Wie stellt man WordPress korrekt auf SSL um?

Jede unverschlüsselte Datenübertragung kann im Internet abgefangen, mitgelesen und natürlich auch manipuliert werden. Sensible Daten sind mit SSL Verschlüsselung gesichert. Eigentlich spricht man bereits von TLS „Transport Layer Security“, dem Nachfolger von SSL (Secure Socket Layer). Allerdings hat sich SSL im Sprachgebrauch durchgesetzt.

Gibt man eine Adresse im Browser ein, versendet der Server, auf dem die Seite liegt, sein SSL/TLS-Zertifikat. Der Browser überprüft dies bei der ausstellenden Zertifizierungsstelle. Ist das Zertifikat gültig, entsteht eine gesicherte Verbindung zwischen Server und Browser. Alle übertragenen Daten sind verschlüsselt. Ebenfalls wird so sichergestellt, dass der Webseiten-Inhaber derselbe ist wie der Zertifikats-Inhaber.

Was ist überhaupt eine SSL-Verbindung?

Es ist eine verschlüsselte Netzverbindung zwischen einem Server und einem Browser. SSL ist eine hybride Verschlüsselungsmethode, das heißt, dass sowohl die hohe Geschwindigkeit für die symmetrische Verschlüsselung von Daten, als auch die Sicherheit asymmetrischer Verschlüsselung genutzt werden.

Das bedeutet: Der jeweils genutzte Browser erkennt durch das „s“ am http, dass für einen angesprochenen Server ein Zertifikat angefordert werden soll. Der Server muss sein Zertifikat von der Zertifizierungsstelle holen und an den Browser zurücksenden. Der Browser bekommt dann von der Zertifizierungsstelle eine Information zur Gültigkeit oder zum Ablauf des Zertifikates. Dann kann der Browser mit dieser Information überprüfen, ob er mit dem Server verbunden ist, der über die entsprechende URL angesprochen wurde.

Damit die Sicherheit vollkommen ist, werden vom Browser zuerst Testnachrichten übermittelt, die über Verschlüsselungsmethoden verschlüsselt sind. Kommen diese regelkonform an, weiß man, dass die SSL-Verbindung funktioniert und sicher ist. Über diese Verschlüsselungsmethode von Daten soll erreicht werden, dass sensible Daten, z.B. persönliche Daten, verschlüsselt übertragen werden. Die SSL Verschlüsselung erfolgt insbesondere beim Einsatz mit HTTPS.

Vertrauliche Daten können so mit Inhalt verschlüsselt von einer Station zu einer anderen übertragen werden. Neben der verschlüsselten Übertragung wird weiter festgestellt, ob der angesteuerte Server auch wirklich der Server ist, den man als Ziel identifiziert hat. Einerseits wird so die Authentizität des Servers festgestellt, andererseits die Identität einer Internetseite gesichert.

Weitere Pluspunkte und was nicht möglich ist

Ein weiterer Vorteil einer SSL Verschlüsselung ist, dass die Daten während der Übertragungssituation nicht durch Dritte gelesen oder verändert werden können. Dieser Schutz entsteht mit der Algorithmisierung der Daten und der Zuweisung einer Prüfnummer. An der Internetadresse erkennt man bei der URL ein angehängtes „s“ und weiß dadurch, dass es sich um eine SSL-Verbindung handelt. Es steht dort nicht mehr nur http://, sondern https://.

Die SSL Verschlüsselung ist wie gesagt besonders wichtig bei der Übertragung von Finanz- und Krankendaten, bei Persönlichkeitsangaben und allen dem Datenschutz unterliegenden Daten, die per Internet übertragen werden.

Was über SSL nicht geprüft werden kann, ist die Dokumentenechtheit bzw. ob die Daten, die übertragen werden sollen, auch wirklich richtig sind. Außerdem erfolgt der Verbindungsaufbau beim Server nicht gerade schnell, was den Rechner beansprucht. Die Verschlüsselung an sich ist schnell, allerdings können große Datenmengen kaum komprimiert werden. Eine Komprimierung wiederum verbraucht wieder hohe Rechnerkapazitäten.

Was ist eine SSL Verschlüsselung und welche Rolle spielt diese bei SEO?

Wenn du deine Webseite mit einer SSL Verschlüsselung ausstattest, wird es möglich, Daten über eine sichere Verbindung vom Browser deiner Besucher zu deinen Servern zu versenden. Seit 2014 ist HTTPS bei Google ein Ranking-Faktor. Die SSL Verschlüsselung liegt aus SEO-Sicht vor allem darin, dass Nutzer mehr Vertrauen in die Webseite erlangen und die Datenströme vor Manipulationen gesichert sind.

Warum solltest du deine Webseite verschlüsseln?

Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und von Dritten veränderbar. Das ist ein Problem, besonders, wenn sensible Daten an eine Webseite übergeben werden, wie Kreditkarten-Daten, der Login-Name und das Passwort beim Emailprovider oder in Foren persönlichen Nachrichten in Social Media, gerade wenn diese nur an eine Person gerichtet sind.

Wie funktioniert die SSL Verschlüsselung?

Damit ein Browser eine verschlüsselte Verbindung zu einem Server / einer Domain aufbauen kann, muss er wissen, ob der Server auch zu der Domain gehört, für die er sich ausgibt. Hierzu werden SSL Zertifikate genutzt. Bevor man auf SSL umstellt, das sollte klar sein, macht man eine Datensicherung der kompletten Webseite. Das kann auch über ein Plugin geschehen.

Was ist ein SSL Zertifikat?

Bei einem SSL Zertifikat handelt es sich um eine Methode, um die Authentizität einer Webseite zu verifizieren. Dazu muss eine Webseite ein Zertifikat bei einer anerkannten Zertifizierungsstelle beantragen.

Nach der Verifizierung der Domain wird ein öffentlicher Schlüssel hinterlegt. Mit diesem kryptographischen Schlüssel werden dann die Nachrichten verschleiert. Um die Nachricht wieder in den Ursprungszustand zu verändern, wird ein weiterer Schlüssel benötigt, der private Schlüssel. Dieser private Schlüssel ist einzig auf dem verifizierten Server fest installiert und kann die Nachrichten entschlüsseln. Entscheidend ist, dass eine Nachricht, die mit einem öffentlichen Schlüssel enkodiert wurde, nicht mit dem gleichen öffentlichen Schlüssel dekodiert werden kann.

Welche SSL Zertifikate gibt es?

Es wird zwischen drei Zertifikatsstufen unterschieden. Der Domain Validation oder DV, der Organizational Validation oder OV und der Extended Validation oder EV.

Ein DV Zertifikat hat die geringste Vertrauensstufe und validiert nur den Domainnamen. Damit kann man beweisen, dass eine Anfrage von einer Domain wirklich von dieser kommt, weitere Informationen werden jedoch nicht abgefragt.

Um ein OV Zertifikat zu erlangen, wird nicht nur geprüft, ob du der Inhaber einer Domain bist, sondern es werden außerdem weitere Informationen geprüft. Du musst in diesem Fall nicht nur nachweisen, dass dir die Domain gehört, sondern auch, dass es sich um das genannte Unternehmen handelt und den Standort bestätigen.

Beim EV Zertifikat wird zusätzlich geprüft, ob (d)ein Unternehmen über ein aktives Konto verfügt, zudem gibt es eine Überprüfung der Adresse und Telefonnummer und zuletzt noch der Personen, die das EV Zertifikat beantragen. Diese Zertifikate sind die umfangreichsten und teuersten, bieten dem Nutzer jedoch auch die größtmögliche Sicherheit.

Die meisten Validierungstypen können entweder für einen einzelnen Namen, für eine komplette Domain, inklusive aller Subdomains oder für mehrere Domains gleichzeitig erstellt werden.

Welches Zertifikat benötigst du?

Bei einem Blog oder der eigenen Webseite kann schon ein Single Name Domain Validation Zertifikat reichen, um die Passwörter der Kommentaroption zu sichern. Gleiches gilt auch für Foren und die dortigen Logins.

Für (d)eine Unternehmenswebseite bietet sich ein Organizational Validation Zertifikat an, damit Besucher das sichere Gefühl haben, dass die Webseite nicht nur den Namen deines Unternehmens trägt, sondern dieser auch zugeordnet werden kann. Ein sogenannte Wildcard Zertifikat ist nur notwendig, wenn du mehrere Hostnamen verwendet.

Bei allen Anwendungsfällen, in denen sensible Nutzerdaten, wie Personen-, Bank- oder Kreditkartendaten, übermittelt werden, also immer dann, wenn du etwas über deine Seite verkaufst, solltest du dir ein Extended Validation Zertifikat leisten. Dieses schützt nicht nur die Nutzerdaten, sondern gibt dem Nutzer zusätzliches Vertrauen über die grüne Browserzeile.

Was ist mit Blogs?

Bei einem Blog ohne Kommentarfunktion, ist es aus sicherheitstechnischen Überlegungen nicht unbedingt nötig, die Nutzerdaten per SSL Zertifikat zu verschlüsseln. Verwaltet man seinen Blog jedoch z. B. bei WordPress, dann solltest du alleine wegen der eigenen Login-Daten darüber nachdenken, die Verbindung wenigstens per Single Name Domain Validation Zertifikat zu verschlüsseln. Sobald es aber um Verkäufe geht, solltest du unbedingt dafür sorgen, dass alle notwendigen Seiten, die sensible Daten übertragen, verschlüsselt sind.

WordPress mit Plugin auf SSL umstellen

Wer sich nicht wirklich auskennt, sollte eher einen Fachmann die Umstellung durchführen lassen oder es bei entsprechendem Kenntnisstand selbst mit einem Plugin versuchen. Auf eine manuelle Umstellung zu setzen, ist immer eine empfehlenswerte Methode, da diese in der Regel gut und einfach funktioniert und die Verwendung eines Plugins unnötig wird. Nahezu jedes weitere genutzte Plugin erhöht das Risiko irgendwann eine bzgl. der Wartung sehr komplizierte Webseite zu haben. Wenn man die Änderung aller URLs von http auf https in der WordPress Datenbank mit Hilfe eines Plugins erledigt, vermeidet man, dass es zu Fehldarstellungen in WordPress kommen kann.

Wo bekomme ich ein SSL Zertifikat für meine WordPress-Webseite?

Es gibt zwar kostenlose Zertifikate und diese reichen für einfache Verschlüsselung durchaus aus. Wer aber eine SSL Verschlüsselung mit Unternehmensprüfung benötigt, um beispielsweise eine grüne Adressleiste zu erhalten, kommt um ein kostenpflichtiges Zertifikat nicht herum. Ist ein Zertifikat installiert, werden sämtliche HTTP-Links in HTTPS-Links geändert.

Kostenpflichtige Zertifikate

Diese Zertifikate kosten je nach Ausführung zwischen knapp 20 und ein paar hundert Euro jährlich. Du holst dir das Zertifikat bei einem entsprechenden Anbieter und gehst dann mit den Zertifikatsschlüsseln zu deinem Webhoster, der dieses einbinden kann. Oder du holst das Zertifikat gleich bei deinem Webhoster. Dann hast du am wenigsten Aufwand.

Welche Zertifikate sind besser?

Kostenpflichtige Zertifikate bieten natürlich generell mehr, d. h. eine unter Umständen schnellere, bessere Verschlüsselung, eine Vorabprüfung des Unternehmens oder die schon genannte grüne Adressleiste. Sie werden aber seltener benötigt. Für Standardverschlüsselungen sind normalerweise kostenlose Zertifikate vollkommen ausreichend.

Gründe, wieso man seine WordPress-Webseite auf SSL umstellen sollte

SSL ist für Google ein Rankingfaktor. Google empfiehlt Webseitenbetreibern, ihr Angebot zu verschlüsseln. Das liegt daran, dass das Unternehmen generell Betreibern mehr vertraut, wenn sie ihre Seite Zeit und Geld investieren. Die genauen Gründe verrät Google nicht. SSL verschlüsselte Seiten können mit http/2 ausgeliefert werden. Das macht die Webseite schneller und Geschwindigkeit ist ein Rankingfaktor für Google. Es ist zwar nur einer von über 200 Faktoren, aber diese Chance, besser zu ranken als die Mitbewerber, solltest du dennoch nutzen.

Dazu kommt: Browser zeigen mittlerweile Warnungen an, wenn die SSL Verschlüsselung fehlt. Gerade höher validierte SSL Zertifikate werden bevorzugt angezeigt: EV-Zertifikate, also jene mit der höchsten Validierung, werden sogar mit grüner Adressleiste dargestellt. Sicherheit wird also sichtbar.

Du hast eine bessere Außenwirkung durch SSL Verschlüsselung

Neben Google ist es natürlich auch für deine Kunden ein positives Signal und vertrauenerweckend, wenn du in Sicherheit für deren Daten investierst. Formulare oder Online-Bestellungen schicken Kunden nicht so gerne ab, wenn (d)eine Webseite nicht verschlüsselt ist.

Vorteil: Schnellere WordPress Webseite mit SSL Verschlüsselung und http/2

Wie schon geschrieben können SSL verschlüsselte WordPress-Webseiten (und natürlich nicht nur die) mit http/2 ausgeliefert werden, wenn der Webhoster das unterstützt. Dadurch werden Ladeanforderungen von Bildern, Schriften usw. parallel gefahren und nicht nacheinander. Dadurch entsteht der positive Effekt, dass deine Webseite viel schneller lädt. Grundvoraussetzung ist dabei immer eine SSL Verschlüsselung. Die muss im Übrigen auch gegeben sein, wenn du deinen Onlineshop mit dem TÜV Siegel oder Trusted Shop Zertifikat versehen möchtest.

Kann eine Webseite auch langsamer durch SSL Verschlüsselung werden?

Das betrifft die allermeisten Webseitenbetreiber nicht. In der Kombination mit http/2 wird dieses vermeintliche Risiko ohnehin obsolet. Es stimmt, was Werbeeinnahmen angeht, z. B. für WordPress-Blogs, liefern Google und andere Werbetreibende Werbung nicht immer in https:// aus. Das bedeutet, dass eine Webseite, die über Werbung betrieben wird, weniger potenzielle Anzeigen zur Verfügung hat. Das kann zu weniger Einnahmen nach der SSL Umstellung führen. Allerdings werden künftig alle Werbeanbieter immer mehr auf https:// setzen, sodass dieser Aspekt entfallen wird.

 

Pin It on Pinterest

Shares