Was ist HTTPS/SSL und warum brauchen Webseiten das?

SSL-Verschlüsselung, ange­zeigt durch ein Grün­des Vor­hän­ge­schloss

http ist das soge­nann­te “Hypertext Trans­fer Proto­col” und wird haupt­säch­lich dazu ver­wen­det, um HMTL, CSS, Bil­der und wei­te­re Medi­en zu über­tra­gen. Web-Server ver­wen­den http, um die Website-Inhalte an den Brow­ser zu schi­cken, sodass die Benut­zer die Web­site anse­hen kön­nen. Im Netz­werk geschieht die Über­tra­gung unver­schlüs­selt — qua­si als Klar­text -, sodass jeder Nut­zer im sel­ben Netz­werk die­se Inhal­te — Login-Daten, Email-Adressen, Chat­nach­rich­ten etc. — mit­le­sen und theo­re­tisch mani­pu­lie­ren kann.

Um dem ent­ge­gen­zu­wir­ken wur­de https ent­wi­ckelt.

Das “S” ergänzt das Hyper­text Trans­fer Pro­to­col um das Wort “Secu­re”. Die­se erwei­ter­te Form des http macht sich das SSL-Protokol (SSL=“Secure Sockets Lay­er”) zu Nut­ze, um Daten auf dem Weg zwi­schen Web­ser­ver und Brow­ser ver­schlüs­selt zu trans­por­tie­ren.

Damit Web­sites ver­schlüs­selt ange­bo­ten wer­den kön­nen, muss auf dem Web­ser­ver ein ent­spre­chen­des Zer­ti­fi­kat instal­liert wer­den. Eine ver­schlüs­sel­te Web­site erkennt man an dem Prä­fix “https” in der Adres­se, zudem zei­gen die meis­ten Brow­ser den ver­schlüs­sel­ten Zustand in der Adress-Zeile vor der Adres­se mit­tels eines grü­nen Vor­hän­ge­schlos­ses an.

Warum brauchen Webseiten ein SSL-Zertifikat?

Wie bereits ange­ris­sen wer­den durch die Ver­schlüs­se­lung Login-Daten nicht mehr als Klar­text über­tra­gen. Dies bedeu­tet also, dass die Web­sei­te an sich bereits siche­rer wird, da die Zugangs­da­ten beim Log­in nicht mehr von jedem Nezt­werk­nut­zer mit­ge­le­sen wer­den kön­nen.

Bei der Ver­wen­dung von Kon­takt­for­mu­la­ren auf der Web­site stellt die Ver­schlüs­se­lung sicher, dass die vom Website-Nutzer ange­ge­be­nen Daten nur von den vor­ge­se­he­nen Emp­fän­gern ver­ar­bei­tet wer­den kön­nen. Website-Betreiber, deren Web­sites über das “nor­ma­le” Kon­takt­for­mu­lar hin­aus etwa Kauf- oder Buchungs­op­tio­nen anbie­ten, soll­ten unbe­dingt eine ver­schlüs­sel­te Ver­bin­dung ein­set­zen.

Zu guter Letzt resul­tiert aus einer ver­schlüs­sel­ten Ver­bin­dung auch ein mehr oder weni­ger garan­tier­ter Ranking-Boost in den meis­ten Such­ma­schi­nen. Goog­le etwa hat bereits Dezem­ber 2015 auf sei­nem Web­mas­ter Blog einen Bei­trag ver­öf­fent­licht, in dem aus­drück­lich erklärt wird, dass kor­rekt ver­schlüs­sel­te Web­sites auto­ma­tisch inde­xiert und bevor­zugt behan­delt wer­den.

Was wird für eine Umstellung der Website auf https/SSL benötigt?

Im Grun­de ist die Umstel­lung für einen erfah­re­nen Web­ad­mi­nis­tra­tor eine über­schau­ba­re ange­le­gen­heit, birgt jedoch je nach CMS ver­schie­de­ne Her­aus­for­de­run­gen — bezie­hungs­wei­se Son­der­be­hand­lun­gen.

Zunächst muss ein SSL-Zertifikat gekauft und auf dem betrof­fe­nen Ser­ver instal­liert wer­den. Die Instal­la­ti­on geschiet bei den meis­ten Shared-Hosts (Stra­to, 1&1, Domain­fac­to­ry etc) meist auto­ma­tisch nach dem Abschluss des Kauf­ver­tra­ges. Nach eini­gen Minu­ten ist das Zer­ti­fi­kat instal­liert und somit die Web­site theo­re­tisch bereits unter https://www.meine-website.de erreich­bar.

Je nach CMS müs­sen nun noch ver­schie­de­ne Arbei­ten durch­ge­führt wer­den, damit auch das Con­tent Manage­ment Sys­tem abso­fort weiß, dass es auf einer ver­schlüs­sel­ten Adres­se arbei­tet und die inter­nen Links mit https auf­ge­ru­fen wer­den sol­len.

In Wor­d­Press fällt dar­un­ter das Ändern der WordPress-Adresse und der Website-Adresse in den Ein­stel­lun­gen von “http://www.meine-website.de” zu “https://www.meine-website.de”. Damit auch alle ein­ge­bun­de­nen Bil­der in Bei­trä­gen mit https auf­ge­ru­fen wer­den, muss außer­dem eine umfang­rei­che Mani­pu­la­ti­on der Datenbank-Inhalte durch­ge­führt wer­den.

Die­ser Schritt soll­te nur von Fach­leu­ten durch­ge­führt wer­den, da Feh­ler die Daten­bank beschä­di­gen und die Web­site zer­stö­ren kön­nen!

Nach den Ände­run­gen im Con­tent der Web­site muss nun noch der Ser­ver sämt­li­che Anfra­gen an die unver­schlüs­sel­te Ver­si­on der Web­site an die ver­schlüs­sel­te Adres­se wei­ter­lei­ten. Dies geschiet mit fol­gen­dem Ein­trag in der .htaccess-Datei:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wird die­ser Ein­trag nicht getä­tigt, bleibt die Sei­te wei­ter­hin unter der unver­schlüs­sel­ten Adres­se mit “http” erreich­bar. Im schlimms­ten Fall kann dies von Goog­le als “Dub­li­ca­te Con­tent” (dop­pel­ter Inhalt) erkannt und mit Ranking-Einbusen bestraft wer­den. Auch von der htaccess-Datei soll­te vor dem Edi­tie­ren unbe­dingt ein Back­up gemacht wer­den, da feh­ler­haf­te Inhal­te die Leis­tung des Ser­vers beein­träch­ti­gen und Ser­ver­feh­ler (Error-Code: 500 Inter­nal ser­ver error) ver­ur­sa­chen kön­nen.

Eine genaue Anlei­tung für die Umtel­lung von Wor­d­Press auf https fin­den Sie bei www.webongo.de.

 

Bei wei­te­ren Fra­gen zum The­ma SSL und https rufen Sie mich an oder schrei­ben Sie mir eine Email!

Ger­ne ste­he ich Ihnen zur Umstel­lung Ihrer Web­site auf https zur Ver­fü­gung.

Plugin-Entwicklung im Kundenauftrag: Teilautomatisierung der Newsletter-Inhalte

Der regel­mä­ßi­ge News­let­ter der Res­sour­cen­werk­statt Schu­bert ent­hält neben Pra­xis­tipps und Fach­bei­trä­gen zur Pädagogik-Branche auch eine Über­sicht über freie Plät­ze in…
Wei­ter­le­sen!

YouTube-Gallery für WordPress #3 : Entwicklerupdate zur Closed Beta 1.6

Seit dem Entwickler-Update #2  Anfang Dezem­ber 2016 haben wir umfang­rei­che Vor­be­rei­tun­gen für die anste­hen­den Ent­wick­lun­gen getä­tigt und vie­le unse­rer Zie­le…
Wei­ter­le­sen!

“Goodbye, WordPress” — Sergej Müller beendet seine WordPress-Aktivität

“Fast 9 Jah­re und nahe­zu 3 Mil­lio­nen Down­loads spä­ter ist Schluss. Schluss mit Wor­d­Press.” schreibt der Code-Vater etli­cher weit ver­brei­te­ter…
Wei­ter­le­sen!