SSL Verschlüsslung für Website und Online Shop

Während in der bisherigen Zeit des Internets darauf geachtet wurde vorwiegend wichtige Verbindungen mit SSL zu verschlüsseln ändert sich diese Ansicht gerade extrem. Aktuell wird von den großen Browsern vorgegeben, dass bald alle Internetseiten verschlüsselt angeboten werden sollen. In diesem Beitrag möchte ich das Warum und Wie beschreiben. Das Thema ist für jedermann wichtig , der irgendeine Art von Webpräsens hat.

SSL – TLS Verschlüsslung

Häufig hören wir nur den Begriff SSL für Zertifikate wobei seid 2006 mit TLS eine neue Methode bereitgestellt wurde. Das Ziel beider Verschlüsselungen ist es die Daten, die zwischen dem Webserver auf dem die aufgerufene Seite liegt und dem Browser des Betrachters zu verschlüsseln. Diese Anwendung bei der aus HTTP ein HTTPS in der Browser Zeile wird ist mit Sicherheit eine der gängigsten Anwendungen. Weitere übliche Anwendungen sind beim Abrufen von E-Mails oder dem Datenzugriff per FTP.

SSL für Online Shops

Schon seid längerer Zeit ist die Verschlüsslung des Datenverkehrs von Online Shops quasi verpflichtend, wenn auch bisher meist die Endscheidung des Betreibers entscheidend war. Dies ändert sich aktuell aus folgenden Gründen:

  • Der Betreiber des Online Shops muss den Schutz der persönlichen Daten von Kunden sicherstellten. (Kontaktformular, Bestellungen, Kundenbereich, Newsletter, …)
  • Alle Zahlungsmodule verlangen eine Verschlüsselung um im Produktivbetrieb arbeiten zu können.
  • Kunden vertrauen Angeboten, die das „Schloß“ in der Adresszeile haben mehr, da die Bedeutung immer verbreiteter wird

Da alle gängigen Shop Systeme bereits auf einen Betrieb mit SSL Verschlüsslung vorbereitet sind ist die Einrichtung in den meisten Fällen sehr einfach. Zu beachten ist, dass unter Umständen in Plugins und / oder dem Shop System Verknüpfungen von HTTP auf HTTPS umgestellt werden müssen.

SSL für Homepage und Blog

Während das Thema Verschlüsselung für Shop Betreiber schon länger wichtig ist wird es dies jetzt auch für Betreiber „normaler“ Homepages und Blogs. Hierfür gibt es folgende Gründe:

  • Jeder Betreiber muss für die Sicherheit der Daten seiner Seitenbesucher Vorsorge treffen (Kontaktformular, Newsletter, …)
  • Ab Mitte 2018 haben große Browser angekündigt vor Seiten zu warnen, die keine Verschlüsselung haben. Die Folge wäre, dass Seiten ohne SSL Verschlüsslung nur noch mit einem deutlichem Warnhinweis aufrufbar wären.
  • Google bewertet ein e Verschlüsslung als positiven ranking Faktor
  • Das gefühlte Vertrauen eines Seitenbetrachters ist höher, wenn die Verschlüsselung in der Adresszeile angezeigt wird.

Wird eine Internetseite zuerst ohne Verschlüsselung betrieben und dann auf eine SSL Zertifikat umgestellt müssen ggf. Einträge in der Datenbank angepasst werden. Dies hängt mit Verlinkungen innerhalb der Homepate zusammen. Für WordPress kann man die zu gehenden Schritte nach der Einbindung eines SSL Zertifikates wie folgend beschreiben:

  1. Vor einer solchen Änderung sollte ein komplettes Backup gemacht werden. Aus praktischer Erfahrung empfehle ich ein Plugin wie „Updraft“ bevor man alle Teile selbst von Hand sichert (Dateien und Datenbank)
  2. Im Backend unter Einstellungen-Allgemein müssen die Adressen für die Website und das WordPress System angepasst werden. Hier muss aus einem „HTTP“ ein „HTTPS“ gemacht werden. Anschließend werden alle Aufrufe der Seite über die Verschlüsselung übermittelt und angezeigt.
  3. Die Internen Verlinkungen der Datenbank müssen im System angepasst werden. Dies kann bei einem aktuellen WordPress System z. B. über das Plugin „Better Search Replace“ gemacht werden. Das Plugin funktioniert wie die „Suchen und Ersetzten“ Funktion, die man aus Windows/Office kennt. Ich empfehle zuerst einen Test Durchlauf zu machen (Haken ganz unten“ um sich die Änderungen vorher anzeigen zu lassen. Anschließend sollte die Seite mit allen Funktionen ausgiebig getestet werden
  4. Sicherstellen, dass ggf. auftretende Fehler 404 Fehler richtig behandelt werden. WordPress wird das Frontend anzeigen auch wenn es die gewünschte Seite nicht finden kann aber dabei eine entsprechende Nachricht ausgeben. Empfehlenswert ist festzulegen was bei einem entsprechenden Fehler geschehen soll. Unter anderem kann dies z. B. über Plugins wie „Redirection“ gelöst werden. Da mit den Einstellungen aus 2. und 3. der komplette Datenverkehr über die Verschlüsslung übertragen wird können ggf. externe Links nicht mehr richtig auf die gewünschte Seite umgeleitet werden.

Verschiedene SSL Zertifikate

SSL-Anbieter (Zertifizierungs Stelle, Certificate Authority oder  CA)

Die Auswahl eines passenden Anbieters für SSL Zertifikate hängt meistens von verschiedenen Punkten ab:

  • Welche Zertifizierungsstelle?
  • Welcher Zertifikats Typ?
  • Wer bindet das Zertifikat in den Webserver ein?

Es gibt unüberschaubar viele Angebote für SSL Zertifikate. Meistens richtet sich die Nachfrage nach dem was benötige ich und was darf es kosten. Aufgrund der einfacheren Einbindung in die Website werden sich mit Sicherheit viele die ein Webhosting Paket haben und keinen eigenen Server für die Variante entscheiden das Zertifikat direkt über ihren Hosting Anbieter zu beziehen. Dieser übernimmt dann die Einrichtung auf dem Server. Es ist auch möglich ein Zertifikat bei einem Drittanbieter zu kaufen und anschließend von Ihrem Hoster einbinden zu lassen, nur sollten Sie zuvor Nachfragen ob in diesem Fall zusätzliche Kosten entstehen.

Größe Zertifizierungs Stellen:

  1. Comodo (43.8% aller weltweit eingesetzten SSL-Zertifikate)
  2. IdenTrust (21.4%)
  3. Symantec (16.0%.  GeoTrustThawte und RapidSSL)

SSL Typ: Domain-Validierung (DV)

Bei diesem Typ Zertifikat wird nur überprüft, ob der Antragsteller auch der Eigentümer der Domain ist. Normalerweise wird dies gemacht, indem eine E-Mail an die bei der Registrierungsstelle hinterlegte Adresse gesendet wird. Wird diese bestätigt (durch einen Link) wird die Domain validiert.

Eine Überprüfung einer Person oder Firma wird nicht durchgeführt!

Im Browser sieht der Besucher ein Schloss-Symbol und das https:

 

SSL Typ: Organisation-Validierung (OV)

Die Überprüfung der Zertifizierungsstelle sieht hier vor, die Firma, die den Antrag für das SSL Zertifikat gestellt hat grundlegend zu Überprüfen. Für diesen Typ muss ein Handelsregister Eintrag vorhanden sein.

Privatpersonen oder Einzelkaufmänner können diesen typ Zertifikat nicht beantragen.

Im Browser sieht dieses Zertifikat meistens genauso wie das Domain-Validierung (DV) Zertifikat aus.

 

 

SSL Typ: Erweiterte Validierung (EV)

Die Zertifizierungsstelle überprüft die Antragstellerin durch persönliche Rückfragen und prüft amtliche Dokumente (Identitätsnachweis).

Der große optische Unterschied bei diesem Typen ist die „grüne Adresszeile“ im Browser mit dem Firmennamen. Oftmals wird dieser Typ für größere Firmen oder Banken verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.