SSL, https und die grüne Adresszeile
Der aufmerksame Nutzer sieht es: In der Adresszeile des Browsers ist ein grünes Schloss zu sehen oder ein Teil der Adresse ist in grüner Schrift dargestellt. Einige Browser (wie zum Beispiel der Google Chrome) sind dazu übergegangen, das Schloss-Symbol nicht mehr in grüner Farbe zu zeigen, sondern nur ein in anthrazit eingefärbtes Schloss einzublenden.
Ob grün oder nicht: Das Symbol ist ein Zeichen dafür, dass die Übertragung der Website verschlüsselt per SSL durchgeführt wird. Typisch ist eine Verschlüsselung auf Online-Banking-Seiten oder Online Shops.
https, SSL – Was ist das?
HTTP steht für „Hyper Text Transport Protokoll“. Dies ist die grundsätzliche Übertragung-Technologie von Webseiten. HTTPS steht für „Hyper Text Transport Protokoll secure“. Im Gegensatz zur Übertragung per HTTP wird bei der HTTPS-Übertragung also auf Sicherheit gesetzt. Mit Hilfe eines SSL („Secure Sockets Layer“) – Zertifikats wird die verschlüsselte Übertragung komplett.
Bildlich gesprochen entspricht das unverschlüsselte HTTP einer Postkarte, die von jedem, der sie in die Finger bekommt gelesen werden kann. Bei der HTTPS-Übertragung befindet sich alles in einem Umschlag, der ausschließlich vom Empfänger geöffnet und gelesen werden kann.
Warum https?
Wie oben beschrieben, wird die Übertragung sämtlicher Daten zwischen der Website und dem Nutzer verschlüsselt. Erst im Browser werden die Daten wieder entschlüsselt. Dadurch ergeben sich folgende Vorteile:
- Vertrauen: Webseiten-Betreiber müssen sich – zumindest bei einigen SSL-Zertifikaten – als rechtmäßiger Eigentümer der Website verifizieren. So kann der Nutzer sicher sein, auch tatsächlich auf der zu erwartenden Website zu sein.
- Keiner kann mitlesen / abgreifen: Durch die Verschlüsselung wird sichergestellt, dass jegliche Datenübertragung unverändert durchgeführt wird.
- die Gefahr, das die Inhalte einer Website auf dem Weg zwischen Server und Browser verändert werden, ist so gut wie ausgeschlossen.
- Suchmaschinen wie Google betrachten verschlüsselte Webseiten als vertrauenswürdiger. Somit können sichere Webseiten bessere Positionen in den Ergebnis-Seiten erreichen als herkömmliche, unverschlüsselte Seiten. Google hat unlängst bestätigt, dass eine SSL Verschlüsselung das Ranking positiv beeinflusst. Somit ist es – neben dem Schreiben guter SEO-Texte – eine absolute Empfehlung, die eigene Internetseite mit einem SSL Zertifikat auszustatten.
Welche Website sollte ein SSL Zertifikat besitzen?
Grundsätzlich ist es richtig, eine Website mit einem SSL-Zertifikat zu versehen. Wenn es sich „nur“ um eine einfache Website handelt, die statische Inhalte zeigt, kann man auf eine SSL-Verschlüsselung verzichten.
Doch sobald mehr oder weniger sensible Informationen übertragen werden, halte ich eine SSL-Website für sehr empfehlenswert. Umso mehr eine Website interaktiv ist, also der Besucher über Eingabefelder (persönliche) Daten an die Website sendet, desto eher sollte die Übertragung verschlüsselt werden.
Folgende Webseiten sollten ein Zertifikat für eine sichere Übertragung besitzen:
- Websites mit einem Kontaktformular
- Websites mit Registrierungs- und Login-Möglichkeiten (zum Beispiel: Mitgliedsbereiche)
- Websites, die auf einem Content-Management-System basieren: Hier sollte der Login-Bereich über eine SSL-Verbindung umgesetzt sein.
- Webseiten mit Kommentarmöglichkeiten (zum Beispiel ein Blog)
- Online – Shops
- Foren, Gästebücher und Chat-Systeme
Was kostet die Umstellung auf eine sichere Homepage mit https?
Um SSL auf der eigenen Website nutzen zu können, benötigt man als Webseitenbetreiber ein SSL-Zertifikat. Dieses kann man bei seinem Provider erwerben. Die Kosten variieren, da es eine Reihe unterschiedlicher Zertifikate unterschiedlicher Anbieter gibt. Neben den kostenpflichtigen Zertifikatsstellen gibt es seit einiger Zeit einen kostenfreien Dienst „Let’s encrypt“. Einige Provider unterstützen die Nutzung und Integration des kostenfreien SSL-Zertifikats. Ein kostenpflichtiges Zertifikat erhält man ab etwa 1,60 Euro pro Monat. Sie können aber auch 30 oder mehr Euro pro Monat für ein SSL-Zertifikat ausgeben. Welcher Zertifikat-Typ für Ihre Website die richtige ist, muss im Einzelfall besprochen und entschieden werden. Ich berate Sie gern.
Umstellung einer Website auf https / SSL
Sie besitzen eine eigene Homepage und möchten diese auf SSL umstellen? Dies ist bei den meisten Providern recht flott erledigt. Der Bestellprozes ist in der Regel einfach und in vielen Fällen ist das Zertifikat in wenigen Minuten aktiv.
Doch nun ist es fast immer so, dass der Browser dann noch nicht das ersehnte grüne Schloss zeigt. Stattdessen erhalten Sie Fehlermeldungen oder Informationen über eingeschränkte Sicherheit. Schlimmstenfalls bekommen Sie Ihre Website gar nicht zu Gesicht. In diesen Fällen müssen im Quelltext der Website und/oder im Content-Management-System Einstellungen vorgenommen werden, die Ihre Website fit für https macht.
Bevor Sie also einfach ein SSL-Zertifikat bestellen, sprechen Sie mit Ihrem Dienstleister.
Fazit
Aus Gründen des Vertrauens und des Datenschutzes sollte eine moderne Website mit einer verschlüsselten Übertragung versehen sein. Die Bestellung und Umstellung ist in den meisten Fällen eine lohnenswerte Investition.