Fuseon

Blog

SSL-Verschlüsselung: Bedeutung des SSL-Zertifikats für SEO

WARUM BRAUCHT JEDE WEBSITE EIN SSL-ZERTIFIKAT? Internetseiten ohne SSL-Zertifikat haben immer mehr das Nachsehen – nicht nur bei Suchmaschinen, sondern auch bei den Usern. Google hat ...

Warum braucht jede Website ein SSL-Zertifikat?

Internetseiten ohne SSL-Zertifikat haben immer mehr das Nachsehen – nicht nur bei Suchmaschinen, sondern auch bei den Usern.

Google hat bereits 2014 offiziell angekündigt, dass die Nutzung eines SSL-Zertifikats für die eigene Website in den Kreis der Rankingfaktoren aufgenommen wird. Webinhalte, die über eine verschlüsselte Verbindung ausgeliefert werden, sollen gegenüber Websiten ohne SSL-Verschlüsselung somit einen Vorteil haben.

Google wollte damit Websitebetreiber „unter Druck setzen“, endlich auf HTTPS-Verbindungen umzusteigen. Ab Juli 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden. Durch dieses Vorgehen will Google die verschlüsselte Datenübertragung im Web fördern und zum gängigen Standard etablieren.

Was es mit der SSL-Verschlüsselung auf sich hat und warum Websiten nicht nur des Rankings wegen auf ein SSL-Zertifikat setzen sollten, erfährst du in unserem nachfolgenden bereits dritten SEO Basics-Artikel.

Was ist SSL?

Die Abkürzung SSL steht für „Secure Sockets Layer“ und verschlüsselt die Datenkommunikation zwischen Client (User-Computer) und Server. Ist diese auf einem Webserver installiert, werden Sicherheitsschloss und HTTPS-Protokoll über Port 443 aktiviert und somit eine sichere Verbindung vom Webserver zum Browser ermöglicht. Daten können zwischen Computern ausgetauscht werden, ohne dass Dritte „mitlesen“ können. Neben dem Abrufen von Website-Daten, wird eine SSL-Verschlüsselung vor allem auch für die sichere Übertragung von E-Mails, Kreditkartentransaktionen oder Logins verwendet.

Hauptaufgaben eines SSL-Zertifikats:

  1. Authentifizierung der Kommunikationspartner durch asymmetrische Verschlüsselungsverfahren
  2. Vertrauliche End-to-End-Datenübertragung durch Nutzung eines gemeinsamen Sitzungsschlüssels
  3. Sicherstellung der Integrität der transportierten Daten

Vergleich von SSL & TLS, sowie HTTP & HTTPS

Unterschied SSL & TLS

Neben der Abkürzung SSL findet man oft die Bezeichnung TLS oder SSL/TLS. Die Abkürzung TLS steht hierbei für „Transport Layer Security“ und ist die standardisierte Weiterentwicklung des Secure Socket Layers-Protokolls von Netscape. Die Version 3.1 von SSL wurde zum Standard erklärt und in TLS 1.0 umbenannt. Umgangssprachlich hat sich der Begriff SSL jedoch besser etabliert, weshalb er meist verwendet wird. Spricht man heutzutage also von SSL, ist eigentlich eine TLS-Verschlüsselung gemeint.

Unterschied HTTP & HTTPS

Durch das „Hypertext Transfer Protocol“, kurz HTTP, wird das Laden von Websiten vom Server in einem Browser ermöglicht. Die verschlüsselte Version „Hypertext Transfer Protocol Secure“ oder kurz HTTPS schafft eine abhörsichere Verbindung zwischen Website-Betreiber und Browser. Im technischen Sinne ist HTTPS allerdings kein eigenständiges Protokoll, sondern bezeichnet die Verwendung von HTTP über SSL bzw. TLS. Voraussetzung für die Umstellung auf HTTPS ist die Nutzung eines SSL-Zertifikats.

Wie erkennt man SSL-gesicherte Seiten

Wird eine Webseite über eine SSL-gesicherte Verbindung geladen, so wird dies anhand der im Browser angezeigten URL sichtbar. Statt https:// ist der Internetadresse nun https:// vorangestellt.

Außerdem kennzeichnen Internetbrowser geschützte Seiten zusätzlich mit einem Schloss-Symbol oder dem Zusatz „Sicher“ bzw. „Unsicher“ für ungeschützte Seiten. Klickt man auf diese Symbole, können zusätzliche Informationen zum SSL-Zertifikat abgerufen werden.

Wenn es mit der sicheren Verbindung zur Website oder der Einbindung des Zertifikats Probleme gibt, wird dies in der Browserleiste mit einem roten Warndreieck angezeigt.

Wie funktioniert SSL?

Die SSL Technologie wird verwendet, um die Übertragung von Informationen im Internet abzusichern.

Wird eine verschlüsselte Webseite aufgerufen, so antwortet der Host-Server zunächst mit dem SSL-Zertifikat. Dieses dient als digitaler Personalausweis, der von einer Zertifizierungsstelle (Certificate Authority, kurz CA) vergeben und durch einen Signaturprüfschlüssel einer Person oder Organisation zugeordnet werden kann. Damit werden Identität des Servers und Gültigkeit der Verschlüsselung überprüft.

Ist mit dem Zertifikat alles in Ordnung, startet das „SSL Handshake Protokoll“. Die persönlichen Identifikationsdaten der Teilnehmer werden übermittelt und die Fragmentierungs- und Verschlüsselungsverfahren ausgehandelt. Die beiden Rechner eignen sich also auf einen einheitlichen Verschlüsselungscode. Erst jetzt können Daten codiert versendet und vom Empfangsrechner decodiert werden.

Sollten diese Daten während des Transfers von Dritten abgefangen werden, sind sie aufgrund ihrer Verschlüsselung mit Hilfe der Public Key Infrastructure (PKI) unbrauchbar.

Ein digitales SSL Zertifikat enthält:

  • identifizierende Informationen über die Website,
  • Informationen zum Austeller des Zertifikats,
  • die Gültigkeitsdauer des Zertifikats,
  • und eine einzigartige algorithmische Signatur.

Die Signatur ist der wichtigste Teil des Zertifikats, da mit ihr bestätigt wird, dass genau mit dem gewünschten Kommunikationspartner verschlüsselt kommuniziert werden kann. Dies wird vor allem relevant, wenn es um sensible Daten wie Zahlungsinformationen oder Passwörter geht.

Woher bekommt man ein SSL-Zertifikat?

Für jedes SSL-Zertifikat ist eine eigene IP-Adresse erforderlich. Ihre Einbindung erfolgt auf dem Server, auf dem sich der Webspace einer Website befindet. Daher bieten die meisten Hosting-Dienste neben Webspaces und Domains auch SSL-Zertifikate an.

Das Prinzip der SSL Zertifikate basiert auf Vertrauen. Weltweit existieren zahlreiche Zertifizierungsstellen, die Zertifikate mir ihrer eigenen digitalen Unterschrift absegnen. Bevor man blind SSL-Zertifikate bezieht und einbindet, sollte man stets auf die Vertrauenswürdigkeit des Ausstellers achten. Mit sogenannten Root-Zertifikaten werden vertrauenswürdige Zertifikatsaussteller verifiziert.

Welche SSL-Zertifikate gibt es? Welches SSL-Zertifikat für die eigene Website?

Für jeden Bedarf gibt es das richtige SSL-Zertifikat zum entsprechenden Preis. Die meisten Zertifizierungsstellen unterscheiden zwischen drei SSL Varianten, die sich anhand folgender Kriterien unterscheiden:

  • Stärke des RSA-Kryptosystems (2048 Bit sind der empfohlene Standard, besser sind 4096 Bit)
  • Domain- oder Identitätsvalidierung
  • Browserkompatibilität
  • Zertifikatsart: Single, Wildcard (Haupt- und Subdomains) oder Multidomain

1. Domain Validation (DV): niedrigste Verschlüsselungsstufe

Das meist verwendete Zertifikat ist die Domain Validation, da sie quasi sofort ausgestellt werden kann. Die Domain wird lediglich mit einer simplen E-Mail-Bestätigung verifiziert. Die Zertifizierungsstelle prüft hier also nur, ob der Antragssteller auch Inhaber der Domain ist.

Beim Klick auf das SSL-Schloss in der Adresszeile wird bei der Domain Validation der Domainname angezeigt.

Diese einfachste Form eines SSL Zertifikats eignet sich für kleine Websiten, Foren, Blogs oder Mailserver.

2. Organization Validation (OV): mittlere Verschlüsselungsstufe

Bei der Organisation Validation wird zusätzlich zur Domain- eine Identitätsprüfung vorgenommen. Ein Unternehmen muss entsprechende Dokumente einreichen, die ihn als Inhaber der Domain bestätigen. Meist wird ein Handelsregisterauszug angefordert, die Bankdaten abgeglichen und telefonisch Kontakt aufgenommen.

Neben dem Domainnamen wird als Zertifikatsinhaber das Unternehmen und dessen Standort angezeigt

Dieser Zertifikatstyp eignet sich für Organisations- und Unternehmensseiten, sowie Seiten mit Kontaktformularen und Webmails.

3. Extended Validation (EV): höchste Verschlüsselungsstufe

Extended Validation Zertifikate unterscheiden sich in erster Linie optisch von den beiden anderen Varianten. Mit einer grünen Adresszeile wird dem Internetuser auf Anhieb vermittelt, dass es sich um eine vertrauenswürdige Verbindung handelt. Auch hier wird zur Validierung ein Domaincheck und eine Identitätsprüfung durchgeführt. Zusätzlich wird überprüft, ob der Antragsteller tatsächlich im genannten Unternehmen angestellt ist und dort über die Befugnis verfügt, SSL-Zertifikate zu erwerben.

Mit einem Extended Validation Zertifikat wird eine möglichst hohe Browser Akzeptanz angestrebt. Zusätzlich zur grünen Browserzeile werden wie bei der OV der Domain- und Unternehmensname, sowie dessen Standort in den Zertifikatdetails genannt.

Dieses Zertifikat ist für Online-Banking und Webpräsenzen von Geldinstituten zu empfehlen.

Wie SSL-Zertifikat in die Website einbinden?

Viele Webhoster bieten mittlerweile standardmäßig beim Erwerb eines Webspaces ein kostenloses SSL-Zertifikat an.

Muss das Zertifikat zusätzlich von einer externen CA beantragt werden, so wird in der Regel eine detaillierte Implementierungsanleitung mitgeschickt. Hier muss das SSL-Zertifikat auf dem Server installiert und die zu schützenden Seiten, Domains und Subdomains manuell gewählt werden. Ob das Zertifikat auf allen Seiten korrekt eingebunden wurde, kann beispielsweise mit dem SSL Checker von sslshoper kostenlos überprüft werden.

SSL-Zertifikat in WordPress einbinden:

SSL-Zertifikat Checklist: Worauf sollte man beim Wechsel zu HTTPS achten?

Wer eine Website bereits von Anfang an mit dem verschlüsselten HTTPS Protokoll aufsetzt, hat es meist leichter. Die HTTP- und HTTPS-Version einer Website sind aus SEO-Sicht vollkommen andere Domains. Muss eine ungesicherte HTTP-Seite auf HTTPs umgestellt werden, gilt es, einiges zu beachten:

Mixed Content Error: Fehler auf SSL-Seiten beheben

HTTPS-Seiten sind durch ein SSL-Zertifikat verschlüsselt und somit geschützt. Stellt eine HTTPS-Website allerdings auch Content über das reguläre HTTP-Protokoll zur Verfügung, ist die Verbindung nur teilweise verschlüsselt. Derartige Websiten werden als Mixed Content-Seite bezeichnet.

Der unverschlüsselte Inhalt kann durch Sniffer und Man-in-the-Middle-Angriffe verändert werden und den Schutz der gesamten Website aufheben. Aktuelle Browser-Versionen blockieren diese Inhalte und spielen bei Abruf von Mixed Content-Seiten Warnungen oder Fehlermeldungen aus.

Es gibt zwei Arten von Mixed Content:

  • Mixed passiver Content

Webinhalte, die in die Website eingebunden sind oder ausgeliefert werden. Hierzu zählen Bilder, Videos, Audio-Dateien und Object-Sub Ressourcen.

  • Mixed aktiver Content

Webinhalte, die Teil des Document Objects Model (DOM) einer Website sind und diese nachhaltig verändern können. Dazu gehören Links, Skripte (z. B. JavaScript), XML-http-Request-Objekte, iFrames, CSS-Dateien und Object-Daten-Attribute.

Um diesen Fehler zu beheben, sollten HTTP-Inhalte entfernt und durch HTTPS ersetzt werden. Je nach eingesetztem Content-Management-System reicht es, Website-Pfad in der Konfigurationsdatei des Systems anzupassen. Bei WordPress sind jedoch absolute Pfade in der Datenbank hinterlegt, weshalb das Anpassen direkt in der Datenbank nötig ist.

Mit Online Crawlern wie SSL Check oder dem Desktop Crawler HTTPSChecker kann schnell und einfach überprüft werden, welche Links und Medien den Mixed Content-Fehler verursachen.

SSL-Zertifikat & DSGVO: Wann ist eine SSL-Verschlüsselung Pflicht?

Die neue Datenschutz Grundverordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden, ist am 25. Mai 2018 in Kraft getreten.

Die neue DSGVO legt in Art. 32 Abs. 1 fest, dass Websitebetreiber technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen treffen müssen. Darunter wird ausdrücklich die Verschlüsselung personenbezogener Daten als technische Maßnahme genannt.

Spätestens seit diesem Stichtag ist daher eine SSL-Verschlüsselung für alle Websiten verpflichtend, die personenbezogene Besucherdaten abfragen. Darunter fallen alle Seiten mit einem Online-Formular, wie beispielsweise Kontakt- und Bestellformulare oder auch Newsletteranmeldungen.

Entsprechende Regelungen gab es bereits vor der DSGVO, doch wurden diese aufgrund ungenauer Definitionen oft nicht stringent umgesetzt. Mit der aktuellen Verordnung kann bei nicht Einhaltung jedoch ein Bußgeld von 20 Millionen Euro oder bis zu 4% des Jahresumsatzes anfallen. Bei großen Unternehmen und Konzernen haben EU-Mitgliedstaaten zudem das Recht, weitere Sanktionen einzuführen.

Neben der Gefahr des unsicheren Datentransfers, öffnet man mit einer fehlenden SSL-Verschlüsselung zudem Tür und Tor einer schnellen Abstrafung durch Konkurrenten in Form von wettbewerbsrechtlichen Abmahnungen.

Google Chrome kennzeichent ab Juli 2018 Websiten ohne SSL-Zertifikat

Mit dem Launch der Chrome-Version 68 im Juli 2018 werden alle Websiten, die nicht über ein HTTPS-Protokoll laufen, mit dem „Unsicher“-Tag versehen. Diese Kennzeichnung gibt es für Login-Seiten oder Seiten, die persönliche Daten anfordern, bereits seit Monaten – auch bei anderen Browsern. Bei Chrome wird in Zukunft aber die gesamte Website mit einem Warnhinweis markiert, auch wenn auf der aktiven Unterseite keine personenbezogenen Daten abgefragt werden. Mit diesem Schritt will Google Websitebetreiber dazu bringen, auf verschlüsselte Verbindungen umzusteigen.

Um Entwicklern die Umstellung zu erleichtern, bietet Google Mixed Content Audits an und empfiehlt dabei kostenfreie Zertifikate der Initiative Let’s Encrypt. Dabei handelt es sich um eine automatisierte Open Certificate Authority, die unter anderem von Google, Mozilla und der Electronic Frontier Foundation getragen wird.

Was bringen kostenlose SSL-Zertifikate von Let’s Encrypt?

Fazit

Das Einbinden einer SSL-Verschlüsselung in Webseiten ist in der erfolgreichen Suchmaschinenoptimierung und -werbung unabdingbar. Auch ohne technisches Know-How ist die Implementierung eines SSL-Zertifikats machbar und bringt auf lange Sicht Vorteile für User und Webmaster.

Doch oft leichter gesagt als getan. Gerade bei der Umstellung von HTTP auf HTTPS können zahlreiche Schwierigkeiten auftreten (Mixed Content, fehlende Weiterleitungen, etc.). In solchen Fällen beraten wir dich gerne über mögliche Problemquellen und nehmen dir auf Wunsch auch die gesamte Umstellung, Fehleranalyse und -behebung ab.

Checkliste: On Page-Optimierung

Kontaktiere uns

Bitte beantworte die folgenden Fragen, damit wir uns besser auf dein Anliegen vorbereiten können.