SSL Zertifikat / SSL Verschlüsselung einfach erklärt


Mit einem SSL Zertifikat kann man die Datenübermittlung zwischen einer Webseite und dem Webseitenbesucher absichern. Alle Daten werden durch das SSL Zertifikat verschlüsselt an den Webbrowser (Firefox, Chrome, Safari, usw.) übermittelt und können nicht mehr von Dritten mitgelesen werden.

4 gute Gründe für ein SSL Zertifikat

SSL Verschlüsselung wird zunehmend wichtiger:

Teure Abmahnungen vermeiden

Es hat bereits Abmahnungen wegen fehlender SSL Verschlüsselung bei Kontaktformularen gegeben. Das Bayerische Landesamt für Datenschutzaufsicht vertritt die Auffassung, dass die Übertragung von personenbezogenen Daten über Kontaktformulare nur noch über eine SSL Verbindung erfolgen darf:wie man z.B. Hier geht es zum Artikel.

Unverschlüsselte Webseiten schrecken Besucher ab

Der Heise-Verlag hat bereits im Februar 2018 berichtet [1], das der Chrome Webbrowser voraussichtlich ab Juli 2018 alle unverschlüsselten Webseiten als „unsicher“ markieren wird. Es ist damit zu rechnen, dass viele Besucher dadurch verunsichert werden und die Webseite wieder verlassen. Chrome ist in Deutschland der mit Abstand am häufigsten verwendet Internetbrowser (Marktanteil fast 40%, Tendenz: steigend [2]). Ein fehlendes SSL Zertifikat kann also zu erheblichen Umsatzeinbußen führen. [1] Kontaktformulare nur noch mit SSL [2] Marktanteil Chrome

SSL verschlüsselte Webseiten schaffen Vertrauen beim Besucher

Das grüne Schloss in der Browserleiste oder besser noch der in grün hervorgehobene Firmenname signalisieren dem Besucher Sicherheit. Dadurch kann z. B. die Abbruchquote eines Bestellvorgangs verringert werden – wer gibt schon gerne seine Abrechnungsdaten über eine unsichere Verbindung ein?

SSL Verschlüsselung ist Rankingkriterium bei Google

Bei der Platzierung in den Suchergebnissen bewertet Google SSL verschlüsselte Webseiten positiv und verbessert somit Ihre Chancen, bei Google gefunden zu werden.

Woran erkennt man, ob eine SSL Verschlüsselung vorhanden ist?

Eine Webseite mit SSL Zertifikat wird über „HTTPS“ aufgerufen. Deshalb wird es manchmal auch als HTTPS Zertifikat bezeichnet. Außerdem signalisiert der Internetbrowser über ein Schloss-Symbol, dass die Verbindung sicher ist.

Welche Arten von SSL Zertifikaten gibt es?

Es gibt drei verschiedene Arten von SSL Zertifikaten:

1. Domainvalidiert

Es wird bei der Ausstellung nur geprüft, ob der Antragsteller die Kontrolle über die Domain hat. Dies kann durch das Verschicken einer Mail mit Bestätigungslink an ein bestimmtes Postfach auf der Domain erfolgen, die Prüfung auf einen speziellen DNS-Eintrag oder das Vorhandensein einer speziellen Datei. Dies ist das günstigste SSL Zertifikat, am weitesten verbreitet und für die meisten Anwendungsfälle ausreichend.

2. Organisationsvalidiert

Hier wird auch die Identität des Domaininhabers geprüft, z. B. durch Vorlage eines Gewerbescheins, eines Handelsregisterauszugs oder eines Personalausweises. Der Unterschied zwischen einem domainvalidierten und einem organisationsvalidierten SSL Zertifikat ist für den Kunden nur ersichtlich, wenn er sich das Zertifikat gezielt anschaut.

3. Erweiterte Validierung (Extended Validation = EV Zertifikat)

Die Prüfung der Identität erfolgt hier nach höchsten Sicherheitsstandards (u. a. Rückruf an eine in einem öffentlichen Verzeichnis eingetragene Telefonnummer). Dies ist mit viel Aufwand und entsprechenden Kosten verbunden. Ein EV Zertifikat erkennt man am grünen Firmennamen in der Adresszeile des Webbrowsers. Es ist somit sofort und deutlich für Jedermann zu erkennen und schafft das bestmögliche Vertrauen.

Wie bekomme ich ein SSL Zertifikat für meine WordPress Seite?

In allen unseren WordPress Hosting Tarifen ist bereits ein SSL Zertifikat kostenlos enthalten. Das SSL Zertifikat wird von uns bereits bei der Installation mit aufgeschaltet.

Sollten Sie später noch weitere WordPress Instanzen einrichten oder aus welchen Gründen auch immer eine Neuinstallation durchführen müssen, gehen Sie wie folgt vor:

Aktiveren Sie das SSL Zertifikat in der PLESK Verwaltungsoberfläche unter Websites & Domains › Let‘s Encrypt

Anschließend können Sie unter Hosting-Einstellungen › Sicherheit die Option „Dauerhafte, für SEO geeignete 301-Weiterleitung von http zu HTTPS“ aktivieren. So wird sichergestellt, dass jeder Besucher automatisch auf die SSL Verbindung weitergeleitet wird und niemand mehr die unverschlüsselte WordPress Seite aufrufen kann.

Vergessen Sie nicht, auch im WordPress selbst unter Einstellungen › Allgemein die WordPress-Adresse (URL) und Website-Adresse (URL) ebenfalls auf HTTPS umzustellen.

Abschließend sollte man testen, ob noch SSL Fehler auftreten.

SSL Fehler

Im Zusammenhang mit SSL können verschiedene Fehler auftreten:

Mixed Content erkennen

WordPress speichert z. B. die Links zu eingebundenen Bildern in einer Datenbank. Ist hier ein Link ohne HTTPS hinterlegt, wird das Bild über eine unverschlüsselte Quelle nachgeladen. Dies führt zu einer Warnung im Browser („Mixed Content“). Gleiches passiert, wenn man Inhalte von externen Quellen ohne HTTPS eingebunden hat. Welche Inhalte zum SSL Fehler führen, können Sie z. B. im Firefox-Browser wie folgt ermitteln:

  1. Klicken Sie auf das grüne Schloss in der Adressleiste des Browsers
  2. Klicken Sie auf den Pfeil nach rechts „Verbindungsdetails anzeigen“
  3. Klicken Sie auf „weitere Informationen“
  4. Klicken Sie auf „Medien“

Hier bekommen Sie eine Übersicht über alle eingebundenen Medien und können prüfen, welches davon nicht über HTTPS aufgerufen wird.

Tipp: Wenn Sie z. B. sehr viele Bilder in Ihrem WordPress verwendet haben, ist die manuelle Umstellung auf HTTPS kaum praktikabel. In diesem Fall hilft Ihnen das Plugin „Better Search Replace“. Damit können Sie die Datenbank nach Links per HTTP durchsuchen und durch HTTPS ersetzen.

SSL Zertifikat abgelaufen

Jedes SSL Zertifikat wird für einen bestimmten Zeitraum (Ein oder zwei Jahre bzw. 90 Tage bei Let's Encrypt) ausgestellt und muss danach erneuert werden.

Zertifikat unbekannt

Auch wenn Sie sich selbst ein SSL Zertifikat erstellen, wird beim Aufruf durch den Browser ein ähnlicher Fehler generiert.

Grund dafür ist die Tatsache, dass der Browser das SSL Zertifikat "nicht kennt"[1] und diesem folglich nicht vertraut. Sie müssen dem Zertifikat in diesem Fall manuell das Vertrauen aussprechen und es auf diese Weise dem Browser bekannt machen. Bei zukünftigen Aufrufen mit dem selben Browser wird dann kein SSL Fehler mehr auftreten. Praktikabel ist dies allerdings nur bei Webseiten mit überschaubarem und bekanntem Nutzerkreis. Der normale Webseitenbesucher dürfte durch die Warnung abgeschreckt werden und daher sollte man auf ein "richtiges" Zertifikat zurückgreifen.

[1] Im Webbrowser ist eine Liste mit vertrauenswürdigen Zertifizierungsstellen (Certificate Authorities / CA) hinterlegt. Der Browser prüft, ob das SSL Zertifikat von einer solchen vertrauenswürdigen Stelle ausgestellt wurde und erzeugt eine Warnmeldung, falls dies nicht der Fall sein sollte.

SSL Zertifikat kostenlos – wie geht das?

Die gemeinnützige Internet Security Research Group (ISRG) hat bereits Ende 2015 angefangen, über den Dienst "Let’s Encrypt" kostenlose SSL Zertifikate auszustellen. Ziel ist es, die Sicherheit im Internet zu erhöhen und SSL Verschlüsselung zum Standard zu erheben.

Das SSL Zertifikat kostenlos anzubieten ist nur möglich, weil der gesamte Prozess (erstellen, validieren, signieren, einrichten und erneuern) automatisiert abläuft und somit keinerlei Zeitaufwand für „Handarbeit“ mehr anfällt. Die von uns verwendete PLESK Verwaltungsoberfläche hat alle nötigen Funktionen bereits an Bord. Damit kann jetzt jeder seine Website verschlüsseln.

Bei ProWebMa gibt es auf allen Webservern ein SSL Zertifikat kostenlos.

SSL Zertifikat überprüfen

Die kryptografischen Protokolle, auf denen SSL Zertifikate basieren, werden ständig weiterentwickelt. Von SSL 2 über SSL 3 bis hin zu TLS 1.0, TLS 1.1, TLS 1.2 und TLS 1.3. Dies ist erforderlich, um die Sicherheitsanforderungen an die jeweils aktuellen Gegebenheiten anzupassen. Veraltete Protokolle gelten irgendwann als nicht mehr sicher und sollten daher keine Verwendung mehr finden. Seit dem 30.06.2018 ist z.B. für das Erlangen des PCI Data Security Standards (DSS) Voraussetzung, das auf dem Webserver alle Protokolle kleiner bzw. älter als TLS 1.1, deativiert sind. Der PCI Data Security Standard wiederum ist Voraussetzung, wenn Sie z.B. einen Webshop betreiben und die Abrechnung unter anderem über Kreditkarte erfolgen soll. Kreditkartenunternehmen fordern diesen Standard. PayPal arbeitet sogar ausschließlich nur noch mit TLS 1.2.

Auch verschiedene andere Einstellungen auf dem Server haben Einfluss darauf, wie hoch der Sicherheitsgrad der SSL Verschlüsselung ist.

Mit dem Service von SSLLabs können Sie das SSL Zertifikat überprüfen. Mit weniger als eine A-Ranking sollten Sie sich nicht zufriedengeben. Die WordPress Server von ProWebMa ermöglichen sogar das Erreichen eines A+ Rankings.
Hier ein Test unserer eigenen Webseite.