Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Sponsored Post Was ist das?

SSL-Zertifikate: Was ihr vor Juli beachten solltet, damit Google euch nicht als unsicher ausweist

(Foto: Mittwald)

Anzeige
Die gerade in Kraft getretene DSGVO macht nochmal deutlich, wie essentiell die Themen Vertrauen und Sicherheit für Websitebetreiber sind. Damit einhergehend ist die SSL-Verschlüsselung der Website nicht unerheblich. Auch Google sieht das so und setzt klare Zeichen.

Tobias Hüske, SSL-Experte beim Hosting-Anbieter Mittwald, erklärt, was Google genau unternimmt und welche Auswirkungen das auf zukünftig nicht sichere Seiten hat.

Tobias Hüske, SSL-Experte beim Hosting-Anbieter Mittwald (Foto: Mittwald)

Wieso wird in Verbindung mit einer SSL-Verschlüsselung oft Google genannt?

Tobias Hüske: Das ist recht einfach zu beantworten: Google möchte alles für eine verschlüsselte Datenübertragung im Web tun. Als Internetriese und mit dem weltweit meistverbreiteten Browser Google Chrome haben sie leichtes Spiel und nutzen ihre Stellung aus, weshalb der Browser als Steckenpferd für Neuerungen oder Änderungen gilt, wenn es um unverschlüsselte Websites geht. Ebenso werden Websites ohne SSL-Verschlüsselung im Google-Ranking abgestraft.

Im Juli wird die neue Chrome Version 68 veröffentlicht – was wird sich in Betracht auf die SSL-Verschlüsselung ändern?

Hüske: Bereits im Januar hat Google begonnen, Nutzer in der Link-Adressleiste vor unsicheren Verbindungen zu warnen, wenn diese Passwörter oder Kreditkarteninformationen eingegeben haben. Mit der neuen Version gehen sie einen erheblichen Schritt weiter: Alle unverschlüsselten Websites werden ab diesem Release als „nicht sicher“ gekennzeichnet – ganz unabhängig vom Bestehen eines Kontaktformulars oder Passwortfeldes. Eine Website ohne SSL-Zertifikat wird dem Nutzer als nicht vertrauenswürdig dargestellt.

(Screenshot: Mittwald)

Und welches SSL-Zertifikat ist geeignet, damit meine Website nicht als unsicher eingestuft wird?

Hüske: Im Prinzip reicht ein „Let’s Encrypt“-Zertifikat, damit ist die aufzurufende Seite verschlüsselt. Um allerdings einen noch besseren Schutz zu erhalten, lassen sich bei den meisten Zertifikatsanbietern beziehungsweise beim Webhoster (zum Beispiel Mittwald) verschiedene SSL-Zertifikate mit unterschiedlichen Vertrauensstufen für die verschiedensten Anwendungsfälle bestellen. Die preisgünstigen Starter-Zertifikate sind meist über die Domain validiert. Eine umfangreichere Prüfung des Unternehmens (sichtbar in den Zertifikatsdetails) erhält man mit einem Business-Zertifikat. Die Premium-Zertifikate enthalten eine erweiterte Prüfung des Unternehmens, sodass der Firmenname in der Adressleiste des Browsers angezeigt wird und diese sich komplett grün färbt.

Mit dem SSL-Zertifikat muss auch auf HTTPS umgestellt werden – was ist dabei zu beachten?

Hüske: Wichtig ist, dass alle aktuell erreichbaren Links zukünftig über SSL verschlüsselt werden, also problemlos über HTTPS aufrufbar sind. Dies erreicht man zum Beispiel mit dem Ändern der Base-URL im CMS oder Shop-System. Erzwingen kann man die HTTP auf HTTPS Weiterleitung mit einem sogenannten 301-Redirect, den man einfach in der .htaccess-Datei des Hosting-Accounts einrichten kann:


RewriteEngine On
RewriteCond %{https} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R=301,L]

Diese Weiterleitung schickt nun alle HTTP-Anfragen an HTTPS weiter. Des Weiteren sollten alle Inhalte (Bilder, CSS, Javascript) und Canonical-Tags sowie die XML-Sitemap auf HTTPS umgeschrieben werden. Die Google Search Console ist hierbei ein guter Helfer.

Wie ändere ich meine Datenbankinhalte?

Hüske: Oft sind bei CMS oder Shop-Systemen auch in der Datenbank verschiedene Links gespeichert – diese Pfadangaben müssen ebenfalls geändert werden. Hierfür gibt es je nach System helfende Tools, die die Arbeit erleichtern. Im Falle von WordPress ist es zum Beispiel das Plugin Migrate DB beziehungsweise das CLI-Tool WP-CLI. Genaue Anleitungen, wie man seine Seite richtig auf SSL umstellt, erhält man in der Regel den Hersteller-Hilfeseiten eures CMS oder Shops.

Seit geraumer Zeit gibt es Probleme mit den Symantec-Zertifikaten. Was genau hat es damit auf sich und welche Untermarken sind betroffen?

Hüske: Google hat Symantec mehrfach dabei erwischt, wie sie unberechtigterweise Zertifikate für google.com ausgestellt haben. Das gefiel dem Suchmaschinenriesen natürlich nicht, weshalb sie sich dafür entschlossen haben, den Zertifikaten der Symantec-Gruppe (GeoTrust, Thawte, RapidSSL) nach und nach zu misstrauen. Das SSL-Geschäft von Symantec wurde daraufhin von DigiCert übernommen, die sich seit Dezember 2017 um die Ausstellung von Zertifikaten kümmern.

Diesbezüglich sollen auch noch weitere Änderungen mit Chrome 70 erfolgen. Welche sind das?

Hüske: Im ersten Schritt wurden von Google bereits im April, mit der Veröffentlichung von Chrome 66, allen Zertifikaten, die vor dem 1. Juni 2016 ausgestellt wurden, das Vertrauen entzogen. Die nächste Maßnahme ist es, allen noch nicht von DigiCert ausgestellten Zertifikaten (vor dem 1. Dezember 2017) zu misstrauen. Dies soll mit dem Release von Chrome 70 am 23. Oktober 2018 geschehen.

Also besteht Handlungsbedarf, wenn man noch Symantec-Zertifikate einsetzt?

Hüske: Ja, wenn man Zertifikate von Symantec beziehungsweise von GeoTrust, Thawte oder RapidSSL im Einsatz hat, sollte man diese dringend austauschen – allerspätestens bis zum 23. Oktober 2018! Man sollte jedoch beachten, dass die Version Chrome 70 bereits einen Monat vorher als Beta-Version veröffentlicht wird und Seiten auch mit dieser nicht mehr funktionieren. Im besten Fall kümmert sich aber der Hosting-Anbieter automatisch um den Austausch beziehungsweise die Neuausstellung – wie es zum Beispiel Mittwald tut – und man muss lediglich die Validierung erneut vornehmen. Wer unsicher ist, fragt am besten direkt bei seinem Hosting- oder Zertifikatsanbieter nach.

Fakt ist, es ist unabdingbar, ein SSL-Zertifikat zu haben – egal, ob es ein kostenfreies „Let’s Encrypt“-Zertifikat oder ein Business EV SSL-Zertifikat ist. Solltet ihr noch keins haben, schaut bei Mittwald vorbei, dort könnt ihr euer SSL-Zertifikat derzeitig für drei Monate kostenlos sichern (gilt bei einer Vertragslaufzeit von zwölf Monaten)!

3 Monate kostenlos absichern!

 

 

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen