fbpx

Brauche ich SSL und HTTPS für meine Website?

HTTPS und SSL für Ihre Website

In den letzten Wochen und Monaten ist von Kundenseite immer häufiger die Frage aufgetaucht: „Wie wichtig ist SSL bzw. HTTPS für meinen Webauftritt?“ Auslöser dafür waren einerseits Medienberichte und andererseits Benachrichtigungen von den jeweiligen Providern. Sie finden eine unübersehbare Flut an Beiträgen in diversen Foren. Leider werden die meisten sehr technisch abgehandelt. Wir haben es uns daher zur Aufgabe gemacht, die wichtigsten Informationen zu diesem Thema in einer allgemein verständlichen Form zusammenzufassen. Wer jedoch etwas mehr in die Tiefe gehen möchte, findet weiterführende Infos auf unserer Webseite.

 

Was ist eigentlich SSL bzw. HTTPS?

HTTP steht für „Hyper Text Transport Protokoll“. Dies ist die grundsätzliche Übertragungtechnologie von Webseiten. HTTPS steht für „Hyper Text Transport Protokoll Secure“. Im Gegensatz zur Übertragung per HTTP wird bei der HTTPS-Übertragung also auf Sicherheit gesetzt. Mit Hilfe eines SSL („Secure Sockets Layer“) – Zertifikats wird die verschlüsselte Übertragung komplett.
Bildlich gesprochen entspricht das unverschlüsselte HTTP einer Postkarte, die von jedem, der sie in die Finger bekommt gelesen werden kann. Bei der HTTPS-Übertragung befindet sich alles in einem Umschlag, der ausschließlich vom Empfänger geöffnet und gelesen werden kann.

 

Muss ich meine Website unbedingt verschlüsseln?

Vertrauen durch HTTPS und SSLGrundsätzlich ist es nicht falsch, eine Website mit einem SSL-Zertifikat zu versehen. Wenn es sich „nur“ um eine einfache Website handelt (z.B. statische HTML-Seiten), können Sie auf eine SSL-Verschlüsselung verzichten. Sobald von Ihrer Website jedoch mehr oder weniger sensible Informationen übertragen werden, ist eine SSL-Verschlüsselung ein „Must-have“. Umso mehr eine Website interaktiv ist, also der Besucher über Eingabefelder (persönliche) Daten an die Website sendet, desto eher sollte die Übertragung verschlüsselt werden.
Gleich ob öffentliche oder sensible Inhalte. Zwei weitere Argumente sprechen klar für HTTPS: das Vertrauen der User und die Auswirkungen auf Ihre Suchmaschinenoptimierung (SEO).

 

Warum ist HTTPS also für Sie sinnvoll?

Wie bereits beschrieben, werden bei der Übertragung durch HTTPS sämtliche Daten zwischen der Website und dem Nutzer verschlüsselt. Erst im Browser werden die Daten wieder entschlüsselt.

Dadurch ergeben sich folgende Vorteile:

  • Vertrauen: Webseiten-Betreiber müssen sich – zumindest bei einigen SSL-Zertifikaten – als rechtmäßige Eigentümer der Website verifizieren. So kann der Nutzer sicher sein, auch tatsächlich auf der zu erwartenden Website zu sein. Zudem kann ein grünes Schloss vor der Browserzeile, oder sogar der grün hinterlegte Firmenname (beim EV-Zertifikat), das Vertrauen der Benutzer in die Seite erhöhen. In die gleiche Kerbe schlägt Googles Ankündigung, nicht verschlüsselte, HTTP Verbindungen im Chrome Browser zukünftig als „Nicht sicher“ zu klassifizieren.
  • Durch die Verschlüsselung wird sichergestellt, dass jegliche Datenübertragung unverändert durchgeführt wird. Die Gefahr, dass die Inhalte einer Website auf dem Weg zwischen Server und Browser verändert werden, ist so gut wie ausgeschlossen.
  • Suchmaschinen wie Google betrachten verschlüsselte Webseiten als vertrauenswürdiger. Somit können sichere Webseiten bessere Positionen in den Ergebnisseiten erreichen als herkömmliche, unverschlüsselte Seiten. Anfang August 2014 machte Google einen außergewöhnlichen Schritt: In einem offiziellen Blog-Post wurde „HTTPS“ als offizielles Ranking-Signal eingeführt. Es war das erste Mal überhaupt, dass Google definitiv und öffentlich erklärte, dass ein bestimmter Faktor im Rahmen des eigenen Suchmaschinen-Algorithmus zum Ranking beiträgt.

Folgende Webseiten sollten ein SSL-Zertifikat besitzen:

  • Websites mit einem Kontaktformular
  • Websites mit Registrierungs- und Login-Möglichkeiten (zum Beispiel: Mitgliedsbereiche)
  • Websites, die auf einem Content-Management-System basieren: Hier sollte der Login-Bereich über eine SSL-Verbindung umgesetzt sein.
  • Webseiten mit Kommentarmöglichkeiten (zum Beispiel ein Blog)
  • Online-Shops
  • Foren, Gästebücher und Chat-Systeme

 

Welche unterschiedlichen Sicherheitsstufen gibt es bei der SSL-Verschlüsselung?

Es wird zwischen drei unterschiedlichen Zertifikatsstufen unterschieden. Diese variieren dahingehend, inwieweit Daten abgeglichen werden (Validation). Oder anders ausgedrückt, es macht einen Unterschied, ob von Ihrer Website nur ein Kontaktformular oder vertrauliche Bankdaten (Online-Shop) übertragen werden. Darüber hinaus gibt es auch verschiedene Umfänge für die Zertifikate (Einzeldomain, Subdomains, Multi-Domain-Zertifikate).

 

Validationsstufen bei SSL-Verschlüsselungen

Domain-Validation
Ein DV-Zertifikat hat die geringste Vertrauensstufe und prüft nur den Domainnamen. Sie können damit beweisen, dass eine Anfrage von domain.at wirklich von dieser Domain kommt. Weitere Informationen werden jedoch nicht abgefragt. Dieser Zertifikatstyp ist auch als low-assurance Zertifikat bekannt.

Organizational-Validation
Um ein OV-Zertifikat zu erhalten, wird nicht nur geprüft, ob Sie der Inhaber einer Domain sind, sondern es werden zusätzliche Informationen über Ihre Identität und Ihre Adresse überprüft. Dieser Zertifikatstyp ist zudem als high-assurance Zertifikat bekannt.

Extended-Validation
Für ein EV-Zertifikat müssen Sie nicht nur beweisen, dass es Ihre Firma, an dem spezifischen Standort gibt und diese die gewünschte Domain besitzt. Bei diesem Zertifikat wird zusätzlich geprüft, ob es sich um eine registrierte Organisation handelt, die über ein aktives Konto verfügt, mit dem am aktiven Geschäftsverkehr teilgenommen werden kann. Dazu kommt eine Überprüfung von Adresse und Telefonnummer, damit ausgeschlossen werden kann, dass es sich um keine Scheinfirma handelt. Und zu guter Letzt werden noch die Personen geprüft, die das EV-Zertifikat beantragen.
Dieses Zertifikat ist das umfangreichste und teuerste, bietet dem Nutzer aber auch die größtmögliche Sicherheit. Zudem zeigen moderne Browser bei diesem Zertifikatstyp den Namen der Organisation neben der Browserleiste mit an – in Microsoft Internet Explorer und Edge Browsern wird zudem die komplette Adresszeile grün hinterlegt.
SSL-zertifiziert

 

 

Was kostet die Umstellung auf eine sichere Website?

Kosten SSL-ZertifizierungUm SSL auf Ihrer eigenen Website nutzen zu können benötigen Sie ein SSL-Zertifikat. Dieses kann beim Provider erworben werden. Die Höhe der Kosten variiert, durch die unterschiedlichen Zertifizierungsstufen und den Umfang des Zertifikats. Sie reichen von wenigen Euros im Monat, Sie können aber auch über 30 Euro im Monat dafür ausgeben. Dazu kommen noch einmalige Kosten für die Einrichtung und den Funktionscheck.
Welcher Zertifikat-Typ für Ihre Website der richtige ist, muss im Einzelfall besprochen und entschieden werden. Wir beraten Sie gerne.