Eigentlich ist eine Umstellung Ihrer Websites vom Kommunikationsprotoll HTTP auf HTTPS (SSL-verschlüsselt) mit Kontaktformularen schon seit dem 1. Januar 2016 Pflicht (Ecommerce Gesetz Österreich). Auch hier war die Erhebung personenbezogener Daten mittels der Website der Grund. Allerdings sind damals nicht alle Websitebetreiber diesem Gesetz gefolgt. Im Zuge der mittlerweile fast hysterisch erwarteten Auswirkungen der DSGVO allerdings ist die Nutzung einer SSL-Verschlüsselung ein fester Bestandteil. Zudem lohnt sich diese in Hinblick auf ein besseres Google Ranking. Websitebesucher bewerten SSL-Zertifikate mit dem grünen Schloss in der Adresszeile positiv und vertrauen solchen Seiten mehr.
Was ist ein SSL-Zertifikat?
SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten, die vom Computer zu einem Server transportiert werden. Mittlerweile wurde SSL weiterentwickelt. Das aktuelle Standard-Verschlüsselungsverfahren ist das Transport Layer Security-Protokoll (TLS). Allerdings hat sich der Name SSL so eingebürgert, dass er weiter genutzt wird. SSL-Zertifikate gibt es in unterschiedlichen Sicherheitsstufen und Preisklassen. Alle Daten, die auf diesem Weg übertragen werden, sind vor dem Zugriff durch Dritte geschützt.
Unterschiedlicher Sicherheitsgrad bei SSL-Zertifikaten
Beim Einrichten eines SSL-Zertifikats prüft der Anbieter die Echtheit der Website. Über das HTTPS-Protokoll richtet er außerdem eine verschlüsselte SSL-Verbindung ein.
Es gibt grundsätzlich drei Typen von SSL-Zertifikaten:
Domain-Validierung:
Es wird überprüft, ob der Antragsteller technischen Zugriff auf die von ihm angegebene Domain hat.
Inhaber-Validierung:
Der Antragsteller muss die Existenz des Unternehmens zum Beispiel durch einen Handelsregisterauszug oder Gewerbeschein nachweisen.
Erweiterte Validierung:
Diese Variante unterliegt den strengsten Vergaberichtlinien. Für die Beantragung sind neben dem Handelsregisterauszug detaillierte Angaben zum Unternehmen, wie der Geschäftssitz und Ansprechpartner erforderlich. Der Besucher erkennt solch abgesicherte Seite durch eine grüne Adresszeile.
Die andere Seite der HTTPS-Medaille
Es gibt nichts, was nur Vorteile hat: Deshalb hier ein Überblick über die Nachteile der HTTPS-Umstellung. Faktisch wird sie als komplette Umstellung Ihrer Domain gesehen, was bedeutet, dass Ihnen alle bestehenden Shares und Likes auf Ihrer Website „verloren“ gehen. Sie sind natürlich nicht weg, aber werden im Sharecount Ihres Plugins nicht mehr angezeigt. Nur mit Plugins mit Share Recovery, wie zum Beispiel Social Warefare, werden die Shares weiter angezeigt.
Zudem sollten Sie in der WordPress-Anwendung, wenn es nicht automatisch passiert, im Adminbereich unter Einstellungen > Allgemein die neue URL eintragen. Statt http://ihre-Seite muss bei WordPress-Adresse (URL) jetzt https://ihre-Seite stehen.
Zum Ändern bestehender URLs, installieren Sie zum Beispiel das Plugin Better Search Replace. Nach der Installation suchen Sie Ihre Seite „http://ihre-seite.at“ und ersetzen alle Treffer durch „https://ihre-seite.at“.
Der letzte Schliff
Auch wenn WordPress jetzt versucht, alle Seiten über HTTPS auszugeben, klappt das nicht immer reibungslos. Es kommt zu Mixed-Content-Warnungen. Dann ist die Webseite zwar SSL-verschlüsselt, beinhaltet aber unsichere HTTP-URLs. Sie finden die Fehler durch Warnungen von Browsern wie Firefox oder Chrome. Wenn das Schloss in der Adresszeile neben Ihrer URL nicht grün, sondern rot oder gelb ist, müssen Sie noch etwas an einigen Dateien tun. Dazu klicken Sie zum Beispiel bei Firefox auf das Schloss. Es geht ein Feld auf, indem „unsichere Verbindung“ steht. Klicken Sie jetzt darauf und dann auf „Weitere Informationen“. Dort finden Sie unter „Medien“ alle Dateien, die noch nicht auf HTTPS umgestellt sind. Leider müssen Sie die Fehler händisch beheben.
Die Vorteile von SSL-Zertifikaten noch einmal zusammengefasst:
- Besseres Google-Ranking durch HTTPS-/SSL-Verschlüsselung
- Vollautomatische Einbindung der Zertifikate bei Let’sEncrypt Zertifikaten
- Höchste Vertrauenswürdigkeit durch optionale Inhaber-Validierung
- ExtendedSSL durch grüne Browser-Adresszeile hervorgehoben
- Sichere Verbindung mit bis zu 256-Bit-Verschlüsselung durch AES
- Einbindung auf beliebig vielen externen Servern möglich
Fazit
Geschafft! Jetzt ist Ihre Website auf HTTPS umgestellt und SSL-verschlüsselt. Denken Sie daran: Wenn Sie Google Analytics oder die Search Console für das Tracken Ihres Internetauftritts nutzen, müssen Sie auch dort die neue URL einfügen. Zusätzlich sollten Sie Ihre XML-Sitemap aktualisieren. Wenn alles funktioniert hat, wird Ihre Website nun mit einem grünen Schloss vor der URL im Browser-Fenster angezeigt.
