Ist Ihnen schon einmal aufgefallen, dass einige URLs mit „http://“ beginnen, während andere mit „https://“ starten? Vielleicht ist Ihnen das zusätzliche „s“ beim Surfen auf Websites aufgefallen, die die Angabe sensibler Informationen erfordern, z.B. wenn Sie Rechnungen online bezahlen.
Aber woher kommt dieses zusätzliche „s“ und was bedeutet es?
Einfach ausgedrückt, bedeutet das zusätzliche „s“, dass Ihre Verbindung zu dieser Website sicher ist und dass alle von Ihnen eingegebenen Daten sicher mit dieser Website geteilt werden. Die Technologie, die dieses kleine „s“ ermöglicht, heißt SSL, was für Secure Sockets Layer steht.
In diesem Beitrag werde ich aufschlüsseln, was SSL ist, eine aktualisierte Version von Google Chrome zeigen, die bald Websites kennzeichnen wird, die nicht sicher sind, und wie Sie SSL bewerten und erhalten können.
Was ist SSL?
Beginnen wir zunächst mit einer Definition von SSL.com:
„SSL ist die Standard-Sicherheitstechnologie zur Herstellung einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle zwischen Webserver und Browser übertragenen Daten privat bleiben.“
Wenn Sie auf einer Website-Seite mit einem Formular landen, dieses ausfüllen anschließend auf „Senden“ klicken, können die von Ihnen gerade eingegebenen Informationen von einem Hacker auf einer unsicheren Website abgefangen werden.
Diese Informationen können alles Mögliche sein, von Details über eine Banktransaktion bis hin zu hochrangigen Informationen, die Sie eingeben, um sich für ein Angebot zu registrieren. Im Hacker-Jargon wird dieses „Abfangen“ oft als „Man-in-the-Middle-Angriff“ bezeichnet. Der eigentliche Angriff kann auf verschiedene Arten erfolgen, aber eine der häufigsten ist diese: Ein Hacker platziert ein kleines, unentdecktes Abhörprogramm auf dem Server, der eine Website hostet. Dieses Programm wartet im Hintergrund, bis ein Besucher beginnt, Informationen auf der Website einzugeben, und es wird aktiviert, um die Informationen zu erfassen und dann an den Hacker zurückzuschicken. Beängstigendes Vorgehen, das nicht mehr nur aus Sci-Fi-Filmen besteht.
Aber wenn Sie eine Website besuchen, die mit SSL verschlüsselt ist, wird Ihr Browser eine Verbindung mit dem Webserver herstellen, das SSL-Zertifikat ansehen und dann Ihren Browser und den Server zusammenbringen. Diese verbindliche Verbindung ist sicher, so dass niemand außer Ihnen und der Website, auf der Sie die Informationen eingeben, sehen oder dararuf zugreifen kann.
Diese Verbindung erfolgt sofort, und viele meinen, dass sie jetzt schneller ist als eine Verbindung zu einer unsicheren Website. Sie müssen lediglich eine Website mit SSL besuchen, und voila: Ihre Verbindung wird automatisch gesichert.
Alles, was Sie über Chrome 62 und SSL wissen müssen
Google bereitet sich auf die Veröffentlichung einer neuen Version seines beliebten Chrome-Browsers vor, Version 62, die darauf hinweist, dass eine Seite nicht sicher ist, wenn sie ein Formular enthält, aber nicht SSL-fähig ist. Chrome hat einen Marktanteil von ca. 47% am Browser, so dass nach der Veröffentlichung dieses Updates eine beträchtliche Anzahl von Websites fast sofort betroffen sein wird.
Laut einer kürzlich durchgeführten HubSpot-Forschung werden bis zu 85% der Menschen nicht weiter surfen, wenn eine Seite nicht sicher ist. Im Januar 2017 hat Google ein ähnliches Update eingeführt, das nur für Websites gilt, die sensible Informationen wie Passwörter oder Kreditkartennummern sammeln. Vor diesem Hintergrund sind die Nutzer nun mit dieser „nicht sicheren“ Warnung vertraut und verlassen laut der folgenden Untersuchung eine Website häufig deswegen.
Wenn Sie den Inkognito-Modus in Ihrem Browser verwenden, zeigt Chrome immer an, dass eine Seite nicht sicher ist, wenn kein gültiges SSL-Zertifikat installiert ist. Wenn Sie Chrome außerhalb des Inkognito-Modus verwenden, wird diese „nicht sichere“ Warnung nur angezeigt, wenn Sie mit der Eingabe von Informationen in ein Formular beginnen.
Das bedeutet, dass Sie überall dort, wo Sie Inhalte hosten, die ein Formular enthalten, selbst wenn es nur um die Angabe einer E-Mail-Adresse geht, SSL aktivieren sollten. Denken Sie daran, dass es bei Inhalten, die auf verschiedenen Plattformen gehostet werden, wichtig ist, mit jeder dieser Plattformen zu sprechen und sicherzustellen, dass SSL eingerichtet wird, bevor dieses Google Chrome-Update live geschaltet wird. Wenn die Kosten für Sie nicht unerschwinglich sind, ist es tatsächlich am besten, SSL auf Ihrer gesamten Website zu aktivieren, unabhängig davon, ob ein Formular auf der Seite vorhanden ist oder nicht, da dies SEO-Vorteile haben kann, die wir im nächsten Abschnitt behandeln werden.
Ist SSL gut für SEO?
Ja. Während der Hauptzweck von SSL die Sicherung von Informationen zwischen dem Besucher und Ihrer Website ist, gibt es auch Vorteile für SEO. Laut den Google Webmaster-Trend-Analysten Zineb Ait Bahajji ist SSL jetzt Teil des Google-Such-Ranking-Algorithmus:
In den letzten Monaten haben wir Tests durchgeführt, bei denen wir berücksichtigt haben, ob Websites sichere, verschlüsselte Verbindungen als Signal in unseren Such-Ranking-Algorithmen verwenden. Wir haben positive Ergebnisse gesehen, also beginnen wir damit, HTTPS als Ranking-Signal zu verwenden“.
Darüber hinaus hat Google öffentlich erklärt, dass zwei Websites, die ansonsten in den Suchergebnissen gleich sind, durch eine SSL-Aktivierung einen leichten Rank-Schub erhalten können, der die andere übertrifft. Daher ist es ein klarer SEO-Vorteil, wenn die Aktivierung von SSL auf Ihrer Website und für Ihren gesamten Content aktiviert ist.
Wie kann ich feststellen, ob meine Website SSL hat?
Wenn Sie eine Website mit SSL besuchen, gibt es ein paar deutliche Unterschiede, die im Browser angezeigt werden.
Überprüfen Sie Ihre Website mit unserem kostenlosen Tool auf SSL:
1) Auf der URL steht „https://“ und nicht „http://“.
2) Sie sehen ein kleines Vorhängeschloss-Symbol in der URL-Leiste.
Es wird je nach Ihrem Browser entweder links oder rechts in der URL-Leiste angezeigt. Sie können auf das Vorhängeschloss klicken, um weitere Informationen über die Website und das Unternehmen, das das Zertifikat zur Verfügung gestellt hat, zu lesen.
3) Das Zertifikat ist gültig.
Selbst wenn eine Website das „https://“ und ein Vorhängeschloss hat, könnte das Zertifikat immer noch abgelaufen sein – was bedeutet, dass Ihre Verbindung nicht sicher ist. In den meisten Fällen wird eine Website, die als https angezeigt wird, sicher sein, aber wenn Sie auf eine Website stoßen, die viele persönliche Informationen verlangt, kann es sich lohnen, die Gültigkeit des Zertifikats noch einmal zu überprüfen.
Um herauszufinden, ob das Zertifikat in Chrome gültig ist, gehen Sie zur Ansicht > Entwicklerwerkzeuge. Von dort aus müssen Sie zur Registerkarte „Sicherheit“ navigieren und können sehen, ob das SSL-Zertifikat gültig oder abgelaufen ist. Wenn Sie auf die Schaltfläche „Zertifikat anzeigen“ klicken, können Sie weitere Informationen über das SSL-Zertifikat und das spezifische Datum, bis zu dem es gültig ist, sehen.
Wie kann ich ein SSL-Zertifikat für meine Website erhalten?
Der erste Schritt besteht darin, festzustellen, welche Art von Zertifikat Sie benötigen. Wenn Sie beispielsweise Inhalte auf mehreren Plattformen (auf getrennten Domains/Subdomains) hosten, kann dies bedeuten, dass Sie unterschiedliche SSL-Zertifikate benötigen.
Für die meisten wird ein Standard-SSL-Zertifikat Ihre Inhalte abdecken, aber für Unternehmen in einer regulierten Branche – wie dem Finanz- und Versicherungswesen – kann es sich lohnen, mit I.T. zu sprechen, da es in Ihrer Branche spezifische Anforderungen gibt, die den Typ des benötigten SSL-Zertifikats festlegen.
Die Kosten für SSL-Zertifikate variieren, aber Sie können ein kostenloses Zertifikat erhalten oder einige hundert Dollar pro Monat für ein individuelles Zertifikat bezahlen. Auf der kostenlosen Seite — Let’s Encrypt bietet Zertifikate kostenlos an, aber ich würde Ihnen dringend empfehlen, dass Sie jemanden haben, der sich mit dem DNS und der technischen Einrichtung Ihrer Website auskennt, um Ihnen dabei zu helfen. Diese Zertifikate laufen außerdem alle 90 Tage ab, so dass Sie sicherstellen müssen, dass sie auf dem neuesten Stand bleiben.
Viele andere Domain-Anbieter werden SSL-Zertifikate verkaufen, die im Allgemeinen zwischen 50 Dollar für den Erwerb eines Zertifikats für eine Domain und bis zu einigen hundert Dollar für mehrere Domains liegen. Dieser Vorgang ist einfacher als die Verwendung von Let’s Encrypt, ist aber auch mit Kosten verbunden.
(HubSpot-Kunden: Wenn Sie Inhalte auf HubSpot hosten, ist SSL im Rahmen dieser Aktion kostenlos verfügbar. Weitere Informationen erhalten Sie von Ihrem Customer Success Manager oder auf unserer SSL-Seite).
Einer der anderen wichtigen Punkte ist die Gültigkeitsdauer einer Zertifizierung. Die meisten Standard-SSL-Zertifikate, die Sie kaufen, sind standardmäßig für ein bis zwei Jahre erhältlich. Wenn Sie jedoch nach längerfristigen Optionen suchen, sollten Sie sich nach fortgeschritteneren Zertifikaten umsehen, die längere Zeiträume bieten.
WordPress-Plugins zur Unterstützung der SSL-Installation
Wenn Sie WordPress für das Hosting Ihrer Inhalte und Ihrer Website verwenden, müssen Sie je nach Ihrem Domain-Provider möglicherweise ein SSL-Zertifikat erwerben und dieses dann installieren. Hier sind ein paar Plugins, die Ihnen dabei helfen können:
- Wirklich einfaches SSL. Der Kauf Ihres SSL-Zertifikats ist nur der erste Schritt. Dieses Plugin hilft Ihnen bei der Installation für alle Ihre WordPress-Inhalte. Es gibt Premium-Versionen, die Ihnen bei der Installation auf allen Websites helfen und die sicherstellen, dass keine Warnungen auf Ihrer Website erscheinen. Die Premium-Versionen kosten zwischen $20 und $145 für eine Full-Service-Konfiguration und Optimierung von SSL.
- Fixer für unsichere Inhalte. Wenn Sie ein SSL-Zertifikat haben und es installiert ist, ist es noch nicht ganz fertig. Wenn Ihre Website mit hartcodierten Verweisen auf „http“ erstellt wurde, wie z.B. eine Bilddatei, dann wird eine Warnung angezeigt, wenn Sie versuchen, diese sicher zu laden. Dieses Plugin kann Ihnen helfen, alles zu finden und zu reparieren, was so kodiert ist, damit Ihre Website korrekt und sicher für die Besucher angezeigt wird.
- WP Force SSL. Okay, jetzt, da Sie mit dem Erwerb von SSL, der Installation und der Behebung von Fehlern fertig sind, ist es an der Zeit, dafür zu sorgen, dass Ihr gesamter Datenverkehr die sichere Version Ihrer Website sieht. Dieses Plugin zwingt den gesamten Datenverkehr zu HTTPS, so dass er nur sicher geladen wird. Ich empfehle dringend, dass Sie auf unsichere Inhalte (auch als gemischte Inhalte bekannt) prüfen, bevor Sie dies aktivieren. Wenn Sie nicht zuerst auf gemischten Inhalt prüfen, kann Ihre Website wegen dieser unsicheren Dateien mit Warnungen erscheinen.