Die Verschlüsselung mit SSL wird für Webseiten-Betreiber immer wichtiger. Nicht nur für das Ranking bei Google ist HTTPS ein wichtiges Qualitätsmerkmal einer Seite. Seit den Enthüllungen von Edward Snowden ist die Sicherheit der Nutzerdaten eben gerade bei den Usern immer stärker in den Vordergrund gerückt. Speziell für Seiten, auf denen es um viel Geld und um äußerst sensible Kundendaten geht, ist diese Art von Datenschutz äußerst wichtig. Doch ist es nun unbedingtes Muss oder nur eine Empfehlung?
Nicht nur ausschließlich, wenn es um besonders sensible Daten geht, ist die Verschlüsselung mit SSL von Vorteil. Schon 2014 wurde auf dem Google Blog die Einführung eines zusätzlichen SEO Ranking Plus angekündigt. Deshalb haben Websites mit sensiblen und geldintensiven Daten, darunter zählen beispielsweise Anbieter wie NetBet, gleich nach diesem Statement des Internetriesen damit begonnen, auf SSL und damit auf eine sichere Datenübertragung umzustellen. Und nun ziehen eben auch viele Onlineshops nach, denn sie wollen mit dem HTTPS-Kürzel ihren Kunden und deren Daten einen optimalen Schutz gewährleisten.
Was bringt SSL?
Dabei steht Secure Socket Layer für den sicheren Austausch von Daten zwischen zwei Rechnern. Damit will man Dritten den unberechtigten Zugang auf diese sensiblen Dateien erschweren, in dem die Kommunikation verschlüsselt wird. Das bringt sowohl ein Plus bei der Sicherheit als auch einen großen Vertrauensvorschuss bei den Kunden, denn wer besucht schon gerne eine unsichere Seite und wickelt darüber seine Finanztransfers ab? Also haben sich vor allem Betreiber von großen Onlineshops (z.B. Amazon, Zalando usw.) in dieser Hinsicht in die erste Reihe gespielt, da sie ganz besonders auf einen sicheren Transfer und damit auf ein hohes Maß an Vertrauen durch die Kundschaft angewiesen sind. Potentiellen Angreifern werden mit dieser Form der Gefahrenabwehr so wenige Lücken im System wie nur eben möglich geboten. Die Möglichkeit, offene Schwachstellen auszunutzen, sinkt damit erheblich und gleichzeitig kann man damit einen Wettbewerbsvorteil durch ein besseres Google-Ranking erlangen. Die Vorteile der verschlüsselten Datenübertragung überwiegen also und man ist als Seitenbetreiber gut beraten, die SSL-Verschlüsselung auch anzubieten.
Wie kommt man an die Zertifikate und was ist dabei wichtig?
HTTPS steht für Hypertext Transfer Protocol Secure. Dieses Protokoll bzw. Zertifikat muss erworben werden, weil damit die Identität einer Seite und damit ihre Sicherheit bestätigt wird. Wichtig ist, das ein SSL-Zertifikat nur für die exakte Domain gilt (in den meisten Fällen https://www.seitenname.de, nicht jedoch für https://shop.seitenname.de oder https://seitenname.de). Eine Umstellung einer Webseite mit allen Inhalten ist heute problemlos möglich und nötig, denn die Anzeige einer unsicheren Seite im Browser verunsichert die User und führt eventuell dazu, dass sie die Seite schnell wieder verlassen, ohne ein Geschäft oder eine Transaktion durchgeführt zu haben. Wichtig ist auch die Wahl des Anbieters, der ein Zertifikat ausstellt. Seriöse Anbieter wollen immer einen Identitätsnachweis, den man beispielsweise über einen Firmenbuchauszug erbringen kann. Wie so oft, ist nicht immer der billigste Anbieter der Beste. Hierbei sollte man großen Wert auf Qualität legen. Große Zertifikat-Anbieter mit jahrelanger Erfahrung sind beispielsweise Comodo, Symantec oder auch RapidSSL. Wer sich ein Zertifikat dennoch kostenlos und trotzdem bei einem seriösen Anbieter ohne großen Aufwand beschaffen will, für den gibt es seit kurzem den automatisierten Zertifikatanbieter Let’s Encrypt. Aber auch die jeweiligen Hoster bieten von sich aus SSL-Zertifikate zur jeweiligen Domain an. Hier sollte man einfach mal bei seinem Internetdienstleister nachfragen und kann somit sichergehen, ein Zertifikat aus erster Hand zu erhalten.
Die Wahl des richtigen SSL-Zertifikats
Die Zahl der Organisationen, die auf ein SSL-Zertifikat setzen, ist in den vergangenen Jahren stark angestiegen und somit ist auch die Zahl der Anwendungsgebiete für SSL enorm gestiegen. So wünschen sich einige Seitenbetreiber lediglich eine gewisse Vertraulichkeit, also eine einfach Verschlüsselung der Daten. Andere Unternehmen, wie zum Beispiel Online-Händler, wollen ihre Kunden durch SSL-Zertifikate bzw. die grüne Adressleiste oben im Browser zufriedenstellen und sie somit langfristig an den eigenen Webshop binden. Unterschiedliche Aufgaben erfordern unterschiedliche Zertifikate. Hier kann man drei Typen von Zertifikaten unterscheiden. Domainvalidierte SSL-Zertifikate (DV) können als eine Art „Einsteigerzertifikate“ angesehen werden und sind schnell ausgestellt. Bei der Ausstellung wird lediglich geprüft, ob der Bewerber auch der Inhaber der Domain ist, auf die das Zertifikat angewandt werden soll. Es erfolgt aber keine Prüfung, ob es sich um ein rechtmäßiges Unternehmen handelt. Diese Prüfung kommt dann beim zweiten Typ, dem Organisationsvalidierten SSL-Zertifikat (OV), noch hinzu. Hier wird neben der Validierung der Domain auch eine Authentifizierung des Unternehmens durch einen WHOIS-Eintrag überprüft. Die Unternehmensinformationen werden danach in das Zertifikat übernommen. Den höchsten Authentifizierungsstandard in der Branche und somit die höchste Kundenzufriedenheit bietet das Erweitert validierte SSL-Zertifikat (EV). Besucht nun ein Kunde diese Webseite mit dem gültigen Zertifikat, so färbt sich die Adressleiste im Browser grün ein. Neben der Validierung und der Authentifizierung muss auch ein Organisationseintrag in einem öffentlichen Register z.B. Handelsregister vorhanden sein, damit die Zertifikatsprüfung positiv entschieden wird. Wenn es also um höchste Sicherheit und Kundenzufriedenheit geht, führt kein Weg am erweitert validierten Zertifikat vorbei.
Diese Details sollten bei der Umstellung unbedingt beachtet werden
Zunächst einmal sollte man sich für die Umstellung von HTTP auf HTTPS Zeit lassen oder es am Besten gleich einem Profi überlassen. Denn nur so kann auch vermieden werden, dass sich die Umstellung nicht negativ auf die Position der Seite in den Ergebnislisten der Suchmaschinen auswirkt. Diese Details sind besonders wichtig:
- Achten Sie auf die korrekte Weiterleitung der http-Seite auf die https-Seite (301 redirect)
- Google AdWords und Bing Ads sind anzupassen
- Google, Bing, Yandex, Baidu Webmaster Tools müssen mit umgestellt werden
- Webstatistik Tools wie Google Analytics müssen auch umgestellt werden
- Google Merchants anpassen
- Externe und interne Verlinkungen (in den Texten) sollten möglichst vollständig angepasst werden
- XML Sitemap ist zu aktualisieren
Bilder: © Holly Victoria Norval, Flickr