Was ist SSL & warum wird Ihre Website damit sicherer – eine Einführung

Is your website secure? Enter a URL here to test. 

Was ist SSL & warum wird Ihre Website damit sicherer – eine Einführung

Sie haben bestimmt schon mal gesehen, dass einige URLs mit „http://“ beginnen und andere mit „https://“. Vielleicht ist Ihnen das zusätzliche „s“ auch bei Websites aufgefallen, die sensible Daten abfragen, zum Beispiel, wenn Sie online etwas kaufen oder bezahlen.

Doch woher kommt das zusätzliche „s“ und was hat es damit auf sich?

Um es einfach auszudrücken: Das zusätzliche „s“ weist darauf hin, dass Ihre Verbindung zu dieser Website verschlüsselt ist. So können Hacker Ihre Daten nicht abfangen. Die Technologie hinter dem kleinen Buchstaben „s“ heißt SSL (Secure Sockets Layer).

In diesem Beitrag lernen Sie, was SSL ist und wie diese Technologie funktioniert. Anschließend zeigen wir Ihnen, woran Sie erkennen können, ob eine Website SSL nutzt und wie Sie diese Technologie auf Ihrer eigenen Website einrichten können.

Welche SEO-Strategien funktionieren heute einfach nicht mehr? Erfahren Sie es  in unserem kostenlosen E-Book.

Was ist SSL?

Beginnen wir erst einmal mit einer Definition von SSL.com:

SSL ist der Sicherheitstechnologiestandard für die Erstellung einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten privat bleiben, die zwischen dem Webserver und dem Browser ausgetauscht werden.

In der Praxis bedeutet das: Wenn Sie Daten oder Informationen auf einer Webseite ohne SSL eingeben, können Hacker, die es auf den Diebstahl Ihrer Daten abgesehen haben, diese abfangen.

Das können die unterschiedlichsten Dinge sein, zum Beispiel Details einer Banküberweisung oder allgemeine Informationen, die Sie eingeben, um sich für ein Angebot zu registrieren. In der Hackersprache wird dieses „Abfangen“ häufig als „Man-in-the-Middle-Angriff“ bezeichnet. Der eigentliche Angriff kann in verschiedenen Formen erfolgen, aber die häufigste Methode ist folgende: Hacker platzieren ein kleines, unentdecktes Abhörprogramm auf dem Server, auf dem eine Website gehostet wird. Das Programm wartet im Hintergrund, bis Besucher auf die Website kommen. Sobald diese Daten eingeben, aktiviert das Programm einen Mechanismus, der die Daten erfasst und an die Hacker schickt.

Wenn Sie aber eine Website besuchen, die via SSL verschlüsselt ist, stellt Ihr Browser eine Verbindung zum Webserver her, prüft das SSL-Zertifikat und baut eine Verbindung zwischen Ihrem Browser und dem Server auf. Diese Verbindung ist sicher, damit keiner außer Ihnen und der Website die von Ihnen im Browser eingegebenen Daten sehen oder darauf zugreifen kann.

Diese Verbindung erfolgt sofort und Sie müssen dafür nichts machen. Besuchen Sie einfach eine Website mit SSL und wie von Zauberhand ist Ihre Verbindung automatisch sicher.

Alles, was Sie über SSL und Chrome 62 wissen müssen

Google wird in Kürze Version 62 seines beliebten Chrome-Browsers veröffentlichen. Mit dieser neuen Version erhalten Nutzer einen Warnhinweis, dass eine Website nicht sicher ist, wenn sie ein Formular enthält jedoch kein SSL verwendet. Da Chrome einen Marktanteil von ca. 47 % hat, wird diese Neuerung sich auf einen beträchtliche Anzahl von Websites auswirken. 

Jüngsten Nachforschungen von HubSpot zufolge brechen bis zu 85 % der Nutzer ihren Besuch auf einer Website ab, wenn diese nicht sicher ist. Schon im Januar 2017 veröffentlichte Google ein ähnliches Update, das jedoch nur Seiten betraf, die sensible Informationen wie Passwörter der Kreditkartendaten abfragten. Daher sind viele Nutzer sich inzwischen des Warnhinweises bewusst und verlassen aufgrund dessen die Seite:

Umfrage zum Besucherverhalten auf nicht sicheren Webseiten

Wenn Sie den Inkognito-Modus verwenden, wird Ihnen Chrome stets eine Warnung anzeigen, wenn eine Seite kein gültiges SSL-Zertifikat aufweist. Außerhalb des Inkognito-Modus wird diese Warnung nur angezeigt, wenn Sie Informationen in ein Formular eingeben.

Anzeige von Warnungen zur Sicherheit von Websites in Google ChromeBildquelle: 9to5Google (Übersetzung von HubSpot)

Das heißt, dass Sie SSL bei sämtlichen Inhalten aktivieren sollten, die Formulare beinhalten, selbst wenn ein Formular nur nach einer E-Mail-Adresse fragt. Falls Sie Inhalte auf verschiedenen Plattformen hosten, ist es wichtig, dass SSL auf sämtlichen Plattformen aktiv ist bevor das Update von Google Chrome veröffentlicht wird. Sofern es keine unannehmbaren Kosten für Sie verursacht, empfiehlt es sich generell, SSL auf Ihrer gesamten Website zu aktivieren, ganz gleich, ob eine bestimmte Unterseite ein Formular enthält oder nicht. Im folgenden Abschnitt erfahren Sie, warum.

Ist SSL gut für die SEO?

Ja. Obwohl SSL eigentlich dem Schutz von Daten und Informationen dient, die zwischen Besuchern und Ihrer Website ausgetauscht werden, wirkt sich diese Technologie auch positiv auf die SEO aus. Laut Google Webmaster Trends Analyst Zineb Ait Bahajji, gehört SSL mittlerweile zum Suchranking-Algorithmus von Google:

In den letzten Monaten haben wir Tests durchgeführt, bei denen in unseren Suchranking-Algorithmen berücksichtigt wurde, ob Websites sichere, verschlüsselte Verbindungen verwenden. Da die Ergebnisse positiv waren, führen wir jetzt HTTPS als Ranking-Faktor.

Zudem hat Google öffentlich angekündigt, dass bei zwei Websites, die unter allen anderen Gesichtspunkten gleich sind, eine Seite, für die SSL aktiviert ist, höher gerankt werden kann. Das heißt, dass es im Hinblick auf die SEO ein eindeutiger Vorteil ist, SSL für eine Website und über sämtliche Inhalte hinweg zu aktivieren.

Woran sehe ich, ob eine Website SSL verwendet?

Ein paar Informationen im Browser weisen darauf hin, ob Sie eine Website mit (funktionierendem) SSL besuchen.

1) Die URL beginnt mit „https://“ und nicht mit „http://“

So sieht das aus:

Die Browserleiste in Google Chrome auf gesicherten Websites
2) Sie sehen ein kleines Schlosssymbol in der URL-Leiste

Es wird je nach Browser entweder links oder rechts in der URL-Leiste angezeigt. Mit einem Klick auf das Schloss erhalten Sie mehr Informationen über die Website und das Unternehmen, von dem das Zertifikat bereitgestellt wurde.

Informationen zur Seitensicherheit in Google Chrome

3) Das Zertifikat ist gültig

Auch wenn eine Website-URL mit „https://“ beginnt und das Schlosssymbol angezeigt wird, kann es sein, dass das Zertifikat abgelaufen ist. In diesem Fall wäre Ihre Verbindung nicht sicher. In den meisten Fällen werden Seiten, deren URLs mit „https://“ beginnen, sicher sein, aber falls Sie auf eine Seite stoßen, die nach auffällig vielen persönlichen Informationen fragt, könnte es sinnvoll sein, die Gültigkeit ihres SSL-Zertifikats zu überprüfen.

SSL-Zertifikatinformationen in Google Chrome

Um herauszufinden, ob ein Zertifikat gültig ist, gehen Sie in Chrome ins Hauptmenü oben rechts, und wählen Sie „Weitere Tools“ → Entwicklertools. Öffnen Sie dann den Tab „Security“, um die Details zum jeweiligen SSL-Zertifikat einzusehen. Wenn Sie auf die Schaltfläche „View certificate“ (Zertifikat einsehen) klicken, sehen Sie die spezifischen Daten des Zertifikats.

In Firefox können Sie dazu einfach in dem Pop-up, das sich öffnet, wenn Sie auf das Schlosssymbol klicken, auf „Weitere Informationen“ klicken. Daraufhin öffnet sich ein Fenster mit Seiteninformationen und über die Schaltfläche „Zertifikat anzeigen“ können Sie die Details des Zertifikats einsehen. 

Informationen zur Seitensicherheit in Mozilla Firefox

Wie erhalte ich ein SSL-Zertifikat für meine Website?

Wenn Sie ein SSL-Zertifikat für Ihre Website einrichten möchten, müssen Sie zuerst überlegen, welche Art von Zertifikat zu Ihren Anforderungen passt. Wenn Sie z. B. Inhalte auf mehreren Plattformen hosten (etwa auf separaten Domains/Subdomains), benötigen Sie unter Umständen verschiedene SSL-Zertifikate.

In den meisten Fällen wird ein Standard-Zertifikat ausreichen, aber für Unternehmen in stark regulierten Branchen wie dem Finanz- oder Versicherungswesen empfiehlt es sich, hier genau auf die jeweiligen Anforderungen zu achten. Es ist möglich, dass für Ihre Branche bestimmte Arten von SSL-Zertifikaten verlangt werden.

Die Kosten von SSL-Zertifikaten sind unterschiedlich: es gibt kostenlose Versionen sowie den individuellen Bedürfnissen eines Unternehmens angepasste Versionen für einige Hundert Euro im Monat. „Let's Encrypt“ bietet etwa kostenlose Zertifikate, aber in diesem Fall sollten Sie jemanden haben, der sich gut mit dem technischen und dem DNS-Setup Ihrer Website auskennt. Diese Zertifikate laufen nach jeweils 90 Tagen aus, es ist also wichtig, dass Sie hier stets am Ball bleiben.

Viele andere Domain-Provider bieten SSL-Zertifikate in Kostenbereich von ca. 50 € pro für eine Domain und einigen Hundert Euro für mehrere Domains. Der Prozess wird dabei häufig einfacher sein als „Let's Encrypt“, bringt aber eben die entsprechenden Kosten mit sich.

(HubSpot-Kunden: Wenn Sie die Website-Plattform nutzen, können Sie kostenlos ein Standard-SSL-Zertifikat nutzen. Wenn Sie Kunde sind, Sie aber die HubSpot-Website-Plattform nicht nutzen, können Sie das SSL-Zertifikat als Zusatzleistung kaufen. Mehr Informationen erhalten Sie von Ihrem Customer Success Manager.)

Einer der wichtigsten Faktoren ist die Gültigkeitsdauer eines Zertifikats. Die meisten SSL-Zertifikate sind standardmäßig ein oder zwei Jahre lang gültig. Falls Sie nach einer längerfristigen Lösung suchen, sind erweiterte Zertifikate mit einer längeren Gültigkeitsdauer vielleicht eine Option für Sie.

WordPress-Plugins für die SSL-Installation

Falls Sie WordPress nutzen, um Ihre Website zu hosten, müssen Sie unter Umständen ein SSL-Zertifikat erwerben, je nachdem, welchen Domain-Provider Sie nutzen. Im Folgenden finden Sie eine Liste von Plugins, die Ihnen dabei helfen können:

  1. Really Simple SSL. Der Erwerb eines SSL-Zertifikats ist nur der erste Schritt. Dieses Plugin hilft Ihnen dabei, das Zertifikat für sämtliche Ihrer WordPress-Inhalte zu installieren. Für das Plugin werden auch Premium-Versionen angeboten, die Ihnen helfen, SSL auf verschiedenen Seiten zu installieren und zu verifizieren, dass auf Ihrer Website keine Warnungen auftreten. Die Premium-Versionen kosten von 20 bis 145 US-Dollar.
  2. Insecure Content Fixer. Aber auch wenn Sie ein SSL-Zertifikat erworben und installiert haben, sind Sie noch nicht fertig. Falls es auf Ihrer Website aber „http://“-Verweise gibt (etwa zu Bilddateien), wird die Seite weiterhin als nicht gesichert angezeigt. Dieses Plugin kann Ihnen dabei helfen, sämtliche dieser Verweise aufzuspüren und zu korrigieren, sodass eine gesicherte Version Ihrer Website angezeigt werden kann.
  3. WP Force SSL. Nachdem Sie SSL erworben und installiert sowie etwaige Fehler behoben haben, sollten Sie sicherstellen, dass die gesicherte Version Ihrer Website auch tatsächlich für alle Besucher angezeigt wird. Mit diesem Plugin können Sie sämtlichen Traffic auf die HTTPS-Version Ihrer Website lenken. Dafür sollten Sie Ihre Website aber auf jeden Fall zunächst auf nicht gesicherte Inhalte hin überprüfen. Ansonsten wird Besuchern für Ihre Seite höchstwahrscheinlich eine Warnung angezeigt.

(HubSpot-Kunden: Sämtliche Dateien, die im Datei-Manager von HubSpot gehostet sind, werden automatisch mit SSL verschlüsselt und über eine einzige Option können Sie erzwingen, dass sämtlichen Besuchern die gesicherte Version Ihrer Seite angezeigt wird, ohne dass Sie dafür Plugins benötigen. Mehr Informationen erhalten Sie von Ihrem Customer Success Manager.) 

New Call-to-action

Enjoy this article? Don't forget to share.