Internet Security: Sichere Websites mit SSL und HTTPS

Datenspionage und Datenmissbrauch sind ernsthafte Probleme – sowohl für internationale Behörden als auch für den privaten Endverbraucher. Das Thema Internet Security wird deshalb für Unternehmen immer zentraler. Nicht nur im privaten Bereich wird mehr und mehr online erledigt, auch im unternehmerischen Umfeld werden zunehmend Bereiche digitalisiert. Damit sich Firmeninterna, Kundendaten und andere sensible Informationen sicher übertragen und verwalten lassen, gehören SSL/TLS bzw. HTTPS zu den heutigen Sicherheitsstandards. Doch was genau bedeuten diese Abkürzungen und wie kann ich die Sicherheitsprotokolle für meine Website umsetzen?

SSL-Zertifikate von IONOS!

Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.

Geprüfte Sicherheit
Bis zu 256-bit Verschlüsselung
Einfache Aktivierung

Was ist SSL/TLS?

Der Begriff SSL (kurz für „Secure Socket Layers“) bezeichnet eine Technik, die man zur Verschlüsselung und Authentifizierung des Datenverkehrs im Netz einsetzt. Bei Websites sichert man damit die Übertragung zwischen Browser und Webserver. Vor allem im E-Commerce, wo vertrauliche und sensible Daten übertragen werden, ist der Einsatz eines SSL-Zertifikats bzw. der Weiterentwicklung TLS („Transport Layer Security“) unumgänglich.

Sensible Daten, die häufig durch eine SSL/TLS-Verschlüsselung geschützt werden, sind zum Beispiel:

  • Registrierungsdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer
  • Log-in Daten: E-Mail-Adresse und Passwort
  • Zahlungsinformationen: Kreditkartennummer, Bankverbindungen
  • Eingabeformulare
  • Vom Kunden hochgeladene Dokumente

Mit SSL/TLS stellt man sicher, dass die Kommunikation weder mitgelesen noch manipuliert werden kann und persönliche Daten nicht in die falschen Hände geraten.

Tipp

Apropos Websites - bei IONOS können Sie günstig Ihre Domain registrieren!

Was ist HTTPS?

Mit der Abkürzung HTTPS („Hypertext Transport Protocol Secure“) ist das entsprechende Protokoll zur sicheren Datenübertragung. HTTP bezeichnet die nicht abgesicherte Variante. Bei HTTP-Websites können theoretisch alle übertragenen Daten von Angreifern mitgelesen oder geändert werden – und der User kann nicht sicher sein, ob er seine Kreditkartendaten gerade wirklich an den Shop übermittelt oder an einen Hacker. HTTPS überträgt die Daten hingegen verschlüsselt und stellt die Authentizität der Anfragen sicher. Das funktioniert über das SSL-Zertifikat. Experten empfehlen mittlerweile ausschließlich den Einsatz von TLS – häufig ist auch von SSL die Rede ist, obwohl TLS gemeint ist.

Vorteile bei der Verwendung von SSL/TLS bzw. HTTPS

  • Datenschutz und Sicherheit für Kunden und Partner
  • Risiko von Datendiebstahl und -missbrauch wird vermindert
  • positiver Rankingfaktor für Google
  • Ermöglicht  die Nutzung von HTTP/2 zur Verbesserung der Website-Performance
  • Zertifikat ist für Nutzer leicht erkennbar und weckt Vertrauen

Free vs. Paid SSL/TLS

Wollen Sie Ihre Website auf SSL/TLS umstellen, sind Sie – wie bereits erwähnt – auf ein SSL/TLS-Zertifikat angewiesen. Seit ihrer Einführung im Jahr 2015 steht hierbei mit den Zertifikaten der Non-Profit-Organistation Let’s Encrypt eine kostenfreie, einfach zu installierende Alternative zu den klassischen kostenpflichtigen Zertifikaten zur Verfügung. Bei der Umstellung der Website auf HTTPS gilt es mittlerweile also auch, sich zwischen Free und Paid SSL/TLS zu entscheiden. Der größte Kritikpunkt an den freien Zertifikaten besteht dabei darin, dass diese immer häufiger auch von Kriminellen genutzt werden, um Phishing-Seiten noch vertrauenswürdiger zu gestalten – Nutzern wird also eine sichere Website suggeriert, die dies aber nur auf den ersten Blick ist.

Hinweis

Anfang März 2020 musste Let’s Encrypt mehr als drei Millionen der aktiven SSL/TLS-Zertifikate zurückziehen. Grund für das Abschalten war ein in der von Let’s Encrypt verwendeten Open-Source-Software Boulder begründeter Fehler bei der Überprüfung der CAA-Records (Certification Authority Authorization). Dieser machte es in der Theorie möglich, sich Zertifikate für fremde Domains erstellen zu lassen. Die einzige Lösung für Betroffene: Innerhalb von 24 Stunden musste ein neues Zertifikat generiert werden, um die Verschlüsselung des eigenen Projekts wiederherzustellen.

Prinzipiell unterscheiden sich kostenfreie und kostenpflichtige SSL/TLS-Zertifikate insbesondere in folgenden Punkten:

  • Gültigkeit: Der wohl gravierendste Unterschied zwischen Free und Paid SSL/TLS besteht in der Gültigkeitsdauer der Zertifikate. Während die meisten kostenpflichtigen Zertifikate 12 bis 24 Monate lang gültig sind, laufen freie Zertifikate bereits nach 90 Tagen ab. Setzen Sie auf Free SSL/TLS, müssen Sie Ihr Zertifikat also wesentlich häufiger ersetzen.
  • Verwaltung: Bei einem kostenpflichtigen Anbieter erhalten Sie zusätzlich zu dem Zertifikat das passende Werkzeug, um dieses zu managen. Sofern Sie keine kostenpflichtigen Zusatzleistungen buchen, haben Sie diesen Service bei einem freien SSL/TLS-Zertifikat nicht, weshalb Sie sich eigenständig um die Administration kümmern müssen.
  • Domain-Zugehörigkeit: Ein kostenloses SSL/TLS-Zertifikat lässt sich immer ausschließlich für eine einzelne Domain erzeugen, an die es dann gebunden ist. Wer sich für Paid SSL/TLS entscheidet, profitiert dagegen von domainübergreifenden Zertifikaten, die sich problemlos für mehrere Webprojekte verwenden lassen.
  • Präsentation im Adressfeld: Schützen Sie ein Webprojekt mit einem kostenpflichtigen Zertifikat, können Sie das und ihren eigenen Firmennamen in der Browserzeile anzeigen lassen. Bei Free SSL/TLS wird die Website zwar als HTTPS-Projekt gekennzeichnet, eine Individualisierung ist aber nicht möglich.
Tipp

Wollen Sie Ihre Website auf HTTPS umstellen? Die günstigen SSL/TLS-Pakete von IONOS bieten Rundumschutz durch hochwertige Verschlüsselung für Privatpersonen und Unternehmen!

Website umstellen auf SSL und HTTPS

Neu ins Leben gerufene Seiten können von Beginn an über eine SSL-Verschlüsselung verfügen. Doch auch für bereits bestehende Seiten stellt die Umstellung auf HTTPS keinen allzu großen Aufwand dar. Der erste Schritt: das SSL-Zertifikat für die jeweilige Domain.

SSL-Zertifikate erwerben

Das SSL-Zertifikat ist eine Art Identitätsnachweis einer Website. Die offizielle Vergabestelle (CA), bei der man das Zertifikat erwirbt, hat die Identität vorab geprüft und bürgt für die Richtigkeit der Angaben. SSL-Zertifikate werden auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine auf HTTPS umgestellte Website besucht. Es gibt verschiedene Arten von Zertifikaten, die sich hinsichtlich des Umfangs der Identifikation unterscheiden:

  • Zertifikate mit Domain-Validierung (DV) – kostenfrei und kostenpflichtig

Dies sind die Zertifikate mit der niedrigsten Authentifizierungsstufe. Dabei prüft die CA lediglich, ob der Antragsteller im Besitz der entsprechenden Domain ist, für die er ein Zertifikat erwerben möchte. Unternehmensinformationen werden bei der Überprüfung nicht kontrolliert, weshalb bei der Domain-Validierung ein Restrisiko bestehen bleibt. Durch den geringen Authentifizierungsaufwand wird das Zertifikat allerdings schnell von der CA ausgestellt und es ist zudem das günstigste der drei SSL-Zertifikatstypen – häufig ist es sogar gänzlich kostenfrei (Let’s Encrypt).

Zertifikate mit Domain-Validierung eignen sich für Websites, bei denen Vertrauen und Glaubwürdigkeit eine untergeordnete Rolle spielen und kein Phishing (Verlinkung)- oder Betrugsrisiko besteht.

  • Zertifikate mit Inhaber-Validierung (OV) – kostenpflichtig

Diese Art der Validierung ist umfangreicher und somit sicherer als die Domain-Validierung. Neben der Domain-Inhaberschaft überprüft die CA zusätzlich relevante Unternehmensinformationen wie zum Beispiel den Eintrag im Handelsregister. Die von der CA überprüften Informationen sind für die Website-Besucher einsehbar, was das Vertrauen in die Webseite und das Unternehmen stärkt. Durch den aufwendigeren Überprüfungsprozess ist das SSL-Zertifikat mit Inhaber-Validierung teurer als das Zertifikat mit Domain-Validierung, bietet jedoch einen höheren Grad an Sicherheit.
Dieses Zertifikat eignet sich für Websites, auf denen Transaktionen mit nicht-sensiblen Daten stattfinden.

  • Zertifikate mit Extended Validation (EV) – kostenpflichtig

Dies ist das Zertifikat mit der höchsten und umfangreichsten Authentifizierungsstufe. Im Vergleich zum Zertifikat mit Inhaber-Validierung werden Unternehmensinformationen noch detaillierter auf die strengen Vergabekriterien überprüft. Zudem wird dieses Zertifikat nur von dazu autorisierten CA vergeben. Die ausführliche Überprüfung des Unternehmens gewährt die höchste Sicherheitsstufe und stärkt somit das Vertrauen und die Glaubwürdigkeit in die Webseite. Gleichzeitig geht das Zertifikat mit Extended Validation mit den höchsten Kosten einher.

Dieses Zertifikat eignet sich für Websites, die zum Beispiel Kreditkarteninformationen oder andere sensible Daten erheben.

Welche Zertifikate für welche Websites geeignet sind lässt sich anhand folgender Infografik überprüfen:

Klicken Sie hier, um die Infografik zu den unterschiedlichen SSL-Zertifikaten herunterzuladen.

Installation und Konfiguration

Als nächster Schritt folgt die Installation des SSL-Zertifikats auf dem Server. Viele Hosting-Dienstleister übernehmen dies für ihre Kunden. Über den Kundenbereich kann man das entsprechende Zertifikat meist auch direkt beantragen, der Provider pflegt es dann ein. Als Kunde von IONOS können Sie das bestehende Webhosting-Paket beispielsweise problemlos über das Control Center um das SSL/TLS-Zertifikat erweitern. Bei vielen Paketen ist das Zertifikat auch inklusive. Die Installation variiert je nach Anbieter. In der Regel stellen jedoch Provider oder Zertifikatsanbieter die entsprechenden Installationshinweise und -anleitungen zur Verfügung. Bei der technisch einwandfreien Implementierung kommt es vor allem auf folgende Punkte an:

  • korrekte Zertifikate
  • richtige Verschlüsselung
  • passende Server-Konfiguration

Fehler und Probleme bei der Umstellung

Bei der Umstellung kann es zu einigen Fehlern kommen, die man vermeiden sollte, um nicht mit Ranking-Einbußen oder der Nichterreichbarkeit der eignen Website kämpfen zu müssen.

Betreiber, die Ihre Website auf SSL/TLS umstellen, sollten:

  • Abgelaufene Zertifikate vermeiden: Ein ungültiges bzw. abgelaufenes SSL-Zertifikat führt zu einer unschönen Warnmeldung im Browserfenster – das Ziel, dem Nutzer Vertrauen und Sicherheit zu übermitteln, wird somit komplett verfehlt.
     
  • Korrekte Weiterleitung einrichten: Um sogenannten Duplicate Content zu vermeiden, muss der Webmaster die korrekte Weiterleitung über einen 301-Redirect einrichten. So vermeidet man, dass die Suchmaschine die HTTP-Seite und die HTTPS-Seite als zwei verschiedene Internetseiten wertet und von diesen unterschiedliche Inhalte erwartet.
     
  • Werbekonten anpassen (Google AdWords, Bing Ads usw.): Bettet man in eine HTTPS-Website unverschlüsselte Inhalte (Bilder, Skripte usw.) ein, wird beim Abrufen der Seite ein unschöner Warnhinweis angezeigt, und der Nutzer ist verunsichert. Vor allem bei der Anzeigenschaltung ist das problematisch. Werbung wird noch zum Großteil unverschlüsselt ausgeliefert, die entsprechenden Werbekonten müssen deshalb unbedingt angepasst werden.
  • Webmaster-Tools & Google Analytics umstellen: Theoretisch handelt es sich bei der HTTP- und der HTTPS-Variante um zwei unterschiedliche Websites. Die HTTPS-Variante muss man nach der Umstellung auch im Webmaster-Tool anmelden.
     
  • XML-Sitemap aktualisieren: Auch die Sitemap muss aktualisiert und im Webmaster Tool hinterlegt werden.
  • Externe und interne Verlinkung prüfen: Auch wenn 301-Redirects fehlerhafte Links verhindern, sollten nach der Umstellung auf das HTTPS-Protokoll alle internen Verlinkungen geändert werden. Je nachdem, wie die Inhalte im CMS gepflegt wurden, kann dies auch manuelle Maßnahmen erfordern. Bei den externen Links sollte man versuchen, die wichtigsten Links (z. B. von Autoritätsseiten) auf die HTTPS-Adresse ändern zu lassen.

Mehr als nur eine Domain!

Hier finden Sie Ihre perfekte Domain - z.B. .de Domain + persönlicher Berater

E-Mail-Postfach
24/7 Support
Wildcard SSL
Kostenloser Checklisten-Download

Nachfolgend können sie eine kurze oder auch eine auch eine ausführliche Checkliste herunterladen, die die wichtigsten Aspekte bei der Umstellung einer Website auf https auflistet und erklärt.

PDF-Download

HTTPS-Umstellung Checkliste (kurz)

PDF-Download

HTTPS-Umstellung Checkliste (ausführlich)

Wie lässt sich eine Seite auf ein gültiges Zertifikat überprüfen?

Wird eine Website aufgerufen, die mit einem gültigen Zertifikat verschlüsselt ist, lässt sich dies an der URL erkennen:

https://www.beispiel.de

Das „s“ im HTTP-Protokoll der URL steht für „secure“ und zeigt an, dass diese Seite mit einem SSL/TLS-Zertifikat verschlüsselt ist. Je nach Art des Zertifikates und Browser gibt es noch weitere visuelle Hinweise auf eine sichere Verschlüsselung:

Mit dem kostenlosen SSL-Check von IONOS können Sie mit nur einem Klick überprüfen, ob Ihr aktuelles Zertifikat korrekt installiert ist und Ihre Website gegen Angriffe absichert.

SSL - Check

Erhöhter Trust durch sichere Unternehmenswebsites

Neben den oben genannten Vorteilen einer SSL/TLS-Verschlüsselung ist auch das damit verbundene erhöhte Nutzervertrauen in die Unternehmenswebseite und somit das Unternehmen selbst ein wesentliches Argument für eine sichere Website.

Wie wichtig Web Trust ist und welche Bedeutung die steigende Erwartung der Nutzer beim Thema Sicherheit im Web hat, erklärt Jeff Barto, Trust Strategist bei Symantec.

Zur Anzeige dieses Videos sind Cookies von Drittanbietern erforderlich. Ihre Cookie-Einstellungen können Sie hier aufrufen und ändern.

Interview Transkript Teil 1

Vertrauen war noch nie so wichtig im Internet wie heute – sowohl im B2B- als auch im B2C-Kontext. In der SSL/TLS-Branche gilt die Annahme, dass sich alles in erster Linie um Verschlüsselung dreht. Allerdings vergisst man dabei oft die zweite Funktion von SSL, denn neben Verschlüsselung geht es für den Nutzer vor allem um eine Bestätigung und Absicherung.

Das äußert sich konkret in Fragen wie: Bin ich wirklich auf der Website, die ich besuchen wollte? Ist das die Seite des Unternehmens, mit dem ich ein Geschäft abschließen will? Und bin ich wirklich sicher hier? Diese Fragen stellen sich den Konsumenten und allgemein jedem von uns Tag für Tag. Denn wenn wir am Ende des Tages mit unserer Arbeit fertig sind und in den Feierabend gehen, sind wir natürlich ebenso Konsumenten. Denken Sie nur daran, wie viele verschiedene Websites Sie täglich besuchen, wenn Sie sich um Online-Banking oder E-Mails kümmern oder eine Social-Media-Seite nutzen.

Man erwartet dort gewisse Indikatoren, an denen man erkennen kann, ob eine Seite vertrauenswürdig ist. Das ist auch keine große Überraschung angesichts des Umfelds, in dem wir uns bewegen. Es kommt uns so vor, als gäbe es jeden einzelnen Tag einen Vertrauensbruch oder eine neue Gefährdung beim Thema Datenschutz. Es ist fast so, als würde sich jede Organisation da draußen nicht fragen „Werde ich der nächste sein?“, sondern vielmehr „Wann werde ich der nächste sein?“.

Das ist für uns als Organisation eine schwierige Ausgangslage, aber genauso für uns als Konsumenten und allgemein für jeden, der das Internet nutzt. Wir sind in einer Situation, in der wir sehr vorsichtig geworden sind, welche Seiten wir im Netz besuchen. Deshalb sind wir ständig auf der Suche nach Anzeichen für ein vertrauenswürdiges, sicheres und privates Umfeld.

Dafür gibt es verschiedene Empfehlungen, wie Unternehmen ihren Kunden Vertrauen übermitteln und ihnen zeigen, dass sie auf der richtigen Website sind, es sich tatsächlich um dieses Unternehmen handelt und alles rechtmäßig ist. Das übersteigt die Idee der Verschlüsselung, bei der es nur darum geht, die Information privat zu halten.


In diesem Kontext gibt er Unternehmen drei konkrete Handlungsempfehlungen, um die steigende Nutzererwartung in puncto Website Sicherheit zu erfüllen.

Zur Anzeige dieses Videos sind Cookies von Drittanbietern erforderlich. Ihre Cookie-Einstellungen können Sie hier aufrufen und ändern.

Interview Transkript Teil 2

Ich würde gerne drei Empfehlungen aussprechen.

Als erstes: Kunden sind gewohnt, Sicherheits-Siegel und -Zertifikate zu sehen. Diese kleinen Siegel, die man in der Ecke oder im Footer einer Website oder neben dem Bestell-Button sieht, signalisieren dem Kunden: Diese Seite ist validiert, enthält keine Viren und setzt auf aktuelle Sicherheitsstandards beim Datenschutz.

Das zweite, was ich jedem empfehlen würde, ist der Einsatz des Extended-Validation-SSL-Zertifikats (EV SSL).

Neben den Sicherheits-Siegeln und dem EV-SSL-Zertifikat gibt es einen dritten Faktor, den wir „Always On SSL“ nennen. Dies meint die Verschlüsselung der gesamten Website. Wie ich am Anfang sagte, gibt es über die Verschlüsselung hinaus noch mehr, was zu Vertrauen und Sicherheit beitragen kann: die Validierung, die über die Sicherheits-Siegel und EV SSL funktioniert.

  • Trustsiegel in die Website integrieren
    Trustsiegel sind mittlerweile ein gängiger Indikator für die Vertrauenswürdigkeit einer Website. Die unterschiedlichen Siegel garantieren zum Beispiel Datensicherheit, sicheren Zahlungsverkehr oder bestätigen, dass die Website frei von Malware ist.

  • SSL-Zertifikat mit einer hohen Sicherheitsstufe einbinden
    Zertifikate mit einer hohen Sicherheitsstufe bieten direkt in der Browserbar einen visuellen Hinweis auf die sichere Verschlüsselung und erhöhen so das Vertrauen der Nutzer.

  • „Always on SSL“
    Das SSL-Zertifikat sollte auf allen Unterseiten einer Domain, nicht nur auf der Login-Seite oder dem Warenkorb, integriert sein. So wird dem Nutzer von Start bis Ende des Besuches optimaler Schutz geboten.

HTTPS im SEO-Kontext

In den letzten Jahren wurde häufig diskutiert, ob die Umstellung einer Homepage auf HTTPS einen positiven Einfluss auf die Suchmaschinenplatzierung hat. 2014 hatte Google bekanntgegeben, die sichere Verbindung über HTTPS als positives Signal beim Ranking zu werten. Google will nach eigenen Aussagen das Web sicherer machen und Website-Betreiber dazu bringen, Ihre Seiten ausnahmslos zu verschlüsseln. HTTPS soll dadurch auch als Standard für alle Websites etabliert werden.

Unabhängig von den Plänen des Suchmaschinenriesen suggerieren HTTPS-Seiten aber auch jetzt schon Qualität und Seriosität. Internetnutzer werden immer affiner für das Thema Datensicherheit und auch Laien können leicht erkennen, ob eine Seite als sicher oder unsicher gekennzeichnet ist.

Anhand folgender Checkliste gelingt Ihnen die erfolgreiche HTTPS Migration Ihrer Website: HTTPs Migration How To (Vortrag SMX München 2017)