Warum sagt Dir der Browser, dass Deine Webseite unsicher ist?

Wenn wir genau sein wollen, sagen das meistens der Firefox und Chrome (wahlweise auch Chromium, falls den jemand kennt).

Diese eigentlich als Sicherheitsfeature gedachte Neuerung der Browserhersteller verunsichert derzeit immer mehr Nutzer. Dabei ist es ganz einfach:

Der Browser gibt diesen Hinweis nur aus, wenn die besuchte Webseite nicht mit einem SSL Zertifikat abgesichert ist.

Webseiten mit und ohne SSL

Kurz gesagt: Ohne SSL werden die Daten, die zwischen Webseite und dem Besucher ausgetauscht werden nicht verschlüsselt sondern im Klartext übertragen. Jemand könnte diese Daten abhören und an Passwörter, Zugangsdaten, Kreditkarteninformationen (wenn es bsp. ein Webshop ist) und vieles mehr herankommen. Sobald persönliche Daten übermittelt werden (Kontaktformular mit Feld für Email-Adresse reicht aus), schreibt der Gesetzgeber sogar vor, dass die Übermittlung dieser Daten nach dem derzeit bestmöglichstem Stand der Technik (SSL) zu erfolgen hat. Bei Webshops ist es eh klar.

Ob ein SSL Zertifikat am Wirken ist, erkennt ihr an der Webadresse (URL) der entsprechenden Seite. Steht dort http://irgendeineseite.de ist sie nicht SSL verschlüsselt. Steht dort etwas mit httpS://irgendeineseite.de ist ein SSL Zertifikat eingebunden und der Firefox oder Chrome spuckt keine Meldung aus.

Was brauche ich für eine SSL verschlüsselte Webseite?

Für die Umstellung auf eine verschlüsselte Verbindung benötigt ihr ein SSL Zertifikat. Es gibt mehrere Anbieter, wo ihr euch ein SSL Zertifikat für eine jährliche Gebühr besorgen könnt. Für die meisten Webseitenbetreiber ist es aber einfacher, dies über den Webhoster zu erledigen, weil der sich auch gleich um die korrekte Installation kümmert. Die Preise schwanken stark. Einige wenige Webhoster haben auch schon die kostenlosen Let’s Encrypt SSL Zertifikate im Angebot, bei einigen muss man hingegen richtig viel Geld bezahlen, denn ein Zertifikat gilt meistens nur für eine einzige Domain! Ausnahmen sind Zertifikat Bundles, die ich aber bisher eher selten bei Wald-und-Wiesen-Hostern gesehen habe.
Andererseits ist „teuer“ relativ. Ich persönlich würde zum Beispiel nie ein umfangreiches Formular ausfüllen oder ein Produkt auf einer Seite kaufen, die heute noch ohne SSL Verschlüsselung arbeitet. Wenn das auch nur 10 Prozent der anderen Nutzer genauso sehen, gehen euch 10% der potentiellen Kunden flöten. Dann rechnet mal nach, ob 3 € monatlich für ein Zertifikat immer noch teuer ist.

Wo bekommt man SSL Zertifikate und worauf ist zu achten?

Ich will euch hier keine SSL Zertifikate verkaufen oder besondere Produkte anpreisen. Es gibt genug Vergleichsseiten im Netz, auf denen ihr recherchieren könnt. Erledigt ihr das über euren Webhoster, hat der sowieso seine festen Kooperationspartner, von denen er die Zertifikate bezieht.
Nur soviel sei gesagt: Teuer ist hier nicht gleich besser. Solange die Verschlüsselungsrate entsprechend hoch und der Anbieter seriös ist, reicht ein Zertifikat für ein paar Euro im Jahr völlig aus. Aus technischer Sicht ist es auch gleichgültig, ob eine Inhabervalidierung oder nur Domainvalidierung vorliegt. Das macht sich nur im Preis bemerkbar.

SSL Zertifikat gekauft und dann?

Wie gesagt, der bequemste Weg ist es, den Kauf und die Installation eines SSL Zertfikates über den Webhoster eures Vertrauens zu machen. Was der Webhoster allerdings nicht für euch macht, ist die Umstellung der Webseite auf SSL. Schließlich muss es jetzt bei allen Unterseiten und Artikeln https:// statt http:// heißen. Und weil das gleichzeitig auch noch zwei unterschiedliche URLs sind, muss dafür gesorgt werden, dass automatisch auf die https:// Variante weitergeleitet wird, wenn ich z.B. aus alter Gewohnheit noch die http:// Adresse eingebe. Wären beide Varianten gleichzeitig erreichbar, zählt das für Google als Duplicate Content und die Webseite würde unnötig herabgestuft werden.

Ergo: Um diese ganze Umstellung müsst ihr euch entweder selbst kümmern oder jemanden darum kümmern lassen.

Für die Selbstkümmerer gibt es mittlerweile eine Anzahl recht brauchbarer Tutorials. Auch die Webhoster (z.B. Strato, 1und1 …) ziehen nach und veröffentlichen Anleitungen, wie das speziell auf ihren Accounts zu bewerkstelligen ist. Leider kommt der entscheidende Anteil (was in Eigenleistung gemacht werden muss) immer zu kurz.

Für alles Weitere gibt es diejenigen wie mich, die das (fast) täglich machen.

Kontaktanfrage

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.