Wie gefällt Ihnen der Artikel?
43
Wie gefällt Ihnen der Artikel?
43

Internet Security: Sichere Websites mit SSL und HTTPS

Datenspionage und -missbrauch sind ein ernsthaftes Problem – sowohl für internationale Behörden als auch für den privaten Endverbraucher. Das Thema Internet Security wird deshalb für Unternehmen immer zentraler. Nicht nur im privaten Bereich wird mehr und mehr online erledigt, auch im unternehmerischen Umfeld werden zunehmend Bereiche digitalisiert. Damit Firmeninterna, Kundendaten und andere sensible Informationen sicher übertragen und verwaltet werden können, gehören SSL und HTTPS zu den heutigen Sicherheitsstandards. Doch was genau bedeuten diese Abkürzungen und wie kann ich die Sicherheitsprotokolle für meine Website umsetzen?

Was ist SSL?

Der Begriff SSL (kurz für „Secure Socket Layers“) bezeichnet eine Technik, die man zur Verschlüsselung und Authentifizierung des Datenverkehrs im Netz einsetzt. Bei Websites sichert man damit die Übertragung zwischen Browser und Webserver. Vor allem im E-Commerce, wo vertrauliche und sensible Daten übertragen werden, ist der Einsatz eines SSL-Zertifikats bzw. der Weiterentwicklung TLS („Transport Layer Security“) unumgänglich.

Sensible Daten, die durch eine SSL- Verschlüsselung geschützt werden, sind zum Beispiel:

  • Registrierungsdaten: Name, Adresse, E-Mail Adresse, Telefonnummer
  • Log-in Daten: E-Mail Adresse und Passwort
  • Zahlungsinformationen: Kreditkartennummer, Bankverbindungen
  • Eingabeformulare
  • Vom Kunden hochgeladene Dokumente

Mit SSL stellt man sicher, dass die Kommunikation weder mitgelesen noch manipuliert werden kann und persönliche Daten nicht in die falschen Hände geraten.

Was ist HTTPS?

HTTPS („Hypertext Transport Protocol Secure“) ist das entsprechende Protokoll zur sicheren Datenübertragung. HTTP bezeichnet die nicht abgesicherte Variante. Bei HTTP-Websites können theoretisch alle übertragenen Daten von Angreifern mitgelesen oder geändert werden – und der User kann nicht sicher sein, ob er seine Kreditkartendaten gerade wirklich an den Shop übermittelt oder an einen Hacker. HTTPS bzw. SSL verschlüsselt die HTTP-Daten und stellt die Authentizität der Anfragen sicher. Das funktioniert über das SSL-Zertifikat bzw. über das weiterentwickelte TLS-Zertifikat. Experten empfehlen mittlerweile ausschließlich den Einsatz von TLS – wenn von SSL die Rede ist, meinen die meisten in Wirklichkeit auch TLS.

Vorteile bei der Verwendung von SSL/TLS und HTTPS:

  • Datenschutz und Sicherheit für Kunden und Partner
  • Risiko von Datendiebstahl und -missbrauch wird vermindert
  • positiver Rankingfaktor für Google
  • Ermöglicht  die Nutzung von HTTP/2 zur Verbesserung der Website-Performance
  • Zertifikat ist für Nutzer leicht erkennbar und weckt Vertrauen
Tipp

Das grüne SSL-Schloss neben der URL, steht für eine sichere Verbindung Ihrer Webseite und steigert so das Vertrauen Ihrer Besucher.

Website umstellen auf SSL und HTTPS

Neu ins Leben gerufene Seiten können von Beginn an über eine SSL-Verschlüsselung verfügen. Doch auch für bereits bestehende Seiten stellt die Umstellung auf HTTPS keinen allzu großen Aufwand dar. Der erste Schritt: das SSL-Zertifikat für die jeweilige Domain.

SSL-Zertifikate erwerben

Das SSL-Zertifikat ist eine Art Identitätsnachweis einer Website. Die offizielle Vergabestelle (CA), bei der man das Zertifikat erwirbt, hat die Identität vorab geprüft und bürgt für die Richtigkeit der Angaben. SSL-Zertifikate werden auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine Website mit HTTPS besucht. Es gibt verschiedene Arten von Zertifikaten, die sich vom Umfang der Identifikation her unterscheiden:

  • Zertifikate mit Domain-Validierung (DV):

Dies sind die Zertifikate mit der niedrigsten Authentifizierungsstufe. Dabei prüft die CA lediglich, ob der Antragsteller im Besitz der entsprechenden Domain ist, für die er ein Zertifikat erwerben möchte. Unternehmensinformationen werden bei der Überprüfung nicht kontrolliert, weshalb bei der Domain-Validierung ein Restrisiko bestehen bleibt. Durch den geringen Authentifizierungsaufwand wird das Zertifikat allerdings schnell von der CA ausgestellt und ist zudem das günstigste der drei SSL-Zertifikatstypen.

Zertifikate mit Domain-Validierung eignen sich für Websites, bei denen Vertrauen und Glaubwürdigkeit eine untergeordnete Rolle spielen und kein Phishing- oder Betrugsrisiko besteht.

  • Zertifikate mit Inhaber-Validierung (OV):

Diese Art der Validierung ist umfangreicher und somit sicherer als die Domain-Validierung. Neben der Domaininhaberschaft überprüft die CA zusätzlich relevante Unternehmensinformationen wie zum Beispiel den Eintrag im Handelsregister. Die von der CA überprüften Informationen sind für die Websitebesucher einsehbar, was das Vertrauen in die Webseite und das Unternehmen stärkt. Durch den aufwendigeren Überprüfungsprozess ist das SSL-Zertifikat mit Inhaber-Validierung teurer als das Zertifikat mit Domain-Validierung, bietet jedoch einen höheren Grad an Sicherheit.

Dieses Zertifikat eignet sich für Websites, auf denen Transaktionen mit nicht-sensiblen Daten stattfinden.

  • Zertifikate mit Extended Validation (EV):

Dies ist das Zertifikat mit der höchsten und umfangreichsten Authentifizierungsstufe. Im Gegensatz zum Zertifikat mit Inhaber-Validierung werden Unternehmensinformationen noch detaillierter auf die strengen Vergabekriterien überprüft. Zudem wird dieses Zertifikat nur von dazu autorisierten CA vergeben. Die ausführliche Überprüfung des Unternehmens gewährt die höchste Sicherheitsstufe und stärkt somit das Vertrauen und die Glaubwürdigkeit in die Webseite.  Gleichzeitig geht das Zertifikat mit Extended Validation mit den höchsten Kosten einher.

Dieses Zertifikat eignet sich für Websites, die zum Beispiel Kreditkarteninformationen oder andere sensible Daten erheben.

Welches Zertifikat für Ihre Website geeignet ist können Sie in folgender Infografik überprüfen:

Klicken Sie hier, um die Infografik zu den unterschiedlichen SSL-Zertifikaten herunterzuladen.

Tipp

Sie möchten maximale Sicherheit für Ihre Website? Erfahren Sie hier mehr zu den SSL-Zertifikaten von 1&1 und wie diese das Vertrauen in Ihre Seite erhöhen.

Installation und Konfiguration

Als nächster Schritt folgt die Installation des SSL-Zertifikats auf dem Server. Viele Hosting-Dienstleister übernehmen dies. Über den Kundenbereich kann man das entsprechende Zertifikat meist auch direkt beantragen, der Provider pflegt es dann ein. Als Kunde von 1&1 können Sie über das Control Center das bestehende Webhosting-Paket problemlos um das SSL-Zertifikat erweitern. Bei vielen Paketen ist das Zertifikat auch inklusive. Die Installation variiert je nach Anbieter. In der Regel stellen jedoch Provider oder Zertifikatsanbieter die entsprechenden Installationshinweise und -anleitungen zur Verfügung. Bei der technisch einwandfreien Implementierung kommt es vor allem auf folgende Punkte an:

  • korrekte Zertifikate
  • richtige Verschlüsselung
  • passende Server-Konfiguration

Fehler und Probleme bei der Umstellung

Bei der Umstellung kann es zu einigen Fehlern kommen, die man vermeiden sollte, um nicht mit Ranking-Einbußen oder nicht erreichbaren Seiten kämpfen zu müssen.

Website-Betreiber, die Ihre Seite auf SSL und HTTPS umstellen, sollten:

  • Abgelaufene Zertifikate vermeiden: Ein ungültiges bzw. abgelaufenes SSL-Zertifikat führt zu einer unschönen Warnmeldung im Browserfenster – das Ziel, dem Nutzer Vertrauen und Sicherheit zu übermitteln, wird somit komplett verfehlt.

  • Korrekte Weiterleitung einrichten: Um sogenannten Duplicate Content zu vermeiden, muss der Webmaster die korrekte Weiterleitung über einen 301-Redirect einrichten. So vermeidet man, dass die Suchmaschine die HTTP-Seite und die HTTPS-Seite als zwei verschiedene Internetseiten wertet und von diesen unterschiedliche Inhalte erwartet.

  • Werbekonten anpassen (Google AdWords, Bing Ads usw.): Bettet man in eine HTTPS-Website unverschlüsselte Inhalte (Bilder, Skripte usw.) ein, wird beim Abrufen der Seite ein unschöner Warnhinweis angezeigt, und der Nutzer ist verunsichert. Vor allem bei der Anzeigenschaltung ist das problematisch. Werbung wird noch zum Großteil unverschlüsselt ausgeliefert, die entsprechenden Werbekonten müssen deshalb unbedingt angepasst werden.
  • Webmaster-Tools & Google Analytics umstellen: Theoretisch handelt es sich bei der HTTP- und der HTTPS-Variante um zwei unterschiedliche Websites. Die HTTPS-Variante muss man nach der Umstellung auch im Webmaster-Tool anmelden.

  • XML-Sitemap aktualisieren: Auch die Sitemap muss aktualisiert und im Webmaster Tool hinterlegt werden.
  • Externe und interne Verlinkung prüfen: Auch wenn 301-Redirects fehlerhafte Links verhindern, sollten nach der Umstellung auf das HTTPS-Protokoll alle internen Verlinkungen geändert werden. Je nachdem, wie die Inhalte im CMS gepflegt wurden, kann dies auch manuelle Maßnahmen erfordern. Bei den externen Links sollte man versuchen, die wichtigsten Links (z. B. von Autoritätsseiten) auf die HTTPS-Adresse ändern zu lassen.

Kostenloser Checklisten-Download


Laden Sie sich nachfolgend eine kurze, als auch eine ausführliche Checkliste herunter, die die wichtigsten Aspekte bei der Umstellung einer Website auf https auflistet und erklärt.

HTTPS-Umstellung Checkliste (kurz)

HTTPS-Umstellung Checkliste (ausführlich)

Wie lässt sich eine Seite auf ein gültiges Zertifikat überprüfen?

Wird eine Website aufgerufen, die mit einem gültigen SSL Zertifikat verschlüsselt ist, lässt sich dies an der URL erkennen:

https://www.beispiel.de

Das „s“ im HTTP-Protokoll der URL  steht für „secure“ und zeigt an, dass diese Seite mit einem SSL-Zertifikat verschlüsselt ist.  Je nach Art des Zertifikates gibt es noch weitere visuelle Hinweise auf eine sichere Verschlüsselung:

Mit dem kostenlosen SSL-Check von 1&1 können Sie mit nur einem Klick überprüfen, ob Ihr aktuelles SSL-Zertifikat korrekt installiert ist und Ihre Website gegen Angriffe absichert.

SSL - Check

Erhöhter Web Trust durch sichere Unternehmenswebsites

Neben den oben genannten Vorteilen einer SSL-Verschlüsselung ist das erhöhte Nutzervertrauen in die Unternehmenswebseite und somit das Unternehmen selbst ein wesentliches Argument für eine sichere Website.

Wie wichtig Web Trust ist und welche Bedeutung die steigende Erwartung der Nutzer beim Thema Sicherheit im Web hat, erklärt Jeff Barto, Trust Strategist bei Symantec.


Interview Transkript Teil 1 []

Vertrauen war noch nie so wichtig im Internet wie heute – sowohl im B2B- als auch im B2C-Kontext. In der SSL/TLS-Branche gilt die Annahme, dass sich alles in erster Linie um Verschlüsselung dreht. Allerdings vergisst man dabei oft die zweite Funktion von SSL, denn neben Verschlüsselung geht es für den Nutzer vor allem um eine Bestätigung und Absicherung.

Das äußert sich konkret in Fragen wie: Bin ich wirklich auf der Website, die ich besuchen wollte? Ist das die Seite des Unternehmens, mit dem ich ein Geschäft abschließen will? Und bin ich wirklich sicher hier? Diese Fragen stellen sich den Konsumenten und allgemein jedem von uns Tag für Tag. Denn wenn wir am Ende des Tages mit unserer Arbeit fertig sind und in den Feierabend gehen, sind wir natürlich ebenso Konsumenten. Denken Sie nur daran, wie viele verschiedene Websites Sie täglich besuchen, wenn Sie sich um Online-Banking oder E-Mails kümmern oder eine Social-Media-Seite nutzen.

Man erwartet dort gewisse Indikatoren, an denen man erkennen kann, ob eine Seite vertrauenswürdig ist. Das ist auch keine große Überraschung angesichts des Umfelds, in dem wir uns bewegen. Es kommt uns so vor, als gäbe es jeden einzelnen Tag einen Vertrauensbruch oder eine neue Gefährdung beim Thema Datenschutz. Es ist fast so, als würde sich jede Organisation da draußen nicht fragen „Werde ich der nächste sein?“, sondern vielmehr „Wann werde ich der nächste sein?“.

Das ist für uns als Organisation eine schwierige Ausgangslage, aber genauso für uns als Konsumenten und allgemein für jeden, der das Internet nutzt. Wir sind in einer Situation, in der wir sehr vorsichtig geworden sind, welche Seiten wir im Netz besuchen. Deshalb sind wir ständig auf der Suche nach Anzeichen für ein vertrauenswürdiges, sicheres und privates Umfeld.

Dafür gibt es verschiedene Empfehlungen, wie Unternehmen ihren Kunden Vertrauen übermitteln und ihnen zeigen, dass sie auf der richtigen Website sind, es sich tatsächlich um dieses Unternehmen handelt und alles rechtmäßig ist. Das übersteigt die Idee der Verschlüsselung, bei der es nur darum geht, die Information privat zu halten.


In diesem Kontext gibt er Unternehmen drei konkrete Handlungsempfehlungen, um die steigende Nutzererwartung in puncto Website Sicherheit zu erfüllen.


Interview Transkript Teil 2 []

Ich würde gerne drei Empfehlungen aussprechen.

Als erstes: Kunden sind gewohnt, Sicherheits-Siegel und -Zertifikate zu sehen. Diese kleinen Siegel, die man in der Ecke oder im Footer einer Website oder neben dem Bestell-Button sieht, signalisieren dem Kunden: Diese Seite ist validiert, enthält keine Viren und setzt auf aktuelle Sicherheitsstandards beim Datenschutz.

Das zweite, was ich jedem empfehlen würde, ist der Einsatz des Extended-Validation-SSL-Zertifikats (EV SSL).

Neben den Sicherheits-Siegeln und dem EV-SSL-Zertifikat gibt es einen dritten Faktor, den wir „Always On SSL“ nennen. Dies meint die Verschlüsselung der gesamten Website. Wie ich am Anfang sagte, gibt es über die Verschlüsselung hinaus noch mehr, was zu Vertrauen und Sicherheit beitragen kann: die Validierung, die über die Sicherheits-Siegel und EV SSL funktioniert.


  • Trustsiegel in die Website integrieren
    Trustsiegel sind mittlerweile ein gängiger Indikator für die Vertrauenswürdigkeit einer Website. Die unterschiedlichen Siegel garantieren zum Beispiel Datensicherheit, sicheren Zahlungsverkehr oder bestätigen, dass die Website frei von Malware ist.

  • SSL-Zertifikat mit einer hohen Sicherheitsstufe einbinden
    Zertifikate mit einer hohen Sicherheitsstufe bieten direkt in der Browserbar einen visuellen Hinweis auf die sichere Verschlüsselung und erhöhen so das Vertrauen der Nutzer.

  • „Always on SSL“
    Das SSL-Zertifikat sollte auf allen Unterseiten einer Domain, nicht nur auf der Login-Seite oder dem Warenkorb, integriert sein. So wird dem Nutzer von Start bis Ende des Besuches optimaler Schutz geboten.

HTTPS im SEO-Kontext

In den letzten Jahren wurde häufig diskutiert, ob die Umstellung einer Homepage auf HTTPS einen positiven Einfluss auf die Suchmaschinenplatzierung hat. 2014 hatte Google bekanntgegeben, die sichere Verbindung über HTTPS als positives Signal beim Ranking zu werten. Google will nach eigenen Aussagen das Web sicherer machen und Website-Betreiber dazu bringen, Ihre Seiten ausnahmslos zu verschlüsseln. Laut offiziellen Aussagen werden Seiten ohne Verschlüsselung im Chrome-Browser künftig mit einem roten „X“ versehen. Bisher wurden HTTP-Seiten im Browser-Feld standardmäßig weiß dargestellt, HTTPS-Seiten hingegen mit einem grünen Vorhängeschloss gekennzeichnet. HTTPS soll damit für alle Websites standardisiert werden.

Doch ganz unabhängig von den Plänen des Suchmaschinenriesen suggerieren HTTPS-Seiten jetzt schon Qualität und Seriosität. Internetnutzer werden immer affiner für das Thema Datensicherheit und auch Laien können leicht erkennen, ob eine Seite als sicher oder unsicher gekennzeichnet ist.

Anhand folgender Checkliste gelingt Ihnen die erfolgreiche HTTPS Migration Ihrer Website:

Sicherheit