Es gibt Grund zur Beunruhigung! Anlass dafür sind steigende Zahlen der Datendiebstähle und Hackerangriffe auf Server weltweit, die es auf die Daten Ihrer Kunden abgesehen haben. Vor allem personenbezogenen Daten, die Nutzer auf Ihrer Seite hinterlassen, sind in Gefahr und müssen möglichst bald nachhaltig gesichert werden.
Aber jetzt erstmal langsam… Warum auf einmal SSL-Zertifikate?
Am 25. Mai tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft, mit dem Ziel, einen einheitlichen Datenschutz in der gesamten EU zu gewährleisten. Die DSGVO betrifft alle Internetseiten, die personenbezogene Daten abfragen. Hierzu zählen zum Beispiel:
- E-Mail Adressen (Newsletter Anmeldungen, Downloads)
- Login-Daten, die von Nutzern im Browser eingegeben werden
- Kontakt- oder Bestellformulare
Eine allumfassende Maßnahme, diese sensiblen Daten zu schützen und Vertrauen zu schaffen, bilden SSL-Zertifikate.
Es lohnt sich, dieses Thema genauer zu betrachten, da diese Zertifikate für das Hosting von Webseiten relevant sind. Wir haben die wichtigsten Informationen zu den SSL-Zertifikaten für Sie zusammengetragen.
Was bedeutet SSL?
Die Abkürzung SSL in SSL-Zertifikaten steht für Secure Sockets Layer. Eigentlich wird das originale SSL Format gar nicht mehr verwendet, da es durch den neuen und sicheren Transport Layer Security Standard (TLS) ersetzt wurde. Der Begriff SSL ist jedoch allgemein bekannter und wird deswegen immer noch häufiger verwendet.
SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden.
Diese Verbindung wird somit als sicher erachtet und ist erkennbar durch die Bezeichnung https anstelle von http am Anfang der Domain Ihrer Website.
Mit der Bezeichnung http ist Ihre Website also nicht mehr gesichert und das wird den Nutzern auch angezeigt. Ein verschlüsselter Aufruf wird also immer durch https angezeigt! Leichter zu verstehen ist folgende Gleichung:
HTTPS = HTTP + TLS.
Eine verschlüsselte Datenübertragung wird also nur gewährleistet, wenn http und TLS/ SSL zusammen agieren.
Warum sollte ich meine Webseite verschlüsseln?
Ab dem 25. Mai 2018 muss jede Webseite, die persönliche Daten von Nutzern abfragt, über eine sichere SSL-Verbindung verfügen!
Das ist vor allem wichtig für Kontakt- oder Bestellformulare, Online-Shops sowie Newsletter Anmeldungen. Auch in Login- Bereichen und beim Online- Banking muss zwingend ein SSL-Zertifikat eingebunden werden. Schon die Abfrage der E-Mail Adresse eines Nutzers zählt dazu! Auch wenn Sie Finanzdaten im Internet abfragen, muss Ihre Webseite sicher sein.
Ohne Verschlüsselung besteht eine Sicherheitslücke, sodass die Daten als Klartext eingesehen und von Datendieben manipuliert werden können.
Woran erkenne ich ein SSL-Zertifikat, also eine sichere Webseite?
Aktuell erkennen Sie die Sicherheit einer Seite an dem kleinen Icon in der URL-Leiste. Ist oben links in der Adresszeile Ihres Browsers ein kleines Schloss-Icon zu sehen, so ist ein SSL-Zertifikat und damit eine sichere Übertragung Ihrer Kundendaten eingebunden.
Gut zu wissen: Die Art des Zertifikates und die Versionsnummer ist mit einem Klick auf das Schloss-Symbol von jedem einsehbar.
Wie funktioniert die Verschlüsselung durch SSL?
Um eine verschlüsselte Verbindung vom Browser zum Server herstellen zu können, muss vom Browser erkannt werden, ob der Server auch zu der Domain gehört, von der aus die Daten gesendet werden. Um diese Verifizierung durchführen zu können, benötigt die Webseite ein SSL-Zertifikat.
Bei der Beantragung eines SSL-Zertifikates wird ein öffentlicher Schlüssel hinterlegt, mit dem die Daten während des Sendevorgangs codiert werden. Dieser öffentliche Schlüssel ist für jeden frei einsehbar. Wichtig ist nun, dass die zum Server gesendeten Daten mit diesem öffentlichen Schlüssel zwar codiert, aber nicht mehr decodiert werden können. Um die Daten wieder zu entschlüsseln und somit lesbar zu machen, wird lokal auf diesem verifizierten Server ein privater Schlüssel hinterlegt, mit dem die Nachricht wieder entschlüsselt werden kann.
Wie eine Nachricht also verschlüsselt wird, kann man problemlos jedem frei zugänglich unter dem Schloss-Symbol des Browsers anzeigen. Den magischen Schlüssel zum Decodieren dieser Nachricht allerdings, sollte man tunlichst hinter verschlossenen Server-Türen arbeiten lassen, um mit Nutzerdaten datenschutzkonform umzugehen.
Welche SSL-Zertifikate gibt es und wie unterscheiden sie sich?
Die unterschiedlichen Zertifikatsstufen repräsentieren die unterschiedlichen Verifizierungsverfahren. Hierbei geht es vor allem darum, dem Nutzer ein hohes Maß an Vertrauen zum Webseitenbetreiber zur Verfügung zu stellen, indem mit einer hohen Validierung (OV oder EV) die Unternehmensdaten von einer dritten Instanz geprüft werden. Somit kann der Nutzer davon ausgehen, dass hinter der Domain auch das Unternehmen steckt, bei dem im Falle eines Online Shops zum Beispiel gekauft wurde.
Eine eigene IP-Adresse ist nicht zwangsläufig für jedes SSL-Zertifikat erforderlich. Nur wenn Ihre Webseiten Besucher mit älteren Browsern im Internet unterwegs sind, könnte es passieren, dass sie eine Warnung angezeigt bekommen. Falls Sie im Zuge einer Analyse herausbekommen, dass Ihre Nutzer mit neuen Browsern surfen und der Teil von alten Browsern verschwindend gering ausfällt, stellt sich die Frage, ob eine eigene IP Adresse wirklich von Nöten ist. Wir empfehlen es grundsätzlich schon, da auch dieser verschwindend geringe Teil Ihrer Nutzer durch die Warnung am Kauf oder an der Anfrage auf Ihrer Website gehindert werden könnte.
SSL-Zertifikat Vergleich:
Die drei gängigsten SSL-Zertifikate haben wir für Sie zusammengestellt:
- Domain-Validated-Zertifikat (DV)
- Organisation-Validation-Zertifikat (OV)
- Extended-Validation-Zertifikat (EV)
- Beim DV- Zertifikat wird lediglich die Domain der Seite bestätigt. Das bildet die einfachste Vertrauensstufe und ist auf einen Domainnamen ausgelegt. Diese SSL Zertifikate werden lediglich durch eine E-Mail Nachricht validiert und sind dementsprechend in wenigen Minuten verfügbar zur Einbindung. Sie eignen sich somit wunderbar für Webprojekte, für die keine Unternehmensvalidierung notwendig ist.Durch das Schlösschen-Symbol im Browser wird dem Nutzer eine sichere Verbindung angezeigt. Ein Klick auf das Schloss enthüllt die Laufzeit und die Zertifizierungsstelle als grundsätzliche Informationen.
- Das OV- Zertifikat hingegen bestätigt neben dem Inhaber der Domain auch, für welches Unternehmen das Zertifikat ausgestellt wurde. Im Schloss-Symbol findet man neben Laufzeit und Zertifizierungsstelle auch, für welches Unternehmen das Zertifikat ausgestellt wurde. Somit bietet dieses SSL-Zertifikat einen deutlich höheren Validierungs-Grad und schafft zusätzliches Vertrauen der Nutzer, die den Betreiber des Projektes jederzeit überprüfen können. Dieses Zertifikat eignet sich perfekt für Online Shops oder andere Webprojekte, die Login-Daten von Nutzern abfragen. Verifiziert werden Sie hier in wenigen Tagen Bearbeitungszeit.
- Das EV- Zertifikat bietet die umfangreichste Validierung an und schafft somit maximales Vertrauen beim Nutzer. Hier wird ganz konkret geprüft, ob und wie Unternehmen registriert sind. Auch Adressen und Telefonnummern werden überprüft, sowie die Personen, die dieses Zertifikat beantragen wollen. Dadurch ist der Ausschluss von Betrugsfällen zuverlässig möglich. In der Adresszeile ist bei diesem Zertifikat zusätzlich der Firmenname in der Browserleiste in grün zu finden. Dieses SSL-Zertifikat eignet sich hervorragend für Unternehmen, die im Finanzsektor aktiv sind oder zum Beispiel Kreditkartendaten von Kunden abfragen. Das Zertifizierungsverfahren dauert bei diesen Zertifikaten logischerweise am längsten, da Unternehmensdaten von der Zertifizierungsstelle genauer geprüft werden. Teilweise meldet sich die Stelle sogar telefonisch bei den Unternehmen, um Daten zu validieren.
Eine besondere Art des SSL-Zertifikates bildet das Wildcard Zertifikat. Dieses ist vor allem dann eine sinnvolle Anschaffung, wenn mehrere Hostnamen unter einer Domain betrieben werden. Mit Wildcard Zertifikaten lassen sich alle Subdomains integrieren und verschlüsselt verbinden. Somit kann mit einem Wildcard Zertifikat zum Beispiel neben der www.ihredomain.de auch der mail.ihredomain.de oder shop.ihredomain.de Host gesichert werden. Wildcard Zertifikate verringern somit den Aufwand, den man sonst hätte um hier einzelne Zertifikate einzubinden und zu verwalten. Je nach Anzahl der Hostnamen ist es außerdem deutlich günstiger, eine einzige Wildcard Zertifikat zu verwenden, statt für die einzelnen Hosts Zertifikate zu erwerben.
Gerne beraten wir Sie dazu, welches Zertifikat in Ihrem Webprojekt eingebunden werden sollte. Sprechen Sie und dazu einfach an!
HTTPS kann zu Ranking Verbesserungen führen
Durch eine sichere Verbindung einer Internetseite erlangt der Nutzer ein größeres Vertrauen zu deren Inhalten und muss keine Angst um die Sicherheit seiner E-Mail-Adressen oder Passwörter haben. Seine Daten sind vor Manipulationen geschützt und können nicht von Hackern eingesehen werden.
Diese beiden Faktoren haben bei Google bereits in 2014 solch eine hohe Gewichtung erhalten, dass sich die Suchmaschine dazu entschloss, außer der Reihe ein Ranking-Update heraus zu bringen, mit dem alle Seiten, die über eine sichere https- Verschlüsselung verfügen, einen Ranking-Boost erhalten. Sollten Sie also mit Konkurrenten um Plätze kämpfen, die noch kein SSL-Zertifikat eingebunden haben, könnte die Umstellung (neben vielen, vielen weiteren Faktoren) dazu führen, dass Sie diese überholen.
Fazit
Wichtig bleibt für alle Webseitenbetreiber, dass Ihre Seite im Internet mit einem SSL-Zertifikat gesichert werden muss! Am 25. Mai tritt die neue Datenschutzverordnung in Kraft. Das ist der Stichtag zum Wechsel auf SSL. Hinsichtlich der Dauer einzelner Zertifizierungsverfahren sollten sich Webseitenbetreiber, die noch keine https Domain betreiben, schnellstmöglich um eine sichere Verbindung ihrer Seite kümmern.
Ohne die Verschlüsselung der persönlichen Daten Ihrer Kunden, besteht nicht nur eine erhebliche Sicherheitslücke im Missbrauch von Daten, sondern auch im Verlust des Vertrauens Ihrer Nutzer. Zudem werden es sich gewiefte Abmahnanwälte nicht entgehen lassen, Webseitenbetreiber anzumahnen, die Nutzerdaten nicht nach der neuen Datenschutzverordnung verschlüsseln.
Um Ihre Website durch SSL zu sichern, stehen Ihnen zahlreiche Möglichkeiten zur Verfügung. Von der Sicherung durch Domain-Validierung bis zu Extended- Zertifikaten, je nachdem, welche Verschlüsselung zu Ihrem Webprojekt passt. Hier ist die Unterstützung durch Experten sinnvoll. Wenn Sie Fragen oder Wünsche haben, unser SEO-Team berät Sie gern. Kontaktieren Sie uns und wir unterstützen Sie beim Umzug in das sichere Internet.