Internet Security: Sichere Website erstellen mit SSL und HTTPS
Wenn Sie eine sichere Website erstellen wollen, gehören SSL/TLS bzw. HTTPS zum Pflichtprogramm. Doch was genau bedeuten diese Abkürzungen? Und wie kann ich die Sicherheitsprotokolle implementieren, um eine existierende Website auf HTTPS umzustellen?
- Verschlüsselt die Website-Kommunikation
- Verhindert Sicherheitswarnungen
- Verbessert die Google-Platzierung
Was ist SSL/TLS?
Der Begriff SSL (kurz für „Secure Sockets Layer“) bezeichnet eine Technik, die man zur Verschlüsselung und Authentifizierung des Datenverkehrs im Netz einsetzt. Bei Websites sichert man damit die Übertragung zwischen Browser und Webserver. Vor allem im E-Commerce, wo vertrauliche und sensible Daten übertragen werden, ist der Einsatz eines SSL-Zertifikats bzw. der Weiterentwicklung TLS (Transport Layer Security) unumgänglich.
Sensible Daten, die häufig durch eine SSL/TLS-Verschlüsselung geschützt werden, sind zum Beispiel:
- Registrierungsdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer
- Login-Daten: E-Mail-Adresse und Passwort
- Zahlungsinformationen: Kreditkartennummer, Bankverbindungen
- Eingabeformulare
- Hochgeladene Dokumente von Kundinnen und Kunden
Mit SSL/TLS stellt man sicher, dass die Kommunikation weder mitgelesen noch manipuliert werden kann, und persönliche Daten nicht in die falschen Hände geraten.
Experten empfehlen mittlerweile ausschließlich den Einsatz von TLS. Häufig ist von SSL die Rede, obwohl TLS gemeint ist.
Was ist HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) ist das Protokoll zur sicheren Datenübertragung zwischen Browser und Webserver. HTTP bezeichnet die nicht abgesicherte Variante, bei der theoretisch alle übertragenen Daten von Angreiferinnen und Angreifern mitgelesen oder geändert werden können. Als User kann man sich also nicht sicher sein, ob Kreditkartendaten gerade wirklich an den Shop übermittelt werden, wenn die ursprüngliche Version des Protokolls zum Einsatz kommt.
HTTPS sorgt für die Sicherheit der Daten, indem es diese verschlüsselt überträgt und die Authentizität der Anfragen sicherstellt. Das funktioniert über ein entsprechendes SSL-Zertifikat.
Welche Vorteile bietet SSL/TLS bzw. HTTPS?
- Datenschutz und Sicherheit für Kunden und Partner
- Risiko von Datendiebstahl und -missbrauch wird vermindert
- HTTPS-Verschlüsselung ist ein offizieller Google-Rankingfaktor bzw. eine Standardanforderung für gut rankende Webprojekte
- Ermöglicht die Nutzung von HTTP/3 für optimale Website-Performance
- Zertifikat ist für Nutzerinnen und Nutzer leicht erkennbar und weckt Vertrauen
Free vs. Paid SSL/TLS
Wollen Sie Ihre Website auf SSL/TLS umstellen, sind Sie – wie bereits erwähnt – auf ein SSL/TLS-Zertifikat angewiesen. Mit Lösungen wie Let’s Encrypt stehen Ihnen hierbei kostenfreie, einfach zu installierende Alternativen zu den klassischen kostenpflichtigen Zertifikaten zur Verfügung. Bei der Umstellung der Website auf HTTPS bzw. bei der Erstellung einer sicheren Website gilt es mittlerweile also auch, sich zwischen Free und Paid SSL/TLS zu entscheiden. Der größte Kritikpunkt an den freien Zertifikaten besteht dabei darin, dass diese immer häufiger auch von Kriminellen genutzt werden, um Phishing-Seiten noch vertrauenswürdiger zu gestalten – Besucherinnen und Besuchern wird also eine sichere Website suggeriert, die dies aber nur auf den ersten Blick ist.
Anfang März 2020 musste Let’s Encrypt mehr als drei Millionen der aktiven SSL/TLS-Zertifikate zurückziehen. Grund für das Abschalten war ein in der von Let’s Encrypt verwendeten Open-Source-Software Boulder begründeter Fehler bei der Überprüfung der CAA-Records (Certification Authority Authorization). Dieser machte es in der Theorie möglich, sich Zertifikate für fremde Domains erstellen zu lassen. Die einzige Lösung für Betroffene: Innerhalb von 24 Stunden musste ein neues Zertifikat generiert werden, um die Verschlüsselung des eigenen Projekts wiederherzustellen.
Prinzipiell unterscheiden sich kostenfreie und kostenpflichtige SSL/TLS-Zertifikate insbesondere in folgenden Punkten:
- Gültigkeit: Der wohl gravierendste Unterschied zwischen Free und Paid SSL/TLS besteht in der Gültigkeitsdauer der Zertifikate. Während die meisten kostenpflichtigen Zertifikate 12 bis 24 Monate lang gültig sind, laufen freie Zertifikate bereits nach 90 Tagen ab. Setzen Sie auf Free SSL/TLS, müssen Sie Ihr Zertifikat also wesentlich häufiger ersetzen, wobei viele Anbieter eine automatische Verlängerung anbieten.
- Verwaltung: Bei einem kostenpflichtigen Anbieter erhalten Sie zusätzlich zu dem Zertifikat das passende Werkzeug, um dieses zu managen. Sofern Sie keine kostenpflichtigen Zusatzleistungen buchen, haben Sie diesen Service bei einem freien SSL/TLS-Zertifikat nicht, weshalb Sie sich eigenständig um die Administration kümmern müssen.
- Domain-Zugehörigkeit: Ein kostenloses SSL/TLS-Zertifikat lässt sich immer ausschließlich für eine einzelne Domain erzeugen, an die es dann gebunden ist. Wer sich für Paid SSL/TLS entscheidet, profitiert dagegen von domainübergreifenden Zertifikaten, die sich problemlos für mehrere Webprojekte verwenden lassen.
So stellen Sie Ihre Website auf HTTPS/SSL um
Wenn Sie eine sichere Website erstellen, können Sie von Beginn an auf eine SSL-Verschlüsselung zurückgreifen. Doch auch für bereits bestehende Seiten stellt die Umstellung auf HTTPS keinen allzu großen Aufwand dar.
Schritt 1: SSL-Zertifikate erwerben
Das SSL-Zertifikat ist eine Art Identitätsnachweis einer Website. Die offizielle Vergabestelle (CA), bei der man das Zertifikat erwirbt, hat die Identität vorab geprüft und bürgt für die Richtigkeit der Angaben. SSL-Zertifikate werden auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine auf HTTPS umgestellte Website besucht. Es gibt verschiedene Arten von Zertifikaten, die sich hinsichtlich des Umfangs der Identifikation unterscheiden:
- Zertifikate mit Domain-Validierung (DV) – kostenfrei und kostenpflichtig: Bei diesen Zertifikaten mit der niedrigsten Authentifizierungsstufe prüft die CA lediglich, ob Antragstellende im Besitz der entsprechenden Domain sind. Unternehmensinformationen werden bei der Überprüfung nicht kontrolliert, weshalb bei der Domain-Validierung ein Restrisiko bestehen bleibt.
Geeignet für: Zertifikate mit Domain-Validierung eignen sich für Websites, bei denen Vertrauen und Glaubwürdigkeit eine untergeordnete Rolle spielen und kein Phishing- oder Betrugsrisiko besteht.
- Zertifikate mit Inhaber-Validierung (OV) – kostenpflichtig: Diese Art der Validierung ist umfangreicher und somit sicherer als die Domain-Validierung. Neben der Domain-Inhaberschaft überprüft die CA zusätzlich relevante Unternehmensinformationen. Die überprüften Informationen sind für die Website-Besuchenden einsehbar, was das Vertrauen in die Website stärkt. Durch den aufwendigeren Überprüfungsprozess ist diese Art von SSL-Zertifikat teurer als das Zertifikat mit Domain-Validierung, bietet jedoch einen höheren Grad an Sicherheit.
Geeignet für: Dieses Zertifikat eignet sich für Websites, auf denen Transaktionen mit nicht-sensiblen Daten stattfinden.
- Zertifikate mit Extended Validation (EV) – kostenpflichtig: Dies ist das Zertifikat mit der höchsten und umfangreichsten Authentifizierungsstufe. Im Vergleich zum Zertifikat mit Inhaber-Validierung werden Unternehmensinformationen noch detaillierter überprüft. Zudem wird dieses Zertifikat nur von autorisierten CAs vergeben. Die ausführliche Überprüfung gewährt die höchste Sicherheitsstufe und stärkt somit das Vertrauen und die Glaubwürdigkeit in die Website. Gleichzeitig geht das Zertifikat mit Extended Validation mit den höchsten Kosten einher.
Geeignet für: Dieses Zertifikat eignet sich für Websites, die zum Beispiel Kreditkarteninformationen oder andere sensible Daten erheben.
Schritt 2: Zertifikat installieren und konfigurieren
Als nächster Schritt folgt die Installation des SSL-Zertifikats auf dem Server. Viele Hosting-Dienstleister übernehmen dies für ihre Kunden. Über den Kundenbereich kann man das entsprechende Zertifikat meist auch direkt beantragen, der Provider pflegt es dann ein. Kundinnen und Kunden von IONOS können das bestehende Webhosting-Paket beispielsweise problemlos über das Kundenkonto um das SSL/TLS-Zertifikat erweitern. Bei vielen Paketen ist das Zertifikat auch inklusive. Die Installation variiert je nach Anbieter. In der Regel stellen jedoch Provider oder Zertifikatsanbieter die entsprechenden Installationshinweise und -anleitungen zur Verfügung. Bei der technisch einwandfreien Implementierung kommt es vor allem auf folgende Punkte an:
- korrekte Zertifikate
- richtige Verschlüsselung
- passende Server-Konfiguration
Schritt 3: Auf Fehler und Probleme reagieren
Bei der Umstellung kann es zu einigen Fehlern kommen, die man vermeiden sollte, um nicht mit Ranking-Einbußen oder der Nichterreichbarkeit der eigenen Website kämpfen zu müssen.
Betreiberinnen und Betreiber, die ihre Website auf SSL/TLS umstellen, sollten:
- Abgelaufene Zertifikate vermeiden: Ein ungültiges bzw. abgelaufenes SSL-Zertifikat führt zu einer unschönen Warnmeldung im Browserfenster – das Ziel, dem Nutzer Vertrauen und Sicherheit zu übermitteln, wird somit komplett verfehlt.
- Korrekte Weiterleitung einrichten: Um Duplicate Content zu vermeiden, sollten Sie die korrekte Weiterleitung über einen 301-Redirect einrichten. So vermeiden Sie, dass die Suchmaschine die HTTP-Seite und die HTTPS-Seite als zwei verschiedene Webprojekte wertet und unterschiedliche Inhalte erwartet.
- Werbekonten anpassen: Bettet man in eine HTTPS-Website unverschlüsselte Inhalte (Bilder, Skripte usw.) ein, wird beim Abrufen der Seite ein unschöner Warnhinweis angezeigt. Vor allem bei der Anzeigenschaltung ist das problematisch. Werbung wird noch zum Großteil unverschlüsselt ausgeliefert, weshalb die entsprechenden Werbekonten unbedingt angepasst werden müssen.
- Google Search Console und Analyse-Tools umstellen: Theoretisch handelt es sich bei der HTTP- und der HTTPS-Variante um zwei unterschiedliche Websites. Die HTTPS-Variante muss man nach der Umstellung auch in der Google Search Console anmelden.
- XML-Sitemap aktualisieren: Auch die Sitemap muss aktualisiert und in der Search Console hinterlegt werden.
- Externe und interne Verlinkung prüfen: Auch wenn 301-Redirects fehlerhafte Links verhindern, sollten nach der Umstellung auf das HTTPS-Protokoll alle internen Verlinkungen geändert werden. Je nachdem, wie die Inhalte im CMS gepflegt wurden, kann dies auch manuelle Maßnahmen erfordern. Bei den externen Links sollte man versuchen, die wichtigsten Links (z. B. von Autoritätsseiten) auf die HTTPS-Adresse ändern zu lassen.
- Inklusive 1 SSL-Wildcard-Zertifikat pro Vertrag
- Inklusive Domain Lock
- Inklusive Domain Connect für einfache DNS-Einrichtung
Kostenloser Checklisten-Download
Nachfolgend können Sie eine kurze oder auch eine ausführliche Checkliste herunterladen, die die wichtigsten Aspekte bei der Umstellung einer Website auf HTTPS auflistet und erklärt.
Schritt 4: Zertifikatslaufzeit überwachen
Damit Ihre HTTPS-Verschlüsselung dauerhaft aktiv bleibt, darf das SSL/TLS-Zertifikat nicht ablaufen. Prüfen Sie daher regelmäßig die Gültigkeitsdauer und richten Sie nach Möglichkeit eine automatische Verlängerung ein.
- Monitoring: Behalten Sie das Ablaufdatum im Blick. Viele Hosting-Provider bieten hierfür Erinnerungsfunktionen oder Monitoring-Tools an.
- Automatische Erneuerung mit ACME: Mit dem ACME-Protokoll (Automatic Certificate Management Environment) lassen sich Zertifikate (z. B. von Let’s Encrypt) automatisch erneuern. So vermeiden Sie Ausfälle und Warnmeldungen im Browser.
- Provider-Integration nutzen: Bei vielen Webhosting-Paketen ist die automatische Zertifikatsverlängerung bereits standardmäßig aktiviert. Prüfen Sie diese Einstellung im jeweiligen Kundenkonto.
Wie lässt sich eine Seite auf ein gültiges Zertifikat überprüfen?
Wird eine Website aufgerufen, die mit einem gültigen Zertifikat verschlüsselt ist, lässt sich dies an der URL erkennen:
https://www.beispiel.de
Das „s“ im Protokoll-Teil der URL steht für „secure“ und zeigt an, dass diese Seite mit einem SSL/TLS-Zertifikat verschlüsselt ist. Je nach Art des Zertifikats und Browser gibt es noch weitere visuelle Hinweise auf eine sichere Verschlüsselung:
Mit Tools wie dem kostenlosen SSL-Check von IONOS können Sie mit nur einem Klick überprüfen, ob Ihr aktuelles Zertifikat korrekt installiert ist und Ihre Website gegen Angriffe absichert.
Erhöhter Trust durch sichere Unternehmenswebsites
Neben den oben genannten Vorteilen einer SSL/TLS-Verschlüsselung ist auch das damit verbundene erhöhte Nutzervertrauen in die Unternehmenswebsite und somit das Unternehmen selbst ein wesentliches Argument für eine sichere Website. Wie wichtig Web Trust ist und welche Bedeutung die steigende Erwartung der Nutzerinnen und Nutzer beim Thema Sicherheit im Web hat, erklärt Jeff Barto, Trust Strategist bei Symantec.
Zur Anzeige dieses Videos sind Cookies von Drittanbietern erforderlich. Ihre Cookie-Einstellungen können Sie hier aufrufen und ändern. In diesem Kontext gibt er Unternehmen drei konkrete Handlungsempfehlungen, um die steigende Nutzererwartung in puncto Website-Sicherheit zu erfüllen.
Zur Anzeige dieses Videos sind Cookies von Drittanbietern erforderlich. Ihre Cookie-Einstellungen können Sie hier aufrufen und ändern. - Trustsiegel in die Website integrieren: Trustsiegel sind ein Indikator für die Vertrauenswürdigkeit einer Website. Die unterschiedlichen Siegel garantieren zum Beispiel Datensicherheit, sicheren Zahlungsverkehr oder bestätigen, dass die Website frei von Malware ist.
- SSL-Zertifikat mit einer hohen Sicherheitsstufe einbinden: Zertifikate mit einer hohen Sicherheitsstufe bieten direkt in der Browserbar einen visuellen Hinweis auf die sichere Verschlüsselung und erhöhen so das Vertrauen der Nutzer.
- „Always on SSL“: Das SSL-Zertifikat sollte auf allen Unterseiten einer Domain, nicht nur auf der Login-Seite oder dem Warenkorb, integriert sein. So wird dem Nutzer von Start bis Ende des Besuches optimaler Schutz geboten.