SSL – die sichere Verschlüsselung von Webseiten

SSLNur wenige Internetnutzer machen sich beim Surfen im Internet Gedanken um die Sicherheit ihrer Daten. Dabei wünscht sich keiner von ihnen, dass private Nachrichten an einen Webseitenbetreiber oder die Übertragung der persönlichen Adresse von Dritten abgefangen wird. Damit es nicht zu einem Datenleak kommt, nutzen immer mehr Webseiten SSL.

SSL ist die Abkürzung für Secure Sockets Layer. Heute wird diese Bezeichnung nicht länger verwendet, da sie durch den Nachfolger TLS (Transport Layer Security) abgelöst wurde. Es handelt sich um ein Protokoll zur Verschlüsselung von Daten. SSL kommt zum Beispiel beim Verbindungsaufbau zwischen einem E-Mail-Server und -Client zum Einsatz. Ein weiteres Szenario - in dem es in diesem Artikel geht – ist die Verschlüsselung zwischen dem Webbrowser und einer Webseite.

Die Vorteile einer SSL-Verbindung für Nutzer

SSL, eine Technologie, die von Netscape entwickelte wurde, hat sich noch nicht zum Branchenstandard durchgesetzt. Lediglich Webseiten, die mit vertraulichen Daten umgehen (zum Beispiel Onlineshops), nutzen SSL-Verbindungen.

Die Funktion ist für Nutzer simpel: Ihr Webbrowser erkennt durch das s in https (sichtbar in der Browserleiste), dass ein Zertifikat vom Server benötigt wird, um die Webseite anzuzeigen. Der Server wiederum holt das Zertifikat von der Zertifizierungsstelle, die es ausgestellt hat, und sendet es zum Webbrowser. Dieser prüft die Informationen auf ihre Gültigkeit. Ist es gültig, wird eine Verbindung zum Server hergestellt.

Der Nutzerkomfort beim Surfen wird durch eine verschlüsselte Verbindung selten beeinflusst. Hochwertige SSL-Zertifikate haben eine Browserkompatibilität von über 99 Prozent. Den einzigen Unterschied, den User bemerken, ist das kleine Schloss in ihrem Webbrowser. Dieses signalisiert, dass ihr Browser eine verschlüsselte Verbindung zum Webserver hergestellt hat.

Durch die verschlüsselte Verbindung werden Daten wie die persönliche Adresse, Kreditkartennummern oder geheime Nachrichten übertragen, ohne dass Dritte sie abgreifen, verändern oder manipulieren können.

SSL Zertifikate kostenlos bei SEO NW

Bei SEO NW gibt es kostenlose SSL Zertifikate von Lets Encrypt. Diese werden automatisch erneuert und gehören zum Hosting Paket dazu. Es wird von SEO NW auch ausdrücklich empfohlen ein SSL Zertifikat zu installieren.

SSL als Rankingfaktor bei Google

SSL VerschlüsselungWenn Webseiten bis dato die Implementierung von SSL aus diversen Gründen scheuten, könnte sie bald dazu gezwungen werden. Google begann im August 2014, die verschlüsselte Verbindung zwischen einem Client und einer Webseite (HTTPS) als Rankingfaktor zu verwenden. Es handelt sich nicht um einen Bestandteil eines klassischen Google-Updates, sondern um einen eigenständigen Algorithmus, bestätigte John Mueller von Google Switzerland.

This is on a per-URL basis. So if just a part of your site uses TLS/HTTLS (SSL ist the old version), then just those URLS will be able to profit from this. Simply having a certificate isn't enough.

Aus dem Zitat geht hervor, dass Webseitenbetreiber nur dann von dem kleinen Rankingboost profitieren, wenn die gesamte Webseite SSL verwendet. Google prüft jede einzelne URL, ob eine verschlüsselte Verbindung aufgebaut wird. Bei vielen Webseiten wird zum Beispiel eine SSL-Verbindung nur nach der Anmeldung eines Benutzers für den unsichtbaren Bereich der Webseite (Backend) verwendet. Die Startseite und ihre Unterseiten sind hingegen nicht verschlüsselt. Dies würde einen Nachteil für den Webseitenbetreiber bedeuten.

Der Rankingboost ist inzwischen bei vielen Webseiten nachweisbar. Im Blog von searchmetrics wurde die SEO-Visibility von HTTPS-Verschlüsselungen über ein halbes Jahr nach der Veröffentlichung des Updates getestet. Die gewonnene SEO-Visibility liegt bei bekannten Brands zwischen ein und fünf Prozent.

Kostenloses SSL-Zertifikat über Let's Encrypt

Ein Grund, warum viele Webmaster den Umstieg auf HTTPS verzögern, ist die schwierige Implementierung. Dieses Problem möchte das Projekt Let's Encrypt der Internet Security Research Group (ISRG) lösen.

Das Projekt verfolgt sechs Kernziele:

  1. Kostenlos: Jeder, der eine Domain besitzt, kann über Let's Encrypt ein kostenloses, vertrauenswürdiges Zertifikat erhalten.
  2. Automatisch: Das Zertifikat kann über eine Software, die auf einem Server läuft, generiert, konfiguriert und automatisch erneuert werden.
  3. Sicher: Let's Encrypt dient als Plattform zur Förderung von TLS und sicheren Verbindungen.
  4. Transparenz: Alle Zertifikate sind öffentlich einsehbar.
  5. Offen: Das automatische Veröffentlichungs- und Erneuerungsprotokoll wird veröffentlicht, damit andere Unternehmen ihn nutzen können.
  6. Kooperativ: Let's Encrypt ist eine gemeinsame Anstrengung, von der die gesamte Community profitiert, nicht nur ein Unternehmen.

Let's Encrypt befindet sich derzeit noch in der Betaphase. Die Organisation bietet einen Client an, der installiert werden muss:

$ git clone https://github.com/letsencrypt/letsencrypt
 $ cd letsencrypt
 $ ./letsencrypt-auto --help
 

Let's Encrypt enthält einige Plug-ins, die die Installation von Zertifikaten erleichtert. Für Server mit Apache kann ein Zertifikat folgendermaßen generiert werden:

./letsencrypt-auto --apache
 

Der automatische Installationsprozess ist für andere Plattformen aktuell nicht standardmäßig verfügbar. Sie können auf Wunsch von hier installiert werden. In diesem Fall muss der Befehl certonly verwendet werden:

./letsencrypt-auto certonly --standalone -d domain.de -d www.domain.de
 

Um ein Zertifikat zu erneuern – was alle 90 Tage notwendig ist – nutzt man den Befehl letsencrypt erneut.

Fazit

Für viele Webseitenbetreiber wird die Verschlüsselung der Datenübertragungen auf ihrer Webseite nicht ganz einfach sein. Es gibt durchaus Webmaster, die von Traffic- und Rankingverlusten nach dem Umstieg auf SSL berichten. Dabei handelt es sich in den meisten Fällen aber um eine nicht saubere Umstellung auf HTTPS.

Wer in Zukunft eine neue Webseite beginnen möchte, sollte von Anfang an auf SSL setzen. Die Implementierung von Anfang an ist weitaus simpler, als der spätere Umstieg. Je größer eine Webseite, desto aufwendiger der Prozess zur Umstellung von HTTP auf HTTPS.