SSL-Zertifikat einrichten: Schritt für Schritt zur verschlüsselten Website

Spätestens seit Google im August 2014 "https" zu einem Rankingfaktor erklärte, sollten sich Webseitenbetreiber darüber informieren, wie eine Verschlüsselung Ihrer Website funktioniert. Seit dem 1. Januar 2017 werden gesicherte Verbindungen zudem durch die Angabe von "https" vor der URL in den SERPs gekennzeichnet. Es gibt jedoch immer noch zahlreiche Websites, deren Angebot ohne SSL-Verschlüsselung angeboten wird. Wir zeigen Dir in diesem Artikel, wie Du ein SSL-Zertifikat für Deine Website einrichtest und worauf Du dabei achten solltest.

Welche Schritte sind für eine SSL-Verschlüsselung notwendig?

• Überlege, welches SSL-Zertifikat Du benötigst.

• Kaufe das Zertifikat bei einem Anbieter.

• Installiere das SSL-Zertifikat auf Deinem Server.

• Wähle aus, welche Ordner, Unterseiten etc. verschlüsselt werden sollen.

• Prüfe die SSL-Verschlüsselung mit einem Tool.

Was ist SSL?

SSL steht für "Secure Socket Layer" und bezeichnet ein Verschlüsselungsprotokoll. Streng genommen ist SSL die Vorgängerversion von TLS (Transport Layer Security), jedoch wird die Bezeichnung SSL für beide Versionen verwendet. TLS ist eine modifizierte Variante der letzten Version von SSL, mit der einige kritische Schwachstellen von SSL beseitigt wurden. Der Einsatz eines Verschlüsselungsprotokolls sorgt dafür, dass Datenübertragungen verschlüsselt und somit sicherer sind.

Was passiert bei der SSL-Verschlüsselung?

Wenn eine Website per SSL gesichert ist, werden die Verbindungen zwischen einem Client und dem Server verschlüsselt. Somit können Besucher Deine Website sicher mit ihrem Browser aufrufen und zum Beispiel Daten beim Bestellen eingeben, ohne dass diese von Dritten mitgelesen werden können. Damit eine sichere Verbindung zwischen Browser und Server hergestellt werden kann, fragt der Browser beim Server ab, ob dieser zur aufgerufenen Domain gehört. Um diese Verbindung zu bestätigen, wird ein SSL-Zertifikat benötigt, welches somit eine Art Legitimationsnachweis der Website darstellt.

Die benötigten SSL-Zertifikate werden von sogenannten "Certification Authorities" (CA) oder auch "Zertifizierungsstellen" vergeben. Wird das SSL-Zertifikat für eine öffentlich erreichbare Website ausgegeben, prüft die entsprechende CA zuvor alle Angaben zu dieser Seite. Das Zertifikat ist anschließend öffentlich einsehbar und bei der CA hinterlegt. Um die Verschlüsselung zu erzeugen, wird der öffentliche Schlüssel zuerst verwendet, um die übertragenen Informationen zu sichern. Nur mit einem zweiten Schlüssel, der auf dem zertifizierten Server hinterlegt ist, können diese Daten dann entschlüsselt werden.

Das passende SSL-Zertifikat auswählen

Es gibt verschiedene, vom CA Security Council autorisierte, Anbieter von SSL-Zertifikaten. Beim CASC handelt es sich um eine Interessensgruppe, welche die Sicherheit im Internet erhöhen möchte. Zu den bekannten Anbietern für SSL-Zertifikate gehören zum Beispiel GlobalSign, Geo Trust, Symantec, AlphaSSL, RapidSSL sowie Thawte.

Bei der Wahl des passenden SSL-Zertifikats ist es wichtig, ob die zu schützende Domain öffentlich erreichbar ist oder nicht. Öffentliche SSL-Zertifikate können nämlich nur für öffentliche Domains herausgegeben werden, da die Zertifizierungsstellen die Inhaberschaft privater Server oder eines Intranets nicht eindeutig zuordnen können. Aus diesem Grund geht es im Folgenden hauptsächlich um die SSL-Zertifikate öffentlich genutzter Internetseiten.

SSL-Zertifikate sind in verschiedenen Vertrauensstufen erhältlich. Dabei spielt es eine Rolle, wie viele Informationen eine übermittelte Datei enthält und wie stark diese geschützt sind.

Grundsätzlich stehen drei verschiedene SSL-Zertifikate zur Verfügung:

**1. Extended Validation (EV) - höchste Verschlüsselungsstufe
**
**2. Organisation Validated (OV) - mittlere Verschlüsselungsstufe
**
**3. Domain Validated (DV) - niedrigste Stufe der Verschlüsselung
**

Wenn Du Dich nun für ein Zertifikat entscheiden willst, solltest Du Dich zunächst fragen, wie viel Sicherheit und Vertrauen Du Deinen Besuchern bieten möchtest. Denke dabei auch daran, wie stark Deine Marke bisher ist. So kann Deine Marke zum Beispiel mit dem Zertifikat verbunden werden und alle unter der Marke veröffentlichen Domains werden geschützt.

1. Extended Validation oder EV-Zertifikat

Um dieses Zertifikat zu erhalten, wird von den ausgebenden Stellen eine große Zahl an Informationen abgefragt. Die Kriterien gelten als die strengsten, die für den Erhalt der SSL-Verschlüsselung erfüllt werden müssen. Dabei wird nicht nur eine einzelne Seite zertifiziert, sondern das gesamte Unternehmen.

Besucher erhalten durch das EV-Zertificate die Sicherheit, dass Deine Website von Deinem Unternehmen betrieben wird und dass Verbindungen mit diesen Domains sicher sind.

2. Organization Validated oder OV-Zertificate

Auch diese SSL-Zertifikate beinhalten eine Authentifizierung Deines Unternehmens. Für den Erhalt des Zertifikats prüft das jeweilige Unternehmen einige Daten, die Du bereitstellst. Deine Informationen werden aber nicht so stark hervorgehoben wie beim umfangreicheren EV-Zertificate. Wollen Besucher diese Daten sehen, müssen sie die einzelnen Details separat abrufen.

3. Domain Validated oder DV-Zertificate

Ein DV-Zertifikat verschlüsselt Deine Website ebenfalls per SSL. Doch tatsächlich sind im Zertifikat deutlich weniger Daten zu Dir und Deinem Unternehmen enthalten. Das DV-Zertifikat ist lediglich eine Validierung dafür, dass Du der Inhaber der Website bist und die Seite aktiv verwaltest. Allerdings bestätigt ein solches Zertifikat nicht, dass es speziell für Dein Unternehmen ausgestellt wurde oder dass Deine Seite tatsächlich von Deinem Unternehmen betrieben wird. Empfehlenswert ist es deshalb gerade für Onlineshops oder andere kommerziell betriebene Websites, mindestens das OV-Zertifikat zu nutzen.

Abbildung 1: Infografik zur Einrichtung eines SSL-Zertifikats von Ryte.

Eine Domain oder gleich mehrere?

Im nächsten Schritt solltest Du prüfen, ob Du den SSL-Schutz nur für eine Domain oder für eine ganze Reihe an Domains benötigst. Willst Du nur eine Domain sichern, reicht ein Einzeldomain- oder sogenanntes "Standard-Zertifikat". Du kannst hier zwischen den drei Authentifizierungsstufen auswählen.

Sollen mehrere Domains oder Subdomains per SSL gesichert werden, kannst Du ein Multidomain- oder Wildcard-Zertifikat wählen. Zunächst werden die Kosten zwar höher sein als für ein Einzelzertifikat, doch in der Summe ist es günstiger, wenn Du mehrere Domains mit einer Multidomain-Version schützt. Die Zertifikate für mehrere Domains werden auch "Subject-Alternative-Names-Zertifkate", kurz SAN-Zertifikate genannt.

Das SSL-Zertifikat einbinden

Wenn Du das SSL-Zertifikat von einem Anbieter erworben hast, erhältst Du in der Regel von diesem die Anleitung, wie es implementiert wird. Die Schritte sind aber immer ähnlich:

1. Installiere das SSL-Zertifikat auf Deinem Server. Wenn Du keinen dedizierten Server verwendest, bieten manche Webhoster mit wenigen Klicks eine SSL-Lösung an. Wie das SSL-Zertifikat implementiert wird, hängt von Deinem Servertyp ab. Eine gute Übersicht über die Installation des SSL-Zertifikats auf verschiedenen Servern wie Apache oder Exchange findest Du hier.

2. Wähle danach aus, welche Seiten, Subdomains oder Domains mit dem Zertifikat geschützt werden sollen.

3. Rufe Deine Seiten mit verschiedenen Browsern auf. Lass Dir anzeigen, ob noch Elemente ohne SSL-Verschlüsselung geladen werden. Mit einem SSL Checker wie von sslshopper.com kannst Du kostenlos prüfen, ob Deine SSL-Verbindung korrekt implementiert ist.

Checkliste – Auf diese sechs Punkte solltest Du achten

So verhinderst Du, dass Google beide Versionen weiterhin indexiert. Durch Duplicate Content weiß der Googlebot sonst nicht, welche Version bevorzugt werden soll. Das kann letztlich beiden Versionen hinsichtlich ihres Rankings schaden.

In der Einzelseitenanalyse von Ryte können einzelne URLs stichprobenartig auf das SSL-Handling und dementsprechend auf eine korrekte Weiterleitung hin überprüft werden. Zudem wird an dieser Stelle geprüft, ob Bilder, Javascripts und CSS Dateien per HTTPS geladen wurden.

Abbildung 2: Auszug aus der Einzelseitenanalyse von Ryte.

So stellst Du sicher, dass Google Daten wie Klicks oder Fehler zu Deiner Webseite korrekt ermittelt. Logge Dich hierfür in die Search Console mit Deinem Google-Konto ein. Klicke dann im Menü links "Property hinzufügen".

Du hast dort die Möglichkeit, einzelne https-Properties anzulegen, um diese später zu testen. Sinnvoll ist es jedoch immer, gleich die ganze Domain in der Google Search Console zu registrieren. Denn dann musst Du nicht für jedes Protokoll einzeln eine neue Property freischalten.

Abbildung 3: Domain oder https-Seite in der Google Search Console anlegen.

Damit das Tracking Deiner Webseite korrekt erfolgt, solltest Du die entsprechende Anpassung im Protokoll auch bei Google Analytics und anderen Webanalysetools durchführen.

Klicke bei Google Analytics links unten auf das Zahnrad mit dem Button "Verwaltung". Dort kannst Du mit einem Klick das Websitenprotokoll verändern.

Abbildung 4: Bei Google Analytics auf https umstellen.

Zu diesem Zweck kannst Du zunächst alle Templates prüfen und nach seitenweiten Verlinkungen suchen. Übersichtsseiten lassen sich manuell überprüfen. Auch an dieser Stelle kann Dir das Modul "Website Success" von Ryte weiterhelfen.

Klicke hierfür im Bereich "Links" auf "Link Ziele". Danach werden Dir alle internen Linkziele mit dem entsprechenden Protokoll angezeigt. In der Pro-Version hast Du die Möglichkeit, diese Liste als Excel-Tabelle zu exportieren.

Abbildung 5: Linkziele mit Ryte prüfen.

Mittels eines Filters kannst Du zudem prüfen, ob noch interne Links mit http vorhanden sind.

Abbildung 6: Linkziele mit Ryte prüfen.

In der Google-AdWords-Verwaltungsoberfläche suchst Du nach Anzeigengruppen. Dort hast Du die Möglichkeit, das Protokoll für den Link zu Deinem Webangebot auf https umzustellen. Denke beim Anpassen der Links auch an die AdWords-Erweiterungen wie Sitelinks oder Angebots-URLs.

Abbildung 7: Webseitenprotokoll in Google AdWords-Anzeigen ändern.

Wenn Du Google Shopping Ads schaltest, solltest Du außerdem im Google Merchant Center eine Adressänderung durchführen. Denke daran, dass die in der CSV-Datei übermittelten Links zu Deinen Produkten ebenfalls https-verschlüsselt werden.

Hierfür loggst Du Dich in die entsprechenden Profile ein und änderst das Protokoll.

Abbildung 8: In der Info-Ansicht zu einer Webseite wird das https-Protokoll bei einem Facebook-Profil sichtbar.

Kosten und Laufzeiten von SSL-Zertifikaten

Alle SSL-Zertifkate werden nur für eine bestimmte Laufzeit ausgestellt. In der Regel betragen die wählbaren Laufzeiten zwischen einem und fünf Jahren. Die Bezahlung eines SSL-Zertifikats erfolgt immer im Voraus für die gesamte Laufzeit.

Einfache DL-Zertifikate gibt es schon für deutlich weniger als 100 Euro pro Jahr zu erwerben. Wenn es um Multidomain-SSL-Zertifikate oder um Produkte mit Wildcards geht, können die Gebühren auch mehr als 1.000 Euro pro Jahr kosten. Die Preise variieren von Anbieter zu Anbieter und es lohnt sich die Kosten vor der Zertifikats-Buchung zu vergleichen. Natürlich gibt es auch komplett kostenlose Anbieter wie beispielsweise letsencrypt.org.

Hast Du Dich einmal für ein Zertifikat entschieden, ist es üblicherweise am einfachsten, wenn Du die Laufzeit jeweils verlängerst. Du hast aber auch die Möglichkeit, zu einem anderen Anbieter oder einem anderen Zertifikat zu wechseln. Das kann zum Beispiel sinnvoll sein, wenn Du eine neue Seite in Dein Portfolio aufnimmst und aus einem Zertifikat für eine Domain ein Multi-Zertifikat werden soll.

Bedenke bei einem Wechsel allerdings, dass die Prüfung Deiner Seite einige Tage in Anspruch nehmen kann. Geprüft wird Deine Seite übrigens auch bei einer Verlängerung. Du solltest deshalb am besten mindestens 30 Tage vor Ablauf des Zertifikats eine Verlängerung beantragen oder alternativ das neue Zertifikat beantragen. So verhinderst Du eine doppelte Buchung von Zertifikaten und vermeidest eine Doppelzahlung, da die SSL-Zertifikate immer im Voraus für mindestens 12 Monate bezahlt werden müssen.

Fazit

Ein SSL-Zertifikat ist heute elementar, um Vertrauen bei Kunden und Besuchern, sowie zugleich bei Google zu schaffen. Umso wichtiger ist es deshalb, dass auch Du Deine Seite mit SSL absicherst. Für kleine Blogs ohne Anmeldeformulare oder Warenkörbe reicht in der Regel schon ein einfaches Zertifikat aus. Solltest Du jedoch einen Webshop absichern wollen oder mehrere kommerzielle Websites betreiben, ist ein Multidomain-Zertifikat oder EV-Zertifikat sicherlich die beste Lösung. Wichtig ist in allen Fällen, dass Du nach der Umstellung der Website auf https entsprechende Weiterleitungen einrichtest, um doppelten Content zu vermeiden. Denn schon die Großen unserer Zeit haben die Bedeutung einer gesicherten Website verstanden. :-)