Was sind SSL und HTTPS?

SSL (Secure Sockets Layer), oder mittlerweile TLS (Transport Layer Security), ist ein Verschlüsselungsprotokoll, das einen sicheren Datenaustausch im Internet bereitstellt. Hauptsächlich geht es um die Übermittlung von sensiblen Informationen zwischen Webbrowser und Webserver. Solche sensiblen Daten können z. B. Nutzername und Passwort in einem Login-Formular sein. Website-Nutzer können SSL am „S“ am Ende des „HTTP“ in der Adresszeile des Browsers erkennen – „HTTP“ wird somit zu „HTTPS“.

HTTPS (HyperText Transfer Protocol Secure) ist ein Kommunikationsprotokoll, das die Nutzerdaten beim Austausch mit der Website verschlüsselt und dadurch schützt.

 

So sieht HTTPS im Browser aus.

Jeder Browser stellt die Sicherheit einer Website auf unterschiedliche Weise dar. Gemeinsam haben alle, dass am Anfang der Adresszeile „https“ steht. Allerdings ist die gesamte Adresszeile in manchen Browsern erst nach einem Klick auf diese sichtbar.

Zusätzlich ist meistens noch ein kleines Schloss zu sehen, das Sicherheit symbolisiert.

HTTPS in der Adresszeile einiger verschiedener Browser
Von links oben nach rechts unten: Desktop (Chrome, Safari und Firefox) und Mobil (Safari und Chrome)

 

Was bringt eine Umstellung auf HTTPS?

 

Nutzerfreundlichkeit & Vertrauen in deine Marke werden verstärkt.

Internetnutzer erwarten mittlerweile HTTPS v. a. bei Unternehmens-Websites. HTTPS ist also eine gute Möglichkeit das Vertrauen der Kunden in die eigene Marke zu stärken. Im Shopping-Bereich ist es ein absolutes Muss, aber auch bei „normalen“ Websites gilt es mittlerweile als unseriös, wenn es nur eine HTTP-Version gibt.

 

Chrome weist seit Oktober 2017 auf nicht sichere Websites hin.

Der Schutz der Website-Besucher hat in modernen Browsern eine immer höhere Priorität. Deshalb prüfen Browser, ob HTTPS eingerichtet ist, sobald auf einer Website Nutzerdaten über Formulare übermittelt werden können.

Google weist aktuell durch folgenden Hinweis auf eine Änderung in der neuen Chrome-Version hin:

„… ab Oktober 2017 erscheint in Chrome (Version 62) die Warnung „NICHT SICHER“, wenn Nutzer auf einer HTTP-Seite Text in ein Formular eingeben oder eine HTTP-Seite im Inkognitomodus besuchen. … Die neue Warnung ist Bestandteil eines langfristigen Plans, alle über HTTP bereitgestellten Seiten als „nicht sicher“ zu kennzeichnen.“

Chrome ist mittlerweile der meistgenutzte Browser in Deutschland, sowohl im Desktop- als auch im Mobilbereich. Da sich der Browser automatisch aktualisiert, wird es nicht lange dauern, bis die meisten Nutzer diesen Hinweis sehen werden.

Aus technischer Sicht wird ein Formular mit dem Hinweis nicht schlechter funktionieren. Allerdings werden sich wohl viele Website-Nutzer etwas unbehaglich fühlen oder ein Kontaktformular aus Angst um Ihre Daten erst gar nicht mehr ausfüllen.

 

So wird der Hinweis in der Adresszeile im Chrome 62 aussehen (englische Version).
Quelle: Chromium Blog, Google (https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html)

 

HTTPS kann das Suchmaschinen-Ranking verbessern. (Stichwort SEO)

Schon seit einiger Zeit ist bekannt, dass Google Websites ohne HTTPS mit schlechteren Ergebnissen abstraft. Ein Zertifikat ist zwar kein Garant für ein gutes Ranking in Suchmaschinen, es kann dieses allerdings erheblich verbessern. Auf Dauer ist es auf jeden Fall eine sinnvolle Investition, da Google – wie oben zitiert – langfristig alle Websites ohne HTTPS als unsicher kennzeichnen will. Das wird sich dann wiederum negativ auf das Ranking auswirken.

 

Das Gesetz schreibt die Übertragung personenbezogener Daten in verschlüsselter Form vor.

Die genaue Rechtslage ist unklar und nicht komplett definiert. Website-Betreiber sind allerdings dazu verpflichtet, personenbezogene Daten durch anerkannte Verschlüsselungsverfahren zu sichern und bei der Übertragung vor Zugriff zu schützen. Ein SSL-Zertifikat sollte also auf jeden Fall bei Formularen mit personenbezogenen Daten eingesetzt werden.

Das Bayerische Landesamt für Datenschutzaufsicht prüft die Umsetzung dieser Vorschrift seit einiger Zeit aktiv. Website-Betreiber, die ungeschützte Formulare zur Verfügung stellen, müssen daher mit Bußgeldern rechnen.

UPDATE (09.01.2017)
Am 26. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Der darin enthaltene Grundsatz der Integrität und der Vertraulichkeit schreibt vor, dass Daten aus Kontaktformularen verschlüsselt übertragen werden müssen.

 

Was ist zu tun und welche Kosten gibt es?

 

So findest du das richtige Zertifikat für deine Website.

Schon eine kurze Suche im Internet ergibt eine Vielzahl an verschiedenen Zertifikaten. Welches das richtige für deine Website ist, besprichst du am besten mit dem Entwickler der Website und deiner IT-Abteilung – wenn vorhanden. Nicht jedes Zertifikat passt zu den technischen Voraussetzungen und durch die Wahl der richtigen Lösung können Kosten gespart werden.

Unter anderem kommt es darauf an, über wie viele Domains die Unternehmens-Website erreichbar ist. SSL-Zertifikate werden pro Domain ausgestellt. Im günstigsten Fall gibt es nur eine Domain, unter der die Website erreichbar ist, für die ein SSL-Zertifikat benötigt wird. (Weitere Domains können auf diese erste Domain weiterleiten.)

Es gibt auch kostenlose Zertifikate, diese müssen allerdings alle 90 Tage erneuert werden. Kostenlose Dienste wie Let’s Encrypt (https://letsencrypt.org/), die eine automatische Erneuerung übernehmen, werden leider von vielen Hostinganbietern nicht unterstützt. Wenn du also auf die Kosten eines Zertifikats verzichten willst, fällt dafür oft ein regelmäßiger Arbeitsaufwand an, der die Kosten eines Zertifikats deutlich übersteigen dürfte und außerdem sehr fehleranfällig ist.

In den meisten Fällen ist es daher sinnvoll und rentabler ein kostenpflichtiges Zertifikat zu wählen.

 

Oft muss auch der Website-Code angepasst werden.

Alle externen Inhalte, die in der Website eingebunden sind, müssen ebenfalls über HTTPS ausgeliefert werden. Dazu gehören u. a. Tools (z. B. Konfigurator, Tischreservierung) oder Scripte und Code-Erweiterungen (z. B. Web-Fonts, Plug-ins). Sämtliche eingebundenen Inhalte sollten überprüft werden. Gibt es eine HTTPS-Version, muss diese eingebunden werden (sofern das noch nicht der Fall ist). Gibt es keine HTTPS-Version, muss eine Alternative gefunden oder der Inhalt entfernt werden.

Außerdem sollte eine Weiterleitung aller HTTP-Seiten auf die HTTPS-Version eingerichtet werden.

Diese Themen solltest du auf jeden Fall mit deinem Website-Entwickler besprechen, da er sich am besten mit den technischen Inhalten Ihrer Website auskennt.

 

Gibt es auch negative Auswirkungen?

Ja. Leider kann es zu einer vorübergehenden Verschlechterung der Traffic-Zahlen deiner Website kommen. Google behandelt die Umstellung von HTTPS zu HTTP wie eine Websiteverschiebung mit URL-Änderung. Das bedeutet, dass sich die URLs sämtlicher Unterseiten und Links deiner Website minimal ändern.

Bei einer professionell und korrekt im Code eingerichteten Weiterleitung bleibt diese Wirkung allerdings gering und von kurzer Dauer. Und keine Sorge, deine Website wird weiterhin über die alten URLs und Links erreichbar sein. Der Nutzer wird lediglich – ohne es zu merken – auf die HTTPS-Variante weitergeleitet.

 

Bist du bereit für die Umstellung auf HTTPS?

Dann lass es deine Agentur oder Website-Entwickler wissen, damit diese deine Website individuell prüfen, um das passende Zertifikat zu finden und die nötigen Änderungen ermitteln zu können.

 

Quellen und weitere Informationen

https://support.google.com/webmasters/answer/6073543
https://www.kuketz-blog.de/ssl-zertifikate-und-ihre-unterschiede/
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html
https://www.heise.de/ix/meldung/Datenschutzgrundverordnung-Neue-Abmahngefahren-fuer-Websites-3936980.html