SSL-Verschlüsselung & SSL-Zertifikat
SSL-Verschlüsselung - Definition und Erklärung
SSL ist ein Verschlüsselungsprotokoll, das hauptsächlich verwendet wird, um Daten vom Browser eines Webseitenbesuchers über eine sichere Verbindung an den Webseiten-Server zu übermitteln - und umgekehrt.
SSL - Der Schlüssel zu mehr Sicherheit im Netz
Wer im Internet surft, dem ist bestimmt schon aufgefallen, dass vor der eigentlichen Domain-Adresse einer Webseite oft ein "http" oder ein "https" steht. Über http (Hypertext Transfer Protocol) kommunizieren Browser und Webserver miteinander. Dadurch können User zum Beispiel Webseiten von einem Server in ihrem Browser laden oder ihrerseits Daten an den Webserver übermitteln.
Diese sind jedoch nicht verschlüsselt und können ohne Weiteres von Dritten eingesehen werden. https (Hypertext Transfer Protocol Secure) hat die gleiche Aufgabe wie http, ist allerdings durch eine Verschlüsselung geschützt. Sie besteht im Regelfall aus einer SSL-Verschlüsselung (Secure Sockets Layer) oder aus der als noch sicherer geltenden TLS Verschlüsselung (Transport Layer Security). Hierfür wird ein SSL-Zertifikat benötigt.
http oder https - wie sicher muss eine Webseite sein?
Im Grunde sollten heutzutage alle Webseiten verschlüsselt sein. Gerade, wenn es sich um Webseiten handelt, die sensible Daten wie Kontodaten, Kreditkartennummern oder Accounts zu anderen Zahlungsanbietern abrufen (wie z.B. Onlineshops oder Banken), ist die Verschlüsselung jedoch ein Muss, da die vom Browser zum Server übermittelten Daten sonst von jedem ausgelesen werden können.
Doch auch bei privaten Daten wie Nicknames und Passwörtern von Social Media Accounts oder den dort befindlichen Posts, Videos und Bildern, ist Vorsicht angebracht - schließlich können sich auch hier Inhalte befinden, die man nicht mit jedem Menschen auf dieser Welt teilen will. Nicht verschlüsselte Seiten kennzeichnet Google in seinem Chrome-Browser daher schon seit einiger Zeit mit dem Zusatz “nicht sicher” am Anfang der Adresszeile.
SSL-Webseiten werden im Vergleich zu den nicht geschützten http-Webseiten zudem mit einem kleinen Schloss-Icon in der Adresszeile angezeigt und so als sichtbar verschlüsselte Seiten gekennzeichnet. Je nach SSL-Zertifikat wird auch die Adressleiste grün eingefärbt. Das Schloss-Icon ist sogar anklickbar und liefert unter anderem Informationen über die zertifizierende Firma und den Inhaber, wann es ausgestellt wurde, wie lange es noch gültig ist und auch darüber, wie viele Cookies die betreffende Seite verwendet.
- Als SEO Freelancer unterstütze ich Ihr Team direkt und flexibel.
- Durch kontinuierliche SEO Betreuung sorge ich für regelmäßige und professionelle Optimierungen.
- Mit fundierter SEO Beratung helfe ich, potenzielle Fehler zu analysieren und zu korrigieren.
SSL-Verschlüsselung: aus SEO Sicht unverzichtbar
Es gibt viele Gründe, die für eine Verschlüsselung der eigenen Webseite mit SSL Zertifikaten oder anderen Sicherheitszertifikaten sprechen. Aus SEO Sicht sind es aber vor allem zwei:
- Stärkung des User-Vertrauens. Das kleine Schloss am Anfang der Adresszeile gibt den Usern ein besseres Gefühl bei ihren Einkäufen und Handlungen auf der Seite. Eine verschlüsselte Seite wirkt nicht nur vertrauenswürdiger - sie ist es auch. Googles Schachzug mit dem “nicht sicher”-Zusatz in der Adresszeile verdoppelt die Nöte bisher unverschlüsselter Webseiten nur noch zusätzlich und sorgt dafür, dass bei diesen unterm Strich jede Menge Leads und Conversions verlorengehen.
- Der Rankingbonus. Den gibt Google bei der Ermittlung seiner Rankingergebnisse nämlich nur, wenn die betreffende Webseite verschlüsselt ist. Noch handelt es sich zwar nur um einen kleinen Rankingfaktor, doch der wird nach Ansicht von SEO Experten in Zukunft parallel mit der stetig zunehmenden Bedeutung des Internets weiter anwachsen.
Wie funktioniert die SSL-Verschlüsselung?
Vereinfacht gesagt werden bei der Verschlüsselung die Daten zunächst mit einem öffentlichen Schlüssel gesichert. Die zwischen Server und Client gesendeten Informationen und Daten können dann mit einem auf dem Webserver hinterlegten privaten Schlüssel wieder dechiffriert werden.
Wie aktiviert man die SSL-Verschlüsselung?
Beim Kauf eines SSL-Zertifikats erhält der Kunde im Normalfall immer eine Anleitung, wie dieses zu implementieren ist. Meistens sind folgende Handlungen nötig:
- Installation des Zertifikats auf dem Server, bzw. auf dem Server des Webhosters
- Auswahl der Domain, Subdomains oder Seiten, die geschützt werden sollen
- Mit einem SSL-Checker prüfen, ob die SSL-Verbindung fehlerfrei implementiert wurde
Im Anschluss daran gibt es aber noch Weiteres zu beachten:
- Besteht eine 301-Weiterleitung von der http-Seite auf die https-Seite?
- Ist die neue https-Domain in der Search Console und in den verwendeten SEO-Tools hinterlegt?
- Sind interne Links noch auf die alte http-Adresse ausgelegt? Dann sollte das http unbedingt durch https ersetzt werden!
- Externe Korrektur: Links bei AdWords, Facebook, Twitter, etc. auf die neue https-Domain umschreiben
Was kostet die Verschlüsselung per SSL-Zertifikat?
Die Kosten für ein SSL Zertifikat kann man pauschal nicht benennen. Je nach Zertifikatstyp und Sicherheitsstufe kostet es zwischen einem niedrigen zweistelligen Eurobetrag pro Jahr, kann aber je nach Umfang auch mittlere bis obere dreistelligen Eurobeträge kosten.
Einige Hoster bieten jedoch die kostenlose Lösung von Let's Encrypt an.
Hostinanbieter mit kostenlosem SSL-Zertifikat:
- Mittwald: https://www.mittwald.de/cms-hosting
- Hetzner: https://www.hetzner.com/de/webhosting
Weitere Fragen und Antworten zur SSL-Verschlüsselung
Gibt es verschiedene Sicherheitsstufen?
Ja, die gibt es. Insgesamt gibt es folgende drei Sicherheitsstufen bei SSL-Zertifikaten:
- Domain Validated (DV)
- Organisation Validated (OV) und
- Extended Validation (EV)
Die DV ist dabei die schwächste Verschlüsselungsoption. Vor Datenklau (wie z.B. Phishing) schützt diese beispielsweise nicht zwangsläufig. Das EV-SSL-Zertifikat stellt die höchste Sicherungsstufe dar und wird nur für zuvor ausführlich geprüfte Unternehmen ausgestellt. Vor allem Banken und andere Webseiten, deren User hochsensible Daten übers Internet versenden, benutzen diesen Sicherungsstandard.
Welche Zertifikattypen gibt es?
Auch hier gibt es drei verschiedene Grundtypen (und ein paar Unterarten).
- Beim Single-Name-Zertifikat wird nur ein einziger Host verifiziert. www.matthiasklenk.de wäre damit geschützt. Sollte die Webseite jedoch einen Blog unter www.blog.matthiasklenk.de anbieten, wäre dieser nicht im Schutz inbegriffen. Es kann für die Domain Validation, die Organisational Validation und für die Extended Validation genutzt werden.
- Soll auch der Blog aus obenstehendem Beispiel durch Verschlüsselung geschützt sein, müsste das Wildcard-Zertifikat gewählt werden, da dieses auch Subdomains mit einschließt. Im Gegensatz zum Single-Name-Zertifikat kann es aber nicht mit der Extended Validation genutzt werden. Es ist gekennzeichnet mit *.webseite123.de und gilt damit für alle Seiten von matthiasklenk.de (also z.B. mit und ohne vorangestelltes www), sowie auch für alle anderen Subdomains (wie z.B. blog.webseite123.de oder auch www.blog.webseite123.de)
- Das Multi-Domain-Zertifikat kann, wie der Name schon sagt, mehrere Domains gleichzeitig verifizieren (also zum Beispiel www.matthiasklenk.de und www.matthiasklenk.ch). Es kann mit der Extended Validation kombiniert werden. Dabei ist jedoch darauf zu achten, dass alle einzelnen Domains voneinander abgegrenzt, bzw. genau definiert worden sind.
Welches sind die bekanntesten SSL-Anbieter?
Für den Vertrieb von SSL-Zertifikaten wurden verschiedene Anbieter autorisiert. Thawte, VeriSign, GeoTrust, Symantec, RapidSSL und GlobalSign gehören unter anderem zu den Größten und Vertrauenswürdigsten.
Gibt es eine SSL-Verschlüsselung fürs Intranet?
Da SSL-Verschlüsselungen nur für öffentlich zugängliche Seiten autorisiert wurden, benötigen Intranet-Verbindungen andere Lösungen, um sich vor Datenklau und Co. zu schützen.
Hilfe benötigt mit Suchmaschinenoptimierung?