Sie haben es bestimmt schon oft gesehen: das kleine Schlosssymbol im Browser links neben der URL. Es besagt, dass die Website ein SSL-Zertifikat und damit eine sichere Verbindung vorweisen kann. Aber was heißt »sicher« in diesem Kontext? Oder vielmehr: Was ist ein SSL-Zertifikat und wie funktioniert das? Braucht jede Website so ein https-Zertifikat oder nur Online-Shops? Was sind Wildcard-SSL-Zertifikate? All das erklären wir hier und geben Tipps, wie Sie ein SSL-Zertifikat kaufen oder kostenlos installieren können!
Erklärung: Was ist ein SSL-Zertifikat?
Das SSL-Zertifikat ist ein kompakter Datensatz, der eine verschlüsselte Verbindung zwischen Browser und Server ermöglicht. So werden sensible Daten (Login-Information, Kreditkartendaten, …) sicher übertragen; unbefugte Dritte können nicht darauf zugreifen. Die SSL-Verschlüsselung einer Website ist daher ein wichtiges Vertrauenssignal.
Bei der sicheren Verbindung geht es, wie gesagt, um die Datenübertragung zwischen Webbrowser und Server. Zudem ist das Zertifikat ein Anzeichen dafür, dass die Urheber hinter der Website klar identifizierbar sind.
Im Grunde ist das Prinzip vergleichbar mit dem Postversand: Nehmen wir an, jemand möchte z. B. einen unterschriebenen Vertrag verschicken. Niemand würde so eine Sendung aufgeben, ohne vorher den Umschlag zuzukleben – ansonsten könnte schließlich jeder einfach das Dokument herausnehmen.
Soweit die sehr schnelle Erklärung, doch um im Zertifikat-Dschungel wirklich durchblicken zu können, sind ein paar weitere Details nötig. Das beginnt schon bei den Begriffsklärungen…
TLS-, CSR-, SSL-, https-Zertifikat – was ist was?
Wenn von Verschlüsselung die Rede ist, sprechen die meisten von einer SSL-Verbindung. Das ist jedoch streng genommen nicht mehr zeitgemäß:
- SSL (Secure Sockets Layer) ist ein mittlerweile veraltetes Protokoll.
- TLS (Transport Layer Security) ist das Protokoll, das heutzutage eigentlich mit »SSL« gemeint ist, also das Nachfolgeprotokoll vom »alten« SSL.
- HTTPS (Hypertext Transfer Protocol Secure) ist ein Protokoll, das aktiviert wird, wenn ein SSL-Zertifikat installiert ist.
- CSR (Certificate Signing Request) meint den öffentlichen Schlüssel, der zusätzlich zum privaten Schlüssel (private key) zum SSL-Zertifikat gehört – dazu später mehr.
Bitte beachten Sie: Der Einfachheit halber sprechen wir im Anschluss weiterhin von SSL.
SSL-Zertifikat = Domain mit sicherer Verbindung
Wenn Sie eine Domain registrieren oder eine neue Website erstellen möchten, sollten Sie sich unbedingt Gedanken um die SSL-Verbindung machen, handelt es sich doch um ein wichtiges Sicherheitsmerkmal. Wenn Sie das Zertifikat von vornherein auf dem Webserver einrichten, können Sie damit definitiv nichts falsch machen.
Ob es die sichere Datenübertragung auf einer Website gibt, kann man übrigens ganz leicht erkennen, zum Beispiel an…
- …dem grauen oder grünen Schlosssymbol vor der URL in der Adresszeile.
- …der grünen Adressleiste mit Firmennamen (bei EV-Zertifikaten, s. u.).
- …dem Präfix »https« vor der URL.
Es handelt sich stets um eine Verschlüsselung mit 128 oder 256 Bit. Aber noch einmal zurück zum Anfang:
Insgesamt unterscheiden wir zwischen drei Abstufungen:
- Domain Validation (DV) = Der Domaininhaber und die Website an sich werden nicht geprüft, nur die Verbindung von Domain und Zertifikat. Für Hobbyblogs o. Ä. ist diese Stufe ausreichend.
- Organization Validation (OV)
=Es wird ein Identitätsnachweis gefordert, was bei Unternehmen üblicherweise der Eintrag im Handelsregister oder ein Gewerbenachweis ist. - Extended Validation (EV)
=Hier muss nicht nur das Unternehmen an sich, sondern auch die antragstellende Person einen Identitätsnachweis liefern. Sobald es um eine Website geht, auf der Zahlungsinformationen etc. abgefragt werden, ist diese Stufe unbedingt empfehlenswert.
Falls Sie sich nun fragen, wer überhaupt festlegt, welche Zertifizierungsstellen die einzelnen Anbieter von SSL-Zertifikaten überprüfen dürfen: Dafür ist der CA Security Council zuständig. Bekannte Zertifizierungsstellen sind etwa RapidSSL oder Thawte.
Kostenlose SSL-Zertifikate: Verschlüsselung mit Let’s Encrypt
Mit Let’s Encrypt gibt es eine praktische Möglichkeit, kostenlos eine Website mit SSL zu verschlüsseln. Aber ist das grundsätzlich empfehlenswert oder eher nicht? Im Anschluss eine kleine Entscheidungshilfe!
Let’s Encrypt: das gratis https-Zertifikat
Das kostenlose Zertifikat Let’s Encrypt ist oft schon standardmäßig installiert, wenn man eine neue Domain einrichtet und kann mit einem Klick aktiviert werden. Das Zertifikat wird automatisch erneuert und ist somit relativ »pflegeleicht«.
Für viele Webprojekte kann Let’s Encrypt bereits ausreichend sein. Wenn es beispielsweise um eine reine Informationsseite oder einen Blog ohne Forum, Shop-Funktion etc. geht, spricht nichts gegen das kostenlose Zertifikat.
Gratis SSL-Zertifikat oder SSL-Zertifikat kaufen?
Wie gesagt: Ob Sie Geld in die SSL-Verschlüsselung investieren sollten, hängt davon ab, worum es auf der Website geht. Let’s Encrypt ist eine niederschwellige Methode, ein https-Zertifikat zu bekommen, während kostenpflichtige SSL-Zertifikate einen größeren Leistungsumfang und ggf. höhere Sicherheitsstandards mitbringen. Bei kostenpflichtigen Zertifikaten ist zudem oft ein Versicherungsschutz inkludiert.
Kosten von Website-Zertifikaten
SSL-Zertifikate liegen in einem Preisbereich von rund 50 Euro aufwärts pro Jahr. Ein Standard-Zertifikat kostet also durchschnittlich gerade einmal 5 Euro monatlich – ein relativ kleiner Preis. Je nach Leistungsumfang kann das SSL-Zertifikat natürlich auch mehr kosten: Logischerweise ist z. B. ein EV-Zertifikat mit seiner starken Validierung teurer als die Standard-Variante.
Sie sind sich noch nicht ganz sicher, worauf es bei der Wahl eines Zertifikats ankommt? Kein Problem, denn im Anschluss erklären wir, wie die Verschlüsselung eigentlich konkret funktioniert!
Tipp: Am Ende dieses Ratgebers beantworten wir außerdem viele weitere Fragen zum Thema SSL-Zertifikate – weiterlesen lohnt sich!
Wie funktioniert eine SSL-Verbindung bzw. die SSL-Verschlüsselung?
Daten vor der Übertragung sicher verschlüsseln: ja, bitte! Aber wie läuft diese Übertragung bei einer SSL-gesicherten Verbindung genau ab? Und wo liegt der Unterschied zwischen Verschlüsselungen mit 128 Bit und 256 Bit? Das erfahren Sie im Anschluss!
Was passiert bei einer SSL-Verschlüsselung?
Mit »Verschlüsselung« ist gemeint, dass Informationen zuerst in einen bestimmten Code verpackt und danach wieder dekodiert werden. Für diese (De-)Kodierung kommen jeweils eigene Schlüssel zum Einsatz. Bei einer SSL-Verschlüsselung vergibt der Provider einen öffentlichen und einen privaten Schlüssel (public/private key). Beide Komponenten sind für die sichere Datenübertragung notwendig und werden immer wieder erneuert.
- Öffentlicher Schlüssel: Mit dem CSR werden die Nachrichten verschlüsselt. Er ist im SSL-Zertifikat integriert, das den Schlüssel dann an den Browser vermittelt.
- Privater Schlüssel: Mit dem private key können die Nachricht wieder entschlüsselt werden; er ist auf dem Server installiert. Dieser Schlüssel ist Ihnen vorbehalten und (anders als der CSR) nicht öffentlich einsehbar.
Und wie darf man sich nun diese Schlüssel vorstellen? Nun ja: Im Wesentlichen sind es Ziffernblöcke. Je höher die Bitanzahl, desto länger die Blöcke und desto sicherer der Schlüssel. Denn bei langen Blöcken gibt es umso mehr Kombinationsmöglichkeiten, sodass es deutlich schwieriger wird, den Key zu dekodieren.
Wie die sichere Verbindung funktioniert
Die sichere SSL-Verbindung entsteht, wenn öffentlicher und privater Schlüssel eine Nachricht codieren bzw. dekodieren – soweit die sehr grobe Erklärung. Wie immer wollen wir aber auch hier etwas genauer werden.
Wie kann ich ein SSL-Zertifikat prüfen?
Viele Browser zeigen in der Adresszeile an, ob die Website ein SSL-Zertifikat hat: Falls ja, steht vor der URL ein kleines Schloss (in unserem Beispiel verwenden wir den Chrome-Browser). Sie können das Zertifikat außerdem mit einem Doppelklick auf die Adresszeile prüfen – nun sollte vor der URL das Präfix »https://« aufscheinen.
Es steht dort nur http? Dann geben Sie das »s« separat ein. Wenn kein Zertifikat vorliegt, sehen Sie nun eine Fehlermeldung oder einen »nicht sicher«-Hinweis.
Ausführliche Informationen über die Verschlüsselung bekommen Sie, wenn Sie auf das Schlosssymbol klicken. In dem Dialogfenster, das sich öffnet, können Sie dann unter »Details« z. B. nachlesen, …
- …seit und bis wann ist das Zertifikat gültig ist.
- …wer es ausgestellt hat.
- …was der öffentliche Schlüssel ist.
- …welcher Algorithmus hinter der Verschlüsselung steckt.
Brauche ich ein SSL-Zertifikat für meine Website/Online-Shop/WordPress?
Ja, Sie brauchen ein SSL-Zertifikat – darum führt 2020 kein Weg mehr herum. Ob kostenpflichtig oder nicht, bleibt Ihnen überlassen; ganz auf die https-Verbindung zu verzichten, ist jedoch nicht zu empfehlen.
In jedem Fall ist die SSL-Verschlüsselung ein Signal, mit dem Sie das Vertrauen Ihrer Kunden gewinnen können. Die meisten Browser warnen mittlerweile explizit, wenn eine Website kein https-Zertifikat hat; Google Chrome etwa zeigt den Hinweis »nicht sicher« an. Und wer surft auf so einer Seite schon gerne weiter oder gibt dort gar persönliche Daten preis…
Egal, für welches Zertifikat Sie sich nun entscheiden: Die Vertrauensfrage gilt ebenso, was die Zertifizierungsstelle betrifft. Denn ein SSL-Zertifikat ist immer nur so verlässlich wie die Stelle, die es geprüft und ausgegeben hat. (Woran eine vertrauenswürdige Zertifizierungsstelle zu erkennen ist, erklärt u. a. dieser Beitrag der Bundesdruckerei.)
Wie kann ich ein SSL-Zertifikat installieren?
Das SSL-Zertifikat auf der Website zu installieren ist nicht sonderlich kompliziert, zumal das kostenlose Zertifikat oft nur noch aktiviert werden muss. In der Regel müssen Sie nichts weiter tun, als beim Registrieren der neuen Domain das SSL-Zertifikat als Zusatzoption zu buchen. Um es an unserem eigenen Service zu erklären:
- Ein Domainname wird bei Hoststar bestellt, registriert und auf einem Hosting-Server installiert. Damit verbunden ist der Nameserver-Eintrag (DNS).
- Nun kann das SSL-Zertifikat ausgestellt werden.
Sie nutzen bereits unser Hosting-Angebot? Dann können Sie im My Panel jederzeit Domains bestellen und dabei auswählen, dass die Domain direkt mit dem Hosting verbunden werden soll. Nachdem die Registrierung abgeschlossen ist, passieren die oben beschriebenen Schritte automatisch und FreeSSL (Let’s Encrypt) wird aktivert.
Natürlich können Sie FreeSSL theoretisch auch abschalten. Das ist allerdings nur sinnvoll, wenn Sie auf der Website eine Software oder Skripte verwenden wollen, die explizit nicht mit https funktionieren – was heutzutage eher unwahrscheinlich ist. Grundsätzlich können Sie Ihr Zertifikat immer im Kontrollbereich Ihrer Website verwalten.
Wildcard-Zertifikate: SSL-Verbindung für mehrere Domains
Der englische Begriff wildcard bedeutet Platzhalter und wird im IT-Bereich oft mit einem Asterisk gekennzeichnet, also *.beispieldomain.com. Wenn Sie ein Wildcard-SSL-Zertifikat haben, bedeutet das, dass das Zertifikat auch alle Subdomains verschlüsselt. (Tipp: In unserem Domain-Ratgeber erklären wir (Sub-)Domains genauer!)
Konkret bedeutet das, dass ein solches Zertifikat nicht nur die Domain beispielseite.com samt all ihren Unterseiten verschlüsseln würde. Das Wildcard-Zertifikat würde außerdem für Subdomains wie blog.beispieldomain.com usw. gelten.
Der entscheidende Vorteil ist einerseits, dass ein Wildcard-Zertifikat mitunter günstiger ist, als für jede Subdomain ein eigenes Zertifikat zu kaufen. Andererseits erleichtert die Wildcard die Verwaltung, da es in diesem Fall nur eine zentrale Anlaufstelle gibt.
FAQ: Was Sie noch zu SSL-Verbindungen interessieren könnte…
Abschließend haben wir noch ein paar weitere nützliche Informationen zu SSL-Zertifikaten gesammelt. Sollten wir etwas vergessen haben, lassen Sie es uns gerne in den Kommentaren wissen!
Das SSL-Zertifikat ist abgelaufen – was tun?
Die Antwort ist schlicht und einfach: erneuern! Am besten verlängern Sie Ihr SSL-Zertifikat schon bis zu 1 Monat, bevor es abläuft – so sind Sie auf der sicheren Seite. Das ist vor allem dann wichtig, wenn Sie vorhaben, den Anbieter zu wechseln, denn u. U. kann die Prüfung eine Weile dauern.
Gibt es eine Pflicht für SSL-Zertifikate?
Nein, eine SSL-Verpflichtung gibt es nicht. Dennoch ist die Verschlüsselung ganz eindeutig zu empfehlen – erst recht, wenn Sie eine Website betreiben, auf der sensible Daten übertragen werden. Sicherheit im Internet ist nach wie vor ein Bereich, der stets noch wichtiger wird und zugleich umso größeres Angriffspotenzial bietet.
Hinzu kommt, dass die Verschlüsselung nicht weiter schwer einzurichten ist, da kostenlose SSL-Zertifikate mittlerweile Standard sind. Triftige Gründe gegen SSL gibt es also nicht wirklich.
Nicht zu vergessen ist die DSGVO: Seit Mai 2018 sind Webseitenbetreibende in der Pflicht, personenbezogene Daten zu schützen. Die erheben Sie übrigens bereits, wenn Sie einen simplen Blog mit Möglichkeit zur Newsletter-Anmeldung betreiben. (Mehr zur Verschlüsselung von Kontaktformularen erklärt Datenschutzexperte Philipp Herold hier).
Optimiere ich mit der SSL-Verbindung mein Google-Ranking?
Ja. Auf dem Google-Webmasters-Blog wurde bereits 2014 ein Statement veröffentlicht, das besagt: »We’re starting to use HTTPS as a ranking signal. […] Over time, we may decide to strengthen [this ranking signal].«
Ein SSL-Zertifikat allein verbessert zwar nicht im Alleingang die Platzierung in den organischen Google-Suchergebnissen – doch ohne sichere Verbindung sind die Chancen auf gute Rankings gleich Null.
Muss ich meine bestehende Website für SSL anpassen bzw. https einrichten?
Darauf gibt es zwei Antworten:
- Ja, https einzurichten ist aus den genannten Gründen sehr zu empfehlen, wenn auch nicht offiziell ein »Muss«.
- Nein, Sie müssen die Inhalte der Website nicht anpassen. Es ist nur wichtig, entsprechende Weiterleitungen anzulegen.
Tatsächlich ist es definitiv nicht empfehlenswert, die Website komplett neu anzulegen, wenn Sie sie auf https umstellen. Denn dadurch verlieren Sie aus Sicht der Suchmaschinenoptimierung (SEO) jegliche Domain-Autorität, die Sie sich bis dahin vielleicht bereits aufgebaut haben. Mit 301-Redirects, einigen weiteren Anpassungen und etwas Sorgfalt ist https in wenigen Stunden eingerichtet – mehr müssen Sie gar nicht tun.
Was muss ich beachten, wenn ich die Website auf https umstellen will?
Wenn Sie die Website von http auf https umleiten wollen, sollten Sie…
- …im Backend Ihres CMS die SSL-Verschlüsselung zunächst einmal aktivieren, sofern das nötig ist (etwa bei WordPress).
- …301-Weiterleitungen (Redirects) einrichten. Dies hat wieder SEO-Gründe: Ohne Weiterleitungen wertet der Google-Algorithmus die Inhalte womöglich als Duplicate Content.
- …nach den Redirects überprüfen, ob noch alles wie gewünscht angezeigt wird. Das gilt auch für interne Links und externe Inhalte (Bilder etc.). Jede einzelne Verlinkung sollte auf https angepasst sein.
- …die XML-Sitemap so anpassen, dass sie nur noch https-Links enthält.
- …die angepasste Sitemap erneut in die Google Search Console eintragen lassen.
Jede Website sollte ein SSL-Zertifikat tragen – und wie Sie sehen, ist das weder schwer zu bekommen noch kompliziert zu aktivieren. Sie haben weitere Fragen? Dann kontaktieren Sie uns gerne oder schreiben Sie uns einen Kommentar!
Neuen Kommentar schreiben