtig, ob die Domain, die du schützen möchtest, öffentlich erreichbar ist oder nicht. Für öffentliche Domains können nur öffentliche SSL-Zertifikate herausgegeben werden – der Grund dafür: die Zertifizierungsstellen können die Inhaber von privaten Domains oder auch von einem Intranet nicht eindeutig zuordnen. Deshalb führen wir im Folgenden auch die SSL-Zertifikate für öffentlich genutzte Webseiten auf.
Dabei können die SSL-Zertifikate in verschiedenen Vertrauensstufen erworben werden. Dabei ist entscheidend, wie stark eine übermittelte Datei geschützt ist und wie viele Informationen sie beinhaltet.

Es gibt drei verschiedene SSL-Zertifikate:

• höchste Verschlüsselungsstufe – Extended Validation (EV)
• mittlere Verschlüsselungsstufe – Organization Validated (OV)
• niedrige Verschlüsselungsstufe – Domain Validated (DV)

Bei der Auswahl des Zertifikats ist für dich entscheidend, wie viel Sicherheit du deinen Webseitenbesuchern bieten möchtest. Dabei ist auch mit entscheidend, wie stark du und deine angebotene Marke bisher sind. Du kannst nämlich beispielsweise deine Marke mit einem Sicherheitszertifikat verbinden und dadurch werden alle, unter dieser Marke, veröffentlichten Domains geschützt.

Die höchste Verschlüsselungsstufe – Extended Validation

Damit du dieses Zertifikat erhalten kannst, musst du der ausgebenden Stelle etliche Fragen beantworten. Da die Verschlüsselungsstufe sehr hoch ist, sind die Kriterien natürlich sehr streng gehalten, um diese Verschlüsselung zu erhalten. Bei der Extended Validation wird nicht nur die einzelne Webseite zertifiziert, sondern dein gesamtes Unternehmen.
Dafür gibt dieses Zertifikat den Besuchern die Sicherheit, dass die Verbindungen zu deiner Webseite wirklich sicher sind und diese Webseite auch von deinem Unternehmen betrieben wird.
Erkennbar ist eine Webseite mit dem EV-Zertifikat daran, dass in der Adresszeile auch der Firmenname steht und dieser grün unterlegt ist.

Die mittlere Verschlüsselungsstufe – Organization Validated

Für dieses Zertifikat ist ebenfalls eine Authentifizierung deines Unternehmens notwendig. Dabei werden die Daten, die du deinen Kunden bereitstellst, von dem jeweiligen Zertifizierungsunternehmen unter die Lupe genommen – allerdings nicht so stark wie bei dem Zertifikat mit der höchsten Verschlüsselungsstufe. Möchten sich Besucher die Daten ansehen, müssen sie die entsprechenden Details einzeln abrufen.

Die niedrigste Verschlüsselungsstufe – Domain Validated

Mit dem Domain Validated Zertifikat wird deine Webseite ebenfalls verschlüsselt. Allerdings sind in dem Zertifikat selbst deutlich weniger Daten über dein Unternehmen und die Webseite enthalten. Dieses Zertifikat bestätigt lediglich, dass du die Webseite aktiv verwaltest und der Webseiteninhaber bist. Es bestätigt aber nicht, dass die Verschlüsselung eigens für dein Unternehmen ausgestellt wurde oder dass du mit deinem Unternehmen wirklich der Betreiber der Seite bist.

Wenn du einen Onlineshop betreibst, empfiehlt es sich, deine kommerziell betriebene Seite wenigstens mit dem mittleren Verschlüsselungsgrad zu betreiben.

Ein weiteres Kriterium – eine Domain oder mehrere?

Benötigst du das SSL-Zertifikat nur für eine Domain oder mehrere? Um eine einzelne Domain zu sichern, ist ein „Standard-Zertifikat“, auch als Einzeldomain-Zertifikat bezeichnet, ausreichend. Zur Auswahl stehen dir die drei im Vorfeld genannten Verschlüsselungsstufen.

Möchtest du mehrere Domains oder Subdomains mit dem SSL-Schutz sichern, ist es sinnvoll, ein Wildcard- oder Multidomain-Zertifikat zu wählen. Hier tauchen auch die Begriffe „Subject-Alternative-Names-Zertifikate“ (SAN-Zertifikate) auf – so werden die Multidomain-Zertifikate auch bezeichnet.
Dass die Kosten hierbei höher als bei einem Einzelzertifikat sind, versteht sich sozusagen von selbst. Doch in der Summe gesehen, ist es für dich günstiger, wenn du mehrere Domains mit dem Multidomain-Zertifikat schützt.

Wie bindest du ein SSL-Zertifikat in deine Domain ein?

In der Regel erhältst du vom Anbieter, bei dem du das SSL-Zertifikat erworben hast, eine genaue Anleitung, in welcher Form das Zertifikat implementiert wird. Dabei sind die Schritte bei allen Zertifikaten und Anbietern ähnlich.

  1. Du musst das Zertifikat auf deinem Server installieren
    Dabei kommt es darauf an, ob du mit einem dedizierten Server arbeitest. Verwendest du keinen dedizierten Server, sind die SSL-Lösungen mancher Webhoster recht einfach zu händeln. Wie das Zertifikat implementiert wird, hängt vom verwendeten Servertyp ab.
  2. Jetzt wählst du aus, welche Domains, Subdomains und Seiten mit dem SSL-Zertifikat geschützt werden sollen.
  3. Zum Schluss rufst du deine Webseiten mit verschiedenen Browsern auf. Dabei prüfe, ob eventuell noch Elemente vorhanden sind, die noch ohne die SSL-Verschlüsselung geladen werden. Dafür gibt es spezielle SSL-Zertifikats-Checker, wie beispielsweise sslshopper.com, mit denen du prüfen kannst, ob die SSL-Verbindungen korrekt implementiert sind. Das Tool ist kostenlos.

Wenn du diese Schritte beachtest, dann wird die Einrichtung von SSL ganz einfach von der Hand gehen.

SSL Zertifikat: Webseite auf HTTPS umstellen, bevor Google dich abstraft
(1 Votes | 5 Sterne im Schnitt)