Website mit SSL verschlüsseln und Zertifikat erwerben

Webauftritt sicher gestalten

Verschlüsseln Sie Ihre Website!

Für den Webauftritt ist Verschlüsselung Pflicht. Das hat nicht nur mit Vertrauen und Sicherheit zu tun, sondern auch mit dem Ranking bei Google. Tipps für die Umstellung.

Jeder kennt es: Das grüne Schlösschen, das der Browser neben der Webadresse (URL) anzeigt, steht für Sicherheit. Konkret weist es darauf hin, dass der Datenverkehr zwischen dem Browser und dem Webserver verschlüsselt und somit abhörsicher abläuft. Datenklau wird so fast unmöglich. Ohne Verschlüsselung könnten Cyber-Kriminelle dagegen Formulareingaben wie Adressen oder Kreditkartennummern ziemlich einfach abfangen und damit Missbrauch treiben.

Das Web soll sicher werden

SSL bei Swisscom immer dabei

Mit einem Webhosting von Swisscom sind Sie auf der sicheren Seite: Bei allen drei Varianten S, M und L ist ein SSL-Zertifikat inklusive. Beim L-Paket können Sie sogar zwischen OV- oder EV-Zertifikat wählen.

Weitere Informationen

Eine verschlüsselte Website erhöht also die Sicherheit. Je mehr Adressen verschlüsselt sind, desto sicherer wird der Datenaustausch im Web. Das ist ganz im Sinne der Suchmaschine Google. Der Webgigant möchte, dass möglichst alle Webseiten nur noch verschlüsselt erreichbar sind. Denn ein sicheres Web ist auch attraktiver als Werbeplattform. Als Anreiz für Website-Betreiber, ihre Auftritte zu verschlüsseln, hat sich Google diverse Massnahmen einfallen lassen:

  • Bereits seit 2004 bevorzugt Google in den Suchresultaten Websites mit Verschlüsselung. Die Position in den Suchresultaten verbessert sich mit Verschlüsselung um bis zu 5 Prozent.
  • Seit Anfang 2017 markiert der Google-Browser Chrome nicht verschlüsselte Websites mit Passworteingabefeldern als unsicher und rät davon ab, vertrauliche Daten einzugeben.
  • Im Oktober 2017 hat Google mit der Chrome-Version 62 noch einen Gang höher geschaltet: Nun werden sämtliche unverschlüsselten Websites mit beliebigen Formularfeldern als unsicher gekennzeichnet.

Davon betroffen sind ganz besonders Unternehmenswebsites aller Art. Denn die meisten Firmenauftritte sind mit einem Kontaktformular ausgestattet. Und es macht sich nicht gerade gut, wenn man seinen Kunden eine nicht sichere Website vorsetzt: Das Kundenvertrauen leidet, die Besucher sind verunsichert und wenden sich womöglich der Konkurrenz zu. Deshalb sollten Sie spätestens jetzt Ihren Webauftritt auf Verschlüsselung umstellen.

Und so funktioniert es praktisch

Ziel noch nicht erreicht

Googles Anstrengungen für ein sicheres Web haben durchaus gefruchtet. Laut dem hauseigenen «Transparenzbericht» rufen Chrome-Nutzer immer mehr Websites über verschlüsselte Verbindungen ab – je nach Systemplattform von knapp 30 Prozent im Jahr 2015 bis zu 75 Prozent im Juli 2017.  Auftritte von Grossunternehmen und Behörden sowie soziale Netzwerke wie Facebook machen dabei den Löwenanteil aus. Sie alle arbeiten längst mit Verschlüsselung.

Ein anderes Bild zeigt sich in den «SSL by Default Statistics» von builtwith.com. Schaut man das gesamte Internet an, sind von knapp 375 Millionen Websites erst rund 370’000 ausschliesslich verschlüsselt erreichbar – das entspricht schmürzeligen 0,1 Prozent. Auch wer sich die Mühe macht, die Internetauftritte von Schweizer KMU zu durchforsten, trifft eher selten auf das grüne Schlösschen. Es besteht also noch ziemlicher Aufholbedarf.

Neue Websites sollten heute von Anfang an verschlüsselt, also auf SSL und HTTPS ausgelegt werden. Bestehende, unverschlüsselte Auftritte müssen umgestellt werden. Dabei hilft die Checkliste. In beiden Fällen ist der erste Schritt der Erwerb eines SSL-Zertifikats. Die meisten Webhosting-Anbieter offerieren Zertifikate, teils mit automatischer Installation und regelmässigen Updates. Denn SSL-Zertifikate sind nur für einen bestimmten Zeitraum gültig und müssen bei Ablauf erneuert werden. Die entsprechenden Einstellungen finden Sie, wenn Sie sich in den Verwaltungsbereich Ihrer Website einloggen.

Bei vielen Webhostern kosten die einfachen DV-Zertifikate nichts. OV- und EV-Zertifikate dagegen sind mit regelmässigen Kosten verbunden, die je nach Typ zwischen rund 100 und knapp 900 Franken pro Jahr liegen. Das gesteigerte Vertrauen rechtfertigt die Investition allemal, sobald über die Website Geschäfte getätigt werden, beispielsweise über einen Online-Shop.

SSL-Verschlüsselung ist heute für alle Unternehmens-Websites Pflicht. Das ist keine Schikane, sondern bringt direkten Nutzen – vom besseren Google-Ranking bis zum gestärkten Kundenvertrauen. Für einfache Internetauftritte genügt ein DV-Zertifikat. Auch viele bekannte Schweizer Unternehmen, die bereits auf SSL setzen, begnügen sich damit. Betreiber von grösseren Online-Shops und von Websites, auf denen Besucher vertrauliche Daten eingeben, sollten jedoch mindestens ein OV-Zertifikat erwerben.

Checkliste: So stellen Sie erfolgreich auf Verschlüsselung um

Achtung – jetzt wird’s technisch! Aber keine Angst: Ihr Webmaster dürfte wissen, um was es in den folgenden Punkten genau geht:

  1. Backup: Sichern Sie die bestehende Website, inklusive aller Bilder und Datenbanken. Falls etwas schiefläuft, können Sie so wieder auf den vorherigen Stand wechseln.
  2. Installieren und aktivieren Sie das SSL-Zertifikat. Diese Aufgabe erledigen Sie über den Verwaltungsbereich Ihrer Website bei Ihrem Webhoster. Testen Sie anschliessend, ob die Website via https:// erreichbar ist.
  3. Leiten Sie alle bestehenden HTTP-Adressen auf die HTTPS-Pendants um. Dazu dient am besten jeweils ein serverseitiger «301-Redirect». Auch dies nimmt Ihnen oft der Webhoster ab – achten Sie auf Optionen wie «Alle Anfragen automatisch auf HTTPS:// weiterleiten» oder «SSL forcieren».
  4. Interne Links anpassen: Links auf Seiten und Inhalte innerhalb Ihrer Website müssen angepasst werden: aus «http://…» wird «https://…». Bei statischen Webseiten (HTML-Dokumenten) lässt sich das in einem Texteditor mittels Suchen und Ersetzen bequem erledigen. Falls Sie ein Content-Management-System einsetzen, prüfen Sie, ob die Links automatisch auf die verschlüsselte Variante umgestellt werden. Ansonsten müssen Sie sie ebenfalls entsprechend ändern.
  5. Externe Links anpassen: Informieren Sie Partner, die einen Link auf Ihre Website gesetzt haben, über die Umstellung. Auch wenn unverschlüsselte Aufrufe automatisch umgeleitet werden, ist es besser, wenn alle Links direkt auf die verschlüsselte Seite erfolgen.
  6. Untersuchen Sie den Quellcode Ihrer Webseiten: Sind im Header Elemente wie Canonical- oder HREFLANG-Tags, Open-Graph-Tags oder Base-URL enthalten, müssen Sie diese auf die verschlüsselten Adressen anpassen.
  7. Achtung: Für die Suchmaschinen gleicht die Umstellung auf Verschlüsselung einem Domain-Umzug. Aktualisieren Sie Ihre Sitemap deshalb mit den neuen HTTPS-Adressen und reichen Sie das neue XML-Dokument bei den Suchmaschinen ein, zum Beispiel über die Search Console von Google. So gelangt die neue Sitemap schneller in den Suchindex.
  8. Haben Sie externe Inhalte wie Bilder, Werbeanzeigen, Webfonts, Formulare oder JavaScript-Bibliotheken eingebunden? Auch diese sollten nur noch über eine verschlüsselte Verbindung angesprochen werden, damit der Browser keinen abschreckenden Warnhinweis wegen «gemischter Inhalte» anzeigt. Fragen Sie die Anbieter solcher Inhalte, ob diese auch verschlüsselt zugänglich sind. Falls nicht, überlegen Sie sich, ob Sie die Inhalte direkt auf dem eigenen Server unterbringen können.

 

SSL, HTTPS und Zertifikate: die technische Seite der Verschlüsselung

Bei der verschlüsselten Datenübertragung kommen die Netzwerk- und Webprotokolle SSL (Secure Sockets Layer) und HTTPS (Hypertext Transfer Protocol Secure) zum Einsatz. Oder genauer: TLS (Transport Layer Security) und HTTPS, denn bei SSL handelt es sich strenggenommen um den mittlerweile veralteten Vorgänger von TLS. Trotzdem spricht man allgemein immer noch von «SSL-Verschlüsselung» und «SSL-Zertifikaten».

Mit SSL/TLS gesicherte Seiten werden über das HTTPS-Protokoll abgerufen, während das herkömmliche HTTP-Protokoll nur unsicheren Datenverkehr ermöglicht. Ein Detail am Rande: HTTPS-Seiten werden deutlich schneller geladen als identische Seiten, die per HTTP aufgerufen werden. Testen lässt sich dies unter https://www.httpvshttps.com.

Damit die Verschlüsselung funktioniert, muss auf dem Webserver ein SSL-Zertifikat installiert werden. Es muss durch eine vertrauenswürdige Stelle herausgegeben werden, eine so genannte Certificate Authority (CA). Bekannte Zertifizierungsstellen sind etwa Symantec, Comodo und Geotrust. SSL-Zertifikate sind in drei Varianten erhältlich:

  • Ein Domain-Validation-Zertifikat (DV) weist nach, dass der Datenverkehr verschlüsselt abläuft und dass die angezeigte Domain (zum Beispiel unserefirma.com) der aufgerufenen entspricht. Bei DV-gesicherten Seiten erscheint das bekannte grüne Schlösschen. DV-Zertifikate sind praktisch unmittelbar verfügbar.
  • Bei einem Organisation-Validation-Zertifikat (OV) überprüft die CA zusätzlich, ob die Domain auch wirklich der angezeigten Firma gehört und nicht einem anderen Inhaber. Das Validierungsverfahren kann 2 bis 3 Tage dauern. Kunden haben mit einem OV-Zertifikat die Gewissheit, tatsächlich bei der gewünschten, legitimen Firma zu sein – ein klarer Vorteil zum Beispiel für Webshops.
  • Für ein Extended-Validation-Zertifikat (EV) muss der Inhaber der Domain weitergehende Überprüfungen bestehen. Dies dauert bis zu einer Woche. Neben dem Schlösschen wird bei einem EV-Zertifikat in allen gängigen Browsern auch der Firmenname in Grün angezeigt. EV-Zertifikate eignen sich überall, wo sensible Daten wie Bankangaben oder medizinische Informationen übermittelt werden.

Von der Sicherheit her sind alle drei Varianten ebenbürtig. Auch beim simplen DV-Zertifikat wird der Datenverkehr mit den gleich sicheren Methoden verschlüsselt. Wählen Sie aber auf jeden Fall einen professionellen Anbieter und achten Sie auf ausreichende Schlüssellänge: Zertifikate mit 256-Bit-Verschlüsselung sind passé, heute sollten es mindestens 2048 Bit sein.

OV- und EV-Zertifikate garantieren darüber hinaus die Echtheit der Domain (OV) und die Authentizität der Firma (EV) und geben dem Besucher zusätzliches Vertrauen. Je nach Variante sind SSL-Zertifikate zudem optional für mehrere Domains (Multi-Domain) oder für beliebige Subdomains erhältlich (Wildcard, zum Beispiel für www.unserefirma.ch, blog.unserefirma.ch und kundenportal.unserefirma.ch).

 

Titelbild: Keystone

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.