Vor wenigen Jahren waren SSL Zertifikate noch sehr teuer und es mussten mehrere 100 EUR pro Jahr investiert werden, um die eigene Webseite über https aufrufen zu können. Dann kamen die ersten günstigen Anbieter auf den Markt und der Jahrespreis sank auf weit unter 100 EUR. An dieser Stelle möchte ich eich ein vollwertiges SSL Zertifikat vorstellen, das komplett kostenlos ist. Es gibt keinerlei Einschränkungen und man muss auch keine Angst haben, dass Werbung auf der Webseite eingeblendet wird. Es handelt sich um ein ganz normales Zertifikat, das wie jedes andere in den Webserver eingebunden wird. Aber warum sollte man sich überhaupt die Mühe machen?
Besseres Google-Ranking durch SSL-Verschlüsselung
Die meisten kämpfen um ein besseres Ranking bei Google. Dazu werden die Seiten optimiert und fleißig Backlinks gesammelt. Einfache Möglichkeiten wie ein schnellerer Server oder die Verschlüsselung werden oft außer Acht gelassen. Diverse SEO Agenturen haben durch Analysen bereits herausgefunden, dass eine Verschlüsselung positive Signale für ein besseres Ranking setzt. Bereits im Jahr 2014 hat Google bekanntgegeben, dass die Verschlüsselung ein Ranking Signal ist. Es wird zwar auch vermittelt, dass der Umstieg auf HTTPS (TLS, Transport Layer Security) nur eine geringe Gewichtung hat, diese aber durchaus im direkten Vergleich mit der Konkurrenz einen sichtbaren Einfluss haben kann.
Rechtliche Probleme ohne SSL Zertifikat
Man mag es kaum glauben (oder in Deutschland doch?), aber es gibt auch rechtliche Probleme, wenn auf einer einfachen Webseite keine Verschlüsselung verwendet wird. Datenschutzbeauftragte verlangen, dass auf Webseiten mit Kontaktformularen anerkannte Verschlüsselungsverfahren genutzt werden. Auch wenn es die Pflicht dazu im Gesetz nicht gibt, bietet eben dieses doch die Möglichkeit, mit Bußgeldern belegt zu werden.
Im §13 des Telemediengesetzes (TMG) heißt es unter anderem:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Technisch möglich ist es heute in nahezu jedem Fall und wirtschaftlich gesehen, gibt es auch keine Hürden mehr. Wenige Euro für ein Zertifikat kann man jedem zumuten, der Werbung auf seiner Seite schaltet. Da es mittlerweile auch kostenlose SSL Zertifikate gibt, ist es wirklich jedem zumutbar. Während die zuständigen Kontrollbehörden Bußgelder verhängen können, sind die Gefahren einer Abmahnung noch weit größer. Hier kann von jedem Konkurrenten wegen eines Wettbewerbsverstoßes abgemaht werden und diese machen davon bereits Gebrauch.
Weitere Gründe, die für eine Verschlüsselung über ein SSL Zertifikat sprechen, bedarf es sicher nicht. Diese beiden sind schon schlimm genug.
Kostenloses SSL Zertifikat
Die schnelle und einfache Lösung ist ein kostenloses SSL Zertifikat. Wer selber Zugriff auf seinen Webserver hat, kann dieses schnell und unkompliziert einrichten. Andernfalls muss man mit seinem Provider Kontakt aufnehmen und abklären, inwiefern er bereit ist, ein kostenloses Zertifikat, an dem er nichts verdient, zu installieren.
Als Basis dient hier Let's Encrypt, die als sogenannte Certificate Authority hinter dem Zertifikat stehen. Diesem vertrauen 99,9% aller bekannten Browser, was sie mit einem grünen Schloss bestätigen. Bislang hatte ich weder auf dem Rechner noch auf einem mobilen Endgerät ein Problem mit diesem SSL Zertifikat. Um die Nutzung und Verwaltung der Zertifikate noch einfacher zu gestalten, gibt es Dienste wie SSLforfree. Die folgenden Schritte zeigen, wie man an sein Zertifikat gelangt und es installiert, sofern man Zugriff auf den Webserver hat.
-
SSL For Free aufrufen und Domain eintragen
Wird hier die www Adresse eingetragen, ergänzt das Formular den Antrag automatisch auf die non www Version. -
Webseite verifizieren
Bevor das Zertifikat erstellt werden kann, muss man beweisen, dass einem die Domain auch wirklich gehört. Hier werden 3 Möglichkeiten angeboten. Da mir die DNS Variante zu kompliziert und die FTP Variante zu unsicher ist, wähle ich immer die zweite Variante. Hier müssen 2 Dateien per FTP in das Web kopiert werden. -
Zertifikat erstellen und herunterladen
Wurden die Dateien auf den Server geladen und getestet, kann das Zertifikat beantragt werden. Dabei wird auch die Möglichkeit geboten, ein eigenes CSR zu erstellen. Das bietet die Möglichkeit, den Firmennamen einzutragen bzw. andere Daten zu wählen. In den meisten Fällen dürfte aber das automatische CSR vollkommen ausreichend sein.
Als Ergebnis erhalten wir 3 Textdateien. Eine beinhaltet den Private Key, die Zweite das eigentliche Zertifikat und die Dritte das Zertifikat der Chain Authority. Ohne letzteres würde das Zertifikat von keinem Browser anerkannt werden.
Abschließend bietet sich hier noch an, einen kostenlosen Account zu erstellen. Da die Zertifikate nur eine Gültigkeitsdauer von 3 Monaten haben, müssen sie regelmäßig erneuert werden. Durch die Registrierung werden die Daten gespeichert und zeitige Erinnerungen versendet.
Einbindung des SSL Zertifikats in den Webserver
Wer hier manuell Hand anlegt, sollte wissen was er macht. Ich gehe allerdings davon aus, das jeder, der einen eigenen Webserver betreibt, auch die entsprechenden Konfigurationen anpassen kann. Wer lediglich Webspace besitzt, braucht ohnehin die Hilfe seines Providers. Eine detaillierte Beschreibung würde hier auch zu weit führen, da diese vom verwendeten Webserver abhängt. Der Apache2, den ich verwende, dürfte sicher einer der gängigsten sein, aber es gibt noch viele andere. In der Regel sehen die zusätzlichen Einträge im Virtual Host folgendermaßen aus.
Diese 3 Dateien werden mit dem Zertifikat geliefert und müssen zuvor natürlich in die angegebenen Verzeichnisse kopiert werden.
WordPress an SSL anpassen
In vielen Fällen dürfte vermutlich WordPress die Basis des eigenen Blogs sein. Die Umstellung auf SSL ist hier sehr einfach. In der Admin wechseln man in Einstellungen -> Allgemein und ändert die beiden Domaineinträge in https://. Ein kleines Problem bleibt allerdings noch bestehen. Sobald ein einziger Bestandteil der Webseite nicht über HTTPS geladen wird, bleibt das grüne Schloss im Browser aus und der Besucher wird auf eine unsichere Seite hingewiesen. Diese sogenannte Mixed Content dürfte in den meisten Fällen auftreten und kann durch ein einfaches Plugin behoben werden.
Dazu wird Really Simple SSL installiert und aktiviert. Dieses ändert alle Vorkommen von http in https. In seltenen Fällen kann dies zu fehlenden Bestandteilen wie Bildern führen, wenn die verlinkten Quellen nicht unter https zu erreichen sind. In einem solchen Fall hilft nur das Entfernen der Quelle, damit die Webseite als sicher angezeigt wird.
Fazit:
SSL Zertifikate bieten nicht nur Vorteile im Ranking, sondern können auch teure Bußgelder und Abmahnungen verhindern. Wer viele Seiten betreibt und die Investition scheut, ist mit einem kostenlosen Zertifikat sicher gut bedient. Viele meiner Seiten habe ich mittlerweile durch ein kostenloses SSL Zertifikat ergänzt. Und auch Webseiten mit kostenpflichtigen Zertifikaten werde ich successive auf diese Variante umstellen. Die kurze Gültigkeit von 3 Monate stört mich dabei nicht. Ich werde vor Ablauf informiert und der Wechsel der Zertifikatsdatei dauert keine 5 Minuten. Die Verschlüsselung erfolgt über AES_128_GCM, was absolut ausreichend ist.