Ist Ihre Website gesichert? SSL-Zertifikate als Teil des Markenvertrauens!

Christian
Christian
Teilen:
  • facebook share icon
  • twitter share icon
  • linkedin share icon

Wenn wir im Internet unterwegs sind, hinterlassen wir nicht nur unbewusst (verwertbare) Fußspuren, sondern geben oftmals aktiv sensible Daten von uns preis. Ohne das wären beispielsweise Newsletter-Anmeldungen, Shop-Bestellungen oder Online-Banking ja auch nicht möglich. Da Phishing und Cyberkriminalität jedoch kontinuierlich zunehmen, wird die Sicherheit der eigenen Daten immer wichtiger.

Wahrscheinlich denken wir alle genau das und doch sind gerade Websites und Webshops noch nicht immer sicher. Beleuchten wir das Thema Sicherheit bei Websites daher einmal Schritt für Schritt. Sie werden sehen, dass es manchmal bereits kleine Aspekte sind, die das Vertrauen Ihrer Kunden in Ihre Marke stärken.

Sichere Websites dank HTTPS - doch was steckt dahinter?

Gesehen haben Sie es mit Sicherheit selbst auch schon ganz oft, dass immer mehr Websites die Abkürzung HTTPS statt HTTP vorangestellt haben. Wissen Sie denn auch wieso?

HTTPS - Hypertext Transport Protocol Secure

Hierbei handelt es sich um ein spezielles Protokoll zur sicheren Übertragung von Daten. Das Hypertext Transport Protocol Secure ist also ein Hinweis darauf, dass die eigenen Daten verschlüsselt übertragen werden. Bei einer unverschlüsselten Übertragung wäre es jederzeit möglich, dass die eigenen Daten abgefangen und ausgelesen werden - doch wer gibt freiwillig seine Kreditkarteninformationen oder ähnliches preis. Durch die Verschlüsselung und Authentifizierung wird gewährleistet, dass Datenübertragungen zwischen den richtigen Parteien stattfinden und nicht gecrackt wurden.

SSL - Secure Socket Layers

Die Voraussetzung, dass eine solch sichere Übertragung möglich ist, ist die Einbindung sogenannter SSL-Zertifikate auf der Website. Die Secure Socket Layers bezeichnen einen Code auf dem Webserver zur Verschlüsselung und Authentifizierung des Datenverkehrs im Internet. Hierdurch wird die Datenübertragung zwischen dem verwendeten Browser und dem angefragten Webserver gesichert. Auf den Webbrowser kommen wir gleich nochmal gesondert zu sprechen.

TLS - Transport Layer Security

SSL, TLS, was muss ich denn noch alles wissen? Keine Sorge, es ist im Grunde ganz einfach: die TLS stellen technisch eine Weiterentwicklung von SSL dar, die heute quasi der gängige Standard sind. Es hat sich jedoch eingebürgert, dass weiterhin von SSL die Rede ist. Wundern Sie sich also nicht, wenn Sie über diese beiden Abkürzungen stolpern und doch quasi von ein und der selben Sache die Rede ist.

Wie funktionieren SSL-Zertifikate eigentlich?

SSL Record Protocol

Streng genommen bestehen SSL-Zertifikate aus mehreren Protokollen, die beim Aufruf einer Website aktiviert werden. Zunächst wird über die bestehende Verbindung zwischen Ihnen und dem Webserver eine weitere Verbindung, das SSL Record Protocol, geschoben. Dieses Protokoll sorgt für die Verschlüsselung zwischen den beiden Computern und ist ein Aufzeichnungsprotokoll. Im Endeffekt erfolgt nur eine Prüfung, ob alle Eingaben am anderen Ende auch korrekt wieder ausgegeben werden oder ob es zu Abweichungen kommt.

SSL Handshake Protocol

Hier kommt dann nun ein weiteres Protokoll, dass SSL Handshake Protocol, ins Spiel. Die Namensgebung ist dabei keineswegs zufällig. Das Handshake Protocol sorgt quasi dafür, dass beide Computer vorm Austausch von Daten “per Handschlag” eine Identifizierung der Teilnehmer vornehmen und sicherstellen, dass die Daten nicht bei einer dritten Partei gelandet sind. Die beiden Computer verständigen sich auf einen Code und die Größe der jeweils zu übermittelnden Datenpakete und diese fließen in einem eigenen Algorithmus von einem Computer zum Anderen und werden dort defragmentiert und lesbar gemacht. Bei diesem Handshake treten die SSL-Zertifikate also in Erscheinung und fungieren als eine Art digitaler Personalausweis.  

Certification Authority

Wie im richtigen Leben, so ist es auch bei SSL-Zertifikaten so, dass diese nicht von Jedermann ausgestellt werden dürfen, um anerkannt zu sein. Es gibt hierfür verschiedene Zertifizierungsstellen, die Certification Authorities, über die ein Zertifikat beantragt wird. Die Authority prüft hierbei die Richtigkeit der gemachten Angaben und bürgt mit ihrer Signatur hierfür.  

Warum sollte ich ein SSL-Zertifikat einbinden?

Das Internet und seine Möglichkeiten werden immer größer und vor allem immer alltäglicher in der Nutzung. Von Kontaktanfragen, über Einkäufe, bis hin zur Steuererklärung erledigen wir mehr und mehr Dinge digital. Und geben somit natürlich auch viel von uns preis, sofern es nicht abgesichert ist. Die Sicherung von sensiblen Daten ist natürlich besonders wichtig, wenn es um Zahlungsströme oder Log-ins geht, wie zum Beispiel bei einem Webshop, aber auch bei einer “normalen” Website wird Sicherheit mehr und mehr zum Faktor. Folgende Daten werden im Übrigen durch ein SSL-Zertifikat verschlüsselt übertragen:

  • Registrierungsdaten, wie Name, Adresse, Telefonnummer oder E-Mail
  • Logins (i.d.R. Benutzername und Passwort)
  • Zahlungsinformationen, wie Bankverbindungen und Kreditkarteninformationen
  • Eingabeformulare
  • User-seitige Datei-Uploads

Es muss also nicht immer Geld im Spiel sein, wenn es um Sicherheit von Daten geht. Log-in-Bereiche und insbesondere Eingabeformulare finden sich nämlich auf sehr vielen Websites. Wir finden: egal welche Daten auf einer Website eingegeben werden müssen, sie haben es verdient, dass man sie sichert!

Welche Arten von SSL-Zertifikaten gibt es?

SSL-Zertifikate sind nicht alle gleich - und das wäre bei der Vielzahl von Nutzungsoptionen auch irgendwie merkwürdig. Es gibt daher verschiedene Stufen der Verschlüsselung und der Identifikation aus denen man das passende Zertifikat wählen kann.

Wieviel Bit sollten es denn sein?

Die unterschiedlichen Verschlüsselungsstärken werden in Bit angegeben. Je größer die Anzahl der verwendeten Bits für den Schlüssel, desto stärker ist die Verschlüsselung. Die meisten SSL-Zertifikate setzen von Haus aus auf eine starke Verschlüsselung mit 128 oder 256 Bit. Der “Schlüssel” der abgefragt wird, ist also wie bei einem Passwort, länger und daher schwerer zu knacken, weil die Anzahl der möglichen Kombinationen zunimmt. Eine 128 Bit-Verschlüsselung beispielsweise ist eine Billion Mal stärker als eine Verschlüsselung mit 40 Bit.

SSL-Zertifikate mit Domain-Validierung (DV)

Eine Domain-Validierung ist die niedrigste Stufe der Validierung. Hierbei wird durch die Certification Authority nur geprüft, ob der Antragsteller auch wirklich der Eigentümer der jeweiligen Domain ist. Es bleibt also ein Restrisiko, da keine Prüfung von Unternehmensdaten erfolgt. Dafür erfolgt eine schnelle Ausstellung seitens der Certification Authority und es ist in der Regel das günstigste Zertifikat.

SSL-Zertifikate mit Inhaber-Validierung (OV)

Eine Stufe weiter geht die Inhaber-Validierung, da hier neben dem Domain-Eigentum auch noch Unternehmensdaten, wie Handelsregistereinträge geprüft werden. Die überprüften Informationen sind durch den Website-Besucher einsehbar und somit ein weiterer Vertrauensfaktor. Das Zertifikat bietet einen höheren Grad an Sicherheit, ist in der Regel aber auch mit höheren monatlichen Kosten verbunden.

SSL-Zertifikate mit erweiterter Validierung (EV)

Das größtmögliche Maß an Sicherheit bietet die erweiterte Validierung, da hier die umfangreichste Authentifizierungsstufe zum Einsatz kommt. Es erfolgt eine noch strengere Überprüfung der Unternehmensdaten und Einhaltung der Zertifizierungsrichtlinien. Dafür erhält man den größtmöglichen Schutz und das eigene Unternehmen wird den Website-Besuchern direkt in der Adresszeile des Browsers angezeigt. 

Wildcard- und Multi-Domain-Zertifikate

Jede der genannten Zertifikats-Arten gibt es dabei in verschiedenen Ausführungen. Wenn man dies beim Antrag nicht explizit berücksichtigt, erhält man ein Einzelzertifikat für eine Domain. Hat man nun jedoch mehrere Domains oder verwendet Subdomains, wären diese nicht geschützt. Um eine Domain und entsprechende Subdomains zu schützen benötigt man das Wildcard-Zertifikat bei dem alle subdomains.beispieldomain.de mitgeschützt sind. Dies könnte zum Beispiel ein separater Log-in-Bereich sein.

Möchte man nun mehrere verschiedene Domains durch das Zertifikat schützen lassen, benötigt man ein Multi-Domain-Zertifikat. Dies könnten dann verschiedene Websites auf einem Server, beispielsweise für verschiedene Marken, sein, aber auch verschiedene Top-Level-Domains, wie “.de”, “.com” oder dergleichen die genutzt werden. Insbesondere wenn auch das verwendete Content Management System, wie beispielsweise TYPO3, multidomainfähig ist und man mehrere Websites aus einem Systemkern heraus betreibt, kann sich ein solches Zertifikat im Vergleich mit mehreren Einzel-Zertifikaten lohnen.  

Woran erkenne ich, dass meine Daten SSL-gesichert sind?

Ob eine SSL geschützte Datenübertragung vorliegt, zeigen uns die Browser direkt an. Und das seit dem 01. Januar 2017 sogar noch deutlicher als früher. Insbesondere Google Chrome geht hierbei vorneweg und kennzeichnet unsichere Websites aus. Daher wollen wir uns die Kennzeichnung anhand des Branchenführers einmal näher ansehen.

Ist eine Website sicher, können Sie dies zum einen an der URL erkennen. Schauen Sie einfach, ob dem www ein http:// oder ein https:// vorangestellt wird. Zusätzlich erfolgt eine Auszeichnung durch ein kleines Sicherheitsschloss und die Kennzeichnung “sicher”. Je nach Zertifikat gibt es zudem eine farbliche Auszeichnung in grün und die vorangestellte Nennung des Betreibers.

Sehen Sie ein eingekreistes "i"? Dann ist kein SSL-Zertifikat eingebunden oder es ist nicht korrekt implementiert. Manchmal erfolgt zudem der Hinweis, dass die Website ungesichert ist. Bei Klick auf das “i” wird beispielsweise der Hinweis “die Verbindung zu dieser Website ist nicht sicher”.

Websites, die mit einem Ausrufezeichen in einem roten Dreieck gekennzeichnet sind, sollten Sie nach Möglichkeit nicht besuchen und keine persönlichen Daten hinterlassen. Diese Auszeichnung steht für eine unsichere und/oder schädliche Website, bei der größere Probleme vorliegen.

Andere Browser verfahren im Übrigen ganz ähnlich und geben auch entsprechende Warnungen aus. Sie können in der Regel also gut erkennen, ob bereits eine gesicherte Verbindung vorliegt oder nicht. Falls dies nicht der Fall ist, sollten Sie darauf achten, ob Sie das Unternehmen kennen, denn auch wenn SSL-Zertifikate eigentlich bereits zum Standard zählen, gibt es viele, auch namhafte Unternehmen, die diese noch nicht einsetzen. Und wenn Sie sich nicht sicher sind, ob Sie eine Website weiterhin besuchen oder Daten eingeben wollen: hören Sie auf Ihr Bauchgefühl.

Was sind die Vorteile einer sicheren Übertragung?

Wie eingangs geschrieben, geht es im Leben ja auch immer um Vertrauen. Durch den Einsatz von SSL zeigt man seinen Website-Besuchern, Shop-Kunden et cetera also, dass einem die Sicherheit der persönlichen Daten wichtig ist. Ein SSL-Zertifikat gibt also ein Gefühl der Sicherheit und trägt dadurch zu einem positiven Markenvertrauen bei.

Gerade das Vertrauen und das Bauchgefühl sind doch enorm wichtig, wenn es darum geht eine Geschäftsbeziehung gleich welcher Art aufzubauen. Da sollte von vornherein also ein gutes Gefühl vorhanden sein. Fragen wie “bin ich wirklich auf der richtigen Website?”, “sind meine Daten auch sicher?” werden also sofort erkennbar durch die gezeigten Symbole mit ja beantwortet und Sie als seriöser Anbieter wahrgenommen. Die Sorge um die eigenen Daten ist weg und man kann sich auf das Wesentliche konzentrieren: Ihren Content. So sinken beispielsweise auch Absprungraten, wenn die User sehen, dass eine Verbindung sicher ist.

Für Sie als Unternehmer bietet ein SSL-Zertifikat gleich einer Versicherung zudem noch eine Schutzfunktion. Sofern ein SSL-Zertifikat gecrackt wurde und durch den Missbrauch von Daten Schaden entstanden ist, wird dieser bis zu bestimmten Summen reguliert.

Gibt es einen Zusammenhang zwischen SSL-Zertifikat und Google Ranking?

Oftmals heißt es bei Google Rankingfaktoren ja nur “es scheint, dass XYZ positiven Einfluss auf das Google-Ranking hat”. Google lässt sich meist nicht wirklich in die Karten gucken, welche Faktoren das Suchmaschinenranking in welcher Form beeinflussen. Das ist beim Thema Sicherheit anders!

Google selbst hat in seinem Blog bereits 2014 eine Stellungnahme veröffentlicht, die bestätigt, dass Sicherheit für das Unternehmen von großer Wichtigkeit ist. Google führte Testreihen zum Einfluss der Sicherheit auf das Nutzerverhalten durch. Am Ende der Tests lobte Google eine sichere Verbindung per HTTPS als Ranking Faktor aus. Gleichzeitig verwies man darauf, dass die Gewichtung in der Folge zunehmen könne.

Da Google es sich mit der Kennzeichnung der Websites ohne SSL-Zertifikat zum Ziel gesetzt hat, dass gesamte Internet sicherer zu gestalten, ist davon auszugehen, dass die Wichtigkeit der Sicherheit als Rankingfaktor seit 2014 weiter zugenommen hat.

Worauf muss man bei der Einbindung eines SSL-Zertifikats achten?

Die Einbindung der ausgestellten SSL-Zertifikate erfolgt auf dem hostenden Webserver. Entweder der eigene Hostinganbieter oder die betreuende Internetagentur helfen hierbei gerne und konfigurieren alles entsprechend. Wenn Sie beispielsweise TYPO3 verwenden, werden auch hier Anpassungen in der Konfiguration oder bei der Einbindung von JavaScript notwendig.

Es gibt rund um die Einbindung aber auch einige Dinge zu beachten, damit man im Zuge der Umstellung auf HTTPS nicht mit unerreichbaren Seiten oder Ranking-Einbußen kämpfen muss.

Abgelaufene Zertifikate vermeiden

Die beantragten Zertifikate sind in der Regel ein Jahr gültig. Sollte sich Ihr Zertifikat nicht automatisch verlängern, achten Sie darauf dies rechtzeitig von sich aus zu tun. Andernfalls würde eine entsprechende Warnmeldung ausgegeben, dass Ihre Website nicht mehr sicher ist. Das dies nicht gut für das Vertrauen in Ihr Unternehmen ist, ist sicher einleuchtend.

Weiterleitungen einrichten

Suchmaschinencrawler können Ihre HTTP und Ihre HTTPS-Website als zwei verschiedene Websites werten. Dies hätte zur Folge, dass Ihre Inhalte als Duplicate Content angesehen würden und sich Ihr Ranking verschlechtert. Die Lösung ist das Setzen von Weiterleitungen, sogenannten 301-Redirects, die Crawler und User automatisch von der HTTP auf die HTTPS-Version der Website führen.

Canonical-Tags anpassen

Sie haben auf Ihrer Website canonical tags gesetzt, um bei doppeltem Content eine URL zu bevorzugen? Dann müssen Sie diese nach Umstellung auf HTTPS anpassen. Sofern dies nicht geschieht, läuft der Verweis ins Leere und die Crawler betrachten beide URL als Duplicate Content.

Performance im Blick behalten

Durch die Verwendung von SSL und den beim Aufruf der Website durchgeführten Handshake, dauert der Seitenaufruf länger als vorher. Achten Sie daher darauf, dass Ihre Hardware dies kompensiert und die Ladezeit nicht zu groß wird. Dies hat zum einen negative Auswirkungen auf das Suchmaschinenranking und führt auch zu höheren Absprungraten auf Ihrer Seite. Ein Tipp: Je höher die Bit-Zahl Ihres SSL-Zertifikats, desto geringer sind die Performance-Einbußen.

Werbekonten anpassen

Sofern Sie auf Ihrer Website Werbung ausspielen und hierdurch zusätzliche Einnahmen generieren, kann die Umstellung auf SSL etwas komplizierter sein. Die großen Werbeanbieter sind in der Regel auf die Nutzung von SSL eingerichtet und stellen kein Problem dar. Doch gerade bei den Auktionsverfahren im Display-Netzwerk, kann eine Umstellung auf SSL zu Umsatzeinbußen führen, wenn man unverschlüsselte Anzeigen ausschließt. Sofern unverschlüsselte Elemente in einer Anzeige enthalten sind, kann auch dies wieder zu einem Warnhinweis und einer Nicht-Ausspielung der Anzeige führen.

Webmaster-Tools & Google Analytics umstellen

Da es sich bei der HTTP- und HTTPS-Version Ihrer Website, theoretisch, um zwei verschiedene Websites handelt, müssen Sie diese auch separat in den Webmaster-Tools und Google Analytics umstellen. Denken Sie dabei auch an Ihre XML-Sitemap.

Verlinkungen überprüfen

Prüfen Sie nach Umstellung auf eine SSL-Verschlüsselung auch Ihre internen Verlinkungen. Dies kann einen manuellen Eingriff erfordern, je nachdem, wie Ihr Content über Ihr CMS eingebunden wurde. Bei wichtigen, externen Links auf Ihre Website - beispielsweise von Branchenautoritäten - sollten Sie versuchen, den Link auf HTTPS umstellen zu lassen.

Fazit

Nicht nur aufgrund der Kennzeichnung unsicherer Websites durch die Browser und die positiven Rankingauswirkungen ist ein SSL-Zertifikat in 2017 aus unserer Sicht ein Muss. Website-User haben es verdient, dass ihre Daten sicher sind. Verdienen wir uns also mit vergleichsweise geringem Aufwand ein weiteres Stück Vertrauen unserer Kunden und sorgen dafür, dass sie sich bei uns wohl fühlen. Lassen Sie die Einbindung von einem Experten durchführen, damit Sie keine negativen Auswirkungen auf die Erreichbarkeit oder das Ranking Ihrer Website verspüren. Wenden Sie sich daher am Besten an die Internetagentur Ihres Vertrauens!

Christian
Christian
Teilen:
  • facebook share icon
  • twitter share icon
  • linkedin share icon

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich