HTTPS Verschlüsselung per SSL-Zertifikat – eine Übersicht

Als Webseitenbetreiber möchte man seine Internetseite immer aktuell halten, und hatt dafür Sorge zu tragen das die neusten Technologien und Methoden angewendet werden sobald diese ausreichend „sicher“ sind und gut für das Ranking, die Usability oder die Reputation der eigenen Internetpräsenz sind. Heute möchten wir die Websiteverschlüsselung per SSL-Zertifikat beleuchten und Fragen klären wie: „Was bringt mir die Verschlüsselung?“,  „Welche Kosten kommen auf mich zu?“ „Wie aufwendig ist die laufende Wartung?“ und viele weitere …

Was ist HTTPS
HTTPS (Hyper Text Transfer Protocol Secure) stellt für eine verschlüsselte Verbindung zwischen der eigenen Internetseite und dem Besucher dieser her. Im konkreten Fall also zwischen dem Webserver (In der Regel Apache, Ngnix) und der bereitgestellten eigenen Webseite sowie dem genutzten Browser des Users. Um eine verschlüsselte HTTPS-Verbindung einrichten zu können, wird ein Sicherheitszertifikat benötigt auch SSL-Zertifikat genannt. Diese SSL-Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen ausgegeben die nur SSL-Zertifikate ausgeben und in der Regel von über 99% der Browser anerkannt und fuktionstüchtig sind sofern eine korrekte Installation erfolgt ist. Dabei gibt es verschiedene „Authentifizierungsstufen“ für die Zertifikate, die ich Ihnen nachfolgend vorstelle.

Domain Validierung ohne Identitätsprüfung
Für einfachere bspw,. private Websites die denoch eine Verschlüsslung auf der eigenen Website möchten, gibt es eine Authentifizierungsstelle (Let’s Encrypt) hier erfolgt lediglich die Domainvalidierung durch Bestätigung der Domain sowie der E-Mail-Adresse. Es werden keine weiteren Angaben zur Identität benötigt und diese wird auch nicht geprüft. Die Ausstellung des SSL-Zertifikats erfolgt normalerweise sofort (Innerhalb weniger Minuten) und ist kostenlos. Der Nachteil an dieser Variante ist allerdings, das Zertifikat muss monatlich verlängert werden, wenn bspw. kein Plugin oder eine entsprechende Software auf dem Webserver installiert ist der die Verlängerung automatisch durchführt (PLESK, CPANEL, etc.). Diese Variante ist wirklich nur zu Testzwecken oder als Grundschutz für private Websites zu empfehlen.

Domain Validierung mit Identitätsprüfung
In der einfachsten Variante der kostenplichtigen Zertifikate die von Vertrauenswürdigen Zertifizierungsstellen ausgegeben werden, wird die Identität des Webseitenbetreibers geprüft und mit denn Daten aus der Whois-Datenbank der Domainausgabestelle (DENIC bei .DE Domains) abgeglichen. Die Ausstellung des SSL-Zertifikats erfolgt auch hier sehr zeitnah (In der Regel innerhalb max. 30 Minuten). Der Zertifikatsinhaber wird per E-Mail benachrichtigt uns muss seine Identitätsdaten per E-Mail bestätigen. Die Gültigkeit ist in der Regel 1 Jahr, es können aber auch Zeiträume von zwei oder drei Jahren gebucht werden was einem die „Erneuerung“ des Zertifikats nach einem Jahr erspart. Für die meisten geschäftlichen Internetseiten ist dieses Zertifikat ausreichend, sofern es nur um die reine Verschlüsselung der Website per HTTPS geht.

Organisations- / Firmen Validierung
In dieser Zertifikatsvariante wird sowohl der Domaininhaber, als auch die Organisation (Firma) dahinter überprüft. Hier wird genau geprüft ob die Organisation auch berechtigt ist die Domain auf die das SSL-Zertifikat ausgestellt werden soll, auch berechtigt ist die entsprechende Domain zu führen. Es werden die Domain-Whois Daten mit denn Unternehmensdaten abgeglichen, ausserdem muss man verschiedene Belge als Nachweis erbringen das man Domain und Firmeninhaber (Berechtigter) ist. Belege sind bspw. ein gültiger Handelsregister Auszug und manchmal auch weitere Daten, variiert je nach Zertifikatsaugeber.

Extended Validation SSL
Dies ist das Premium-SSL-Zertifikat, es bietet sowohl die Prüfung der Domain-Whois-Daten sowie der Unternehmensdaten (Handelsregisterauszug, Gewerbeschein) als auch eine spezielle Reputations-Funktion für Ihre Website bzw. für Ihr Unternehmen. Zugleich ist es auch das teuerste Zertifikat und bietet Ihnen und Ihren Kunden die größtmögliche Sicherheit und selbstverständlich auch die höchstmögliche Vertrauenswürdigkeit neben der HTTPS-Verschlüsselung. Dies wird dadurch erreicht das in der Adressleiste nicht nur das grüne Schloss und „https“ zu finden ist, sondern der Name des Unternehmens mit Rechtsform neben dem Schloss ausgeschrieben wird. Klickt man das Schloss an erhält man weitere Informationen zu Ihrem Unternehmen. Um solch ein SSL-Zertifikat zu erhalten, werden weitreichende Prüfungen (Anruf bei Ihnen) vorgenommen und die Ausstellung kann bis zu zwei Wochen ins Anspruch nehmen. Dieses Zertifikat bietet die höchstmögliche Sicherheit und Reputation bei Ihren Kunden und eignet sich daher besonders für Onlineshops, Cloudanbieter, Websiten mit Datenerhebung (Formulare) oder Waren und Dienstleistungen die direkt über Ihre Website verkauft werden sollen.

Verschlüsselung laut TMG (Telemedien Gesetz) jetzt Plicht
Laut dem Telemediengesetz (TMG) (§ 13 Abs. 7 TMG) ist eine Verschlüsselung durch HTTPS seit 25.07.2015 Plicht für denn der bspw. Daten über seine Internetseite erhebt und überträgt (Kontaktformulare, Bewerbungsformulare, Online-Bestellprozesse, etc. …). Kann abgemahnt werden sofern keine Verschlüsselung der Daten per HTTPS bzw. SSL-Zertifikat erfolgt. Dies geschieht in der Regel durch findige Rechtsanwälte die Internetseiten nach fehlender Verschlüsselung und Online-Formularen durchsuchen. Die Kosten können variieren und reichen bis zu mehreren hundert EURO pro Abmahnung. Zu dem droht ein Bußgeld vom Gesetzgeber: Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Suchmaschinen Ranking (Google)
Google hat vor einiger Zeit damit begonnen, die SSL-Verschlüsselung von Webseiten in seinen Algorytmus aufzunehmen. In Zukunft ist davon auszugehen, das dieser Faktor seitens Google und der anderen Suchmaschienen immer mehr an Bedeutung für das Ranking zunehmen wird. Diese Information war auch vor einiger Zeit ganz offiziel im Google-Webmaster-Blog nachzulesen. Unverschlüsselte Websites haben praktische keine Chance mehr auf denn vorderen Plätzen der Google-Suche zu landen. Wie gehen noch weiter und unsere Einschätzung nach, ist es das Google schon heute unverschlüsselte Websites ohne ein SSL-Zertifikat eines Vertrauenswürdigen Anbieters deutlich weniger Gewicht gibt als eben solchen mit SSL-Verschlüsselung. Wer also Wert auf optimales Google-Ranking legt sollte sich überlegen ein SSL-Zertifikat zu buchen und dauerhaft zu installieren. Zudem werden ab Anfang 2017 Browser wie Chrome oder Firefox vor Websites warnen die über kein validiertes SSL-Zertifikat verfügen.

Daten Verschlüsselung und Integrität
Als Betreiber eines Onlineshops oder einer Website über die Sie persönliche Daten erheben. Wie Name, Telefonnummer, E-Mail-Adresse und weitere Daten und diese über Onlineformulare in Ihr System oder an Ihre E-Mail-Adresse übertragen, unterliegen Sie denn deutschen Datenschutzbestimmungen. Mit einer Verschlüsselung über HTTPS bzw. SSL-Zertifikate decken Sie schon mal einen Bereich des Datenschutz ab. Außerdem werden Ihnen Ihre Interessenten oder Kunden größeres Vertrauen entgegen bringen wenn Sie Ihre Webseite verschlüsselt haben. Sobald Sie dies erledigt haben, können keine Daten mehr durch Dritte über das Internet abgegriffen werden und Ihre Website-Besucher werden bspw. Ihr Kontaktformular lieber nutzen, wenn Sie wissen das Ihre Internetpräsenz und damit auch die Übertragung von Formulardaten verschlüsselt sind.

Installation und Wartung
Die Installation von SSL-Zertifikaten zur Websiteverschlüsselung ist eine einmalige Angelegenheit und kann von einem Experten innerhalb von circa 30 Minuten bis 2 Stunden durchgeführt werden und ist anschließend Betriebsbereit, die Variation der Installationszeit ergibt sich dadurch was für eine Software zur Verwaltung Ihres Webservers eingesetzt wird. Laufende Wartungsarbeiten sind in der Regel nicht notwendig. Ein Extrem wichtiger Gesichtspunkt ist allerdings die ordnungsgemäße Installation, um kein Risiko einzugehen sollte hier ein Experte hinzu gezogen werden. Ein Grund ist beispielsweise eine korrekte Einrichtung von 301-Umleitungen damit Ihr Google-Ranking unverändert bleibt und Sie nicht durch die ungewollte Erzeugung von Dublicate Content (http: und https:) von Google in der Platzierung abgestraft werden. Ansonsten ist nur die jährliche Ernuerung des SSL-Zertifikats beim ausgebenden Anbieter notwendig (Sofern Sie keine längere Laufzeit gebucht haben.), erneute Einrichtungsarbeiten durch die Verlängerung des Zertifikats sind in der Regel nicht notwendig.

Kosten
Die Kosten variieren je nach Zertifikats-Typ und gebuchter Laufzeit. So können Sie das SSL-Zertifikat für Ihre Webseite für ein Jahr, zwei Jahre oder drei Jahre buchen. Bei der Buchung einer längeren Laufzeit als ein Jahr (Dies ist die Standartlaufzeit) gewähren die Ausgabestellen in der Regel auch Rabatte. Das günstigste Zertifikat fängt bei Circa 50.- EUR bis 100.- EUR jährlich an und das teuerste Zertifikat kostest circa 350.- EUR bis 400.- EUR, die Preise variieren je nach Hosting-Anbieter, diese geben die SSL-Zertifikate im Auftrag der Zertifizierungsstellen aus und sorgen für eine ordnungsgemäße Installation.

Fazit
Ich hoffe mein Artikel konnte Ihnen einen Überblick zum Thema HTTPS und SSL-Verschlüsselung geben. Bei weiteren Fragen zu Verschlüsselung, SSL-Zertifikaten, Installation und Betrieb können Sie sich jederzeit gerne telefonisch oder per E-Mail an mich wenden.

Ihr Guido Celli-Urbani, Inhaber Hosting-Complete
Telefon: 0174 / 8478338
E-Mail: guido.celliurbani@hosting-complete.de