Was ist HTTPS und brauche ich das?
HTTPS steht für Hypertext Transfer Protocol Secure und ist im technischen Sinne kein eigenes Protokoll. Die Technik von HTTPS heißt heutzutage TLS (Transport Layer Security). TLS ist eine Weiterentwicklung des noch genutzten Protokolls SSL (Secure Sockets Layer). Die Verwendung von HTTPS erkennt man im Browser daran, dass die Internetadresse mit https statt http beginnt. Im Moment zeigen viele Browser ein durchgestrichenes Schloß bei unverschlüsselten Webseiten per http. Bei verschlüsselten Webseiten die über https erreichbar sind ein grünes Schloß.
Die drei Ziele von SSL/TLS sind Vertraulichkeit, Datenintegrität und Authentizität:
Vertraulichkeit wird durch die Verschlüsselung der Verbindung gewährleistet. Damit persönliche Daten z.B. Kreditkartendaten nicht von Dritten entwendet und missbraucht werden können. Durch die Gewährleistung der Integrität der Daten wird garantiert, dass eine Manipulation z.B. der Bestellung in einem Onlineshop nicht möglich ist. Unter Authentizität versteht man, dass die Identität des Onlineshop-Betreibers / Webseitenbetreiber für den Kunden überprüfbar ist.
Zusammengefasst dient die verschlüsselte Übertragung mit HTTPS folgenden Zwecken:
Vertraulichkeit: Kein Dritter soll die Daten mitlesen können.
Integrität: Die Daten können während der Übertragung nicht unbemerkt verändert werden
Authentizität: Der Kommunikationspartner ist verifizierbar – dafür braucht man die Zertifikate, die auf die Domain ausgestellt sind
Bei der Übertragung von sensiblen Kundeninformationen, wie z.B. Passwörter oder Kreditkartendaten, ist der Einsatz eines von einer Zertifizierungsstelle signierten SSL-Zertifikats Pflicht. Muss nur ein persönlicher Login-Bereich geschützt werden, reicht evtl. ein selbst signiertes oder vom Hosting-Provider signiertes Zertifikat aus.
Bei Webseiten ohne sensible Informationen, kann eine abgesicherte Verbindung trotzdem angeboten werden. Durch die Verschlüsselung ist es für Dritte nicht möglich zu sehen, welche Seiten einer Website genau aufgerufen werden.
Ein Pluspunkt in Sachen SEO ist eine bessere Listung in den Suchergebnissen bei Google.
Ab Juli 2018 wird der neue Chrome unverschlüsselte Webseiten mit einer größeren Warnmeldung als unsicher kennzeichnen.
Falls der Hosting Anbieter die kostenlosen Let’s Encrypt SSL-Zertifikate noch nicht anbietet, kann man im Kundenaccount ein kostenpflichtiges SSL-Zertifikat bestellen. Das teuerste Zertifikat ist eines, bei dem der Name direkt in der Browser-Adressleiste steht und auch Subdomains geschützt sind. Ein solches Zertifikat sieht man oft bei großen Webseiten z.B. Twitter, …, oder Onlineshops. Nur das Zertifikat beantragen reicht nicht. Der Webauftritt muss überarbeitet werden, damit alle Ressourcen per https geladen werden können. Die .htaccess muss so angepasst werden, dass sie per 301 Weiterleitung den Internetauftritt per https aufruft, auch wenn ein alter Link per http aufgerufen wird.
Umstellung auf HTTPS
Wichtig: BackUp / Sicherung anlegen
Man muss alle Links auf der Webseite ebenfalls auf HTTPS ändern. Das geht prima mit der Funktion Suchen und Ersetzen. Bei WordPress gibt es das Plugin: Better Search Replace. Der erste Schritt bei WordPress ist die Webseiten-URL im WordPress Adminbereich auf HTTPS zu setzen. Die Einstellung im Dashboard unter Einstellungen / Allgemein vornehmen.
Zur Überprüfung kann man die Webseite Why No Padlock nutzen, um alle Fehlermeldungen zu sehen. So siehst man, welche URLs noch auf HTTP laufen und damit verbessert werden müssen. Man kann eine Liste der Fehlermeldungen auch im Browserinspektor (z.B. bei Chrome oder Firefox) einsehen, dazu klickt man einfach im Browserinspektor auf Console und die Liste der http-Links wird angezeigt.
Zuletzt muss man mit Hilfe einer Weiterleitung die HTTP URLs auf die neue HTTPS Version umleiten. So wird die Webseite immer in der HTTPS Version angezeigt, auch wenn jemand eine alte HTTP URL der Webseite aufruft.
Die .htaccess auf dem Server wie folgt anpassen/ergänzen:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Links zur Überprüfung:
Überprüfung „mixed content“ bei der Umstellung auf https
SSL Server Test (Powered by Qualys SSL Labs)
Test nach der Umstellung von Webseiten auf https
Redirect Checker | 301re.direct
Überprüfung von suchmaschinenfreundlichen Weiterleitungen
SSL Check – Übersichtlich und einfach zu handhaben – Tool überprüft den HTTP Security Header auf die richtige Konfiguration
Wenn man Google’s Search Console nutzt, sollte man darauf achten, dass auch dort die HTTPS Version der Webseite angegeben wird. Auch bei der Statistik muss man die HTTPS Version der Webseite angeben. Außerdem sollte die XML-Sitemap Datei aktualisiert werden. Bei externen Links aktualisieren was möglich ist z.B. soziale Netzwerke, etc..
Machen sie bitte wieder öfter Beiträge
LG
Hab mich schon immer gefragt was hinter dem https steckt. Die Erklärung, die Sie gegeben haben ist wirklich sehr verständlich.
LG