SSL- Zertifikat wird ab dem 25. Mai Pflicht!

Es gibt Grund zur Beunruhigung! Anlass dafür sind steigende Zahlen der Datendiebstähle und Hackerangriffe auf Server weltweit, die es auf die Daten Ihrer Kunden abgesehen haben. Vor allem personenbezogenen Daten, die Nutzer auf Ihrer Seite hinterlassen, sind in Gefahr und müssen möglichst bald nachhaltig gesichert werden.

 

Aber jetzt erstmal langsam… Warum auf einmal SSL-Zertifikate?

Am 25. Mai tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft, mit dem Ziel, einen einheitlichen Datenschutz in der gesamten EU zu gewährleisten. Die DSGVO betrifft alle Internetseiten, die personenbezogene Daten abfragen. Hierzu zählen zum Beispiel:

  • E-Mail Adressen (Newsletter Anmeldungen, Downloads)
  • Login-Daten, die von Nutzern im Browser eingegeben werden
  • Kontakt- oder Bestellformulare

Eine allumfassende Maßnahme, diese sensiblen Daten zu schützen und Vertrauen zu schaffen, bilden SSL-Zertifikate.

Es lohnt sich, dieses Thema genauer zu betrachten, da diese Zertifikate für das Hosting von Webseiten relevant sind. Wir haben die wichtigsten Informationen zu den SSL-Zertifikaten für Sie zusammengetragen.

 

Was bedeutet SSL?

Die Abkürzung SSL in SSL-Zertifikaten steht für Secure Sockets Layer. Eigentlich wird das originale SSL Format gar nicht mehr verwendet, da es durch den neuen und sicheren Transport Layer Security Standard (TLS) ersetzt wurde. Der Begriff SSL ist jedoch allgemein bekannter und wird deswegen immer noch häufiger verwendet.

 

SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden.

 

Diese Verbindung wird somit als sicher erachtet und ist erkennbar durch die Bezeichnung https anstelle von http am Anfang der Domain Ihrer Website.

Mit der Bezeichnung http ist Ihre Website also nicht mehr gesichert und das wird den Nutzern auch angezeigt. Ein verschlüsselter Aufruf wird also immer durch https angezeigt! Leichter zu verstehen ist folgende Gleichung:

HTTPS = HTTP + TLS.

Eine verschlüsselte Datenübertragung wird also nur gewährleistet, wenn http und TLS/ SSL zusammen agieren.

 

Warum sollte ich meine Webseite verschlüsseln?

 

Ab dem 25. Mai 2018 muss jede Webseite, die persönliche Daten von Nutzern abfragt, über eine sichere SSL-Verbindung verfügen!

 

Das ist vor allem wichtig für Kontakt- oder Bestellformulare, Online-Shops sowie Newsletter Anmeldungen. Auch in Login- Bereichen und beim Online- Banking muss zwingend ein SSL-Zertifikat eingebunden werden. Schon die Abfrage der E-Mail Adresse eines Nutzers zählt dazu! Auch wenn Sie Finanzdaten im Internet abfragen, muss Ihre Webseite sicher sein.

Ohne Verschlüsselung besteht eine Sicherheitslücke, sodass die Daten als Klartext eingesehen und von Datendieben manipuliert werden können.

 

Woran erkenne ich ein SSL-Zertifikat, also eine sichere Webseite?

Gesicherte Verbindung durch SSL-Einbindung.

Das grüne Schlosssymbol zeigt an, dass die Website durch ein SSL-Zertifikat gesichert ist.

Aktuell erkennen Sie die Sicherheit einer Seite an dem kleinen Icon in der URL-Leiste. Ist oben links in der Adresszeile Ihres Browsers ein kleines Schloss-Icon zu sehen, so ist ein SSL-Zertifikat und damit eine sichere Übertragung Ihrer Kundendaten eingebunden.

Gut zu wissen: Die Art des Zertifikates und die Versionsnummer ist mit einem Klick auf das Schloss-Symbol von jedem einsehbar.

Diese Verbindung zur Website ist nicht durch SSL gesichert.

Das Informationssymbol zeigt an, dass die Website nicht durch ein SSL-Zertifikat gesichert ist.

 

 

Wie funktioniert die Verschlüsselung durch SSL?  

Um eine verschlüsselte Verbindung vom Browser zum Server herstellen zu können, muss vom Browser erkannt werden, ob der Server auch zu der Domain gehört, von der aus die Daten gesendet werden. Um diese Verifizierung durchführen zu können, benötigt die Webseite ein SSL-Zertifikat.

 

Weg der Verschlüsselung von Daten zwischen User und Server.

Darstellung des Datentransports durch die SSL-Verschlüsselung zwischen Server und User.

 

Bei der Beantragung eines SSL-Zertifikates wird ein öffentlicher Schlüssel hinterlegt, mit dem die Daten während des Sendevorgangs codiert werden. Dieser öffentliche Schlüssel ist für jeden frei einsehbar. Wichtig ist nun, dass die zum Server gesendeten Daten mit diesem öffentlichen Schlüssel zwar codiert, aber nicht mehr decodiert werden können. Um die Daten wieder zu entschlüsseln und somit lesbar zu machen, wird lokal auf diesem verifizierten Server ein privater Schlüssel hinterlegt, mit dem die Nachricht wieder entschlüsselt werden kann.

Wie eine Nachricht also verschlüsselt wird, kann man problemlos jedem frei zugänglich unter dem Schloss-Symbol des Browsers anzeigen. Den magischen Schlüssel zum Decodieren dieser Nachricht allerdings, sollte man tunlichst hinter verschlossenen Server-Türen arbeiten lassen, um mit Nutzerdaten datenschutzkonform umzugehen.

 

Welche SSL-Zertifikate gibt es und wie unterscheiden sie sich?

Übersicht und Vergleich verschiedener SSL-Zertifikate.

Übersicht der angebotenen SSL-Zertifikate durch unsere Agentur.

 

Die unterschiedlichen Zertifikatsstufen repräsentieren die unterschiedlichen Verifizierungsverfahren. Hierbei geht es vor allem darum, dem Nutzer ein hohes Maß an Vertrauen zum Webseitenbetreiber zur Verfügung zu stellen, indem mit einer hohen Validierung (OV oder EV) die Unternehmensdaten von einer dritten Instanz geprüft werden. Somit kann der Nutzer davon ausgehen, dass hinter der Domain auch das Unternehmen steckt, bei dem im Falle eines Online Shops zum Beispiel gekauft wurde.

Eine eigene IP-Adresse ist nicht zwangsläufig für jedes SSL-Zertifikat erforderlich. Nur wenn Ihre Webseiten Besucher mit älteren Browsern im Internet unterwegs sind, könnte es passieren, dass sie eine Warnung angezeigt bekommen. Falls Sie im Zuge einer Analyse herausbekommen, dass Ihre Nutzer mit neuen Browsern surfen und der Teil von alten Browsern verschwindend gering ausfällt, stellt sich die Frage, ob eine eigene IP Adresse wirklich von Nöten ist. Wir empfehlen es grundsätzlich schon, da auch dieser verschwindend geringe Teil Ihrer Nutzer durch die Warnung am Kauf oder an der Anfrage auf Ihrer Website gehindert werden könnte.

SSL-Zertifikat Vergleich:

Die drei gängigsten SSL-Zertifikate haben wir für Sie zusammengestellt:

  1. Domain-Validated-Zertifikat (DV)
  2. Organisation-Validation-Zertifikat (OV)
  3. Extended-Validation-Zertifikat (EV)

 

  1.       Beim DV- Zertifikat wird lediglich die Domain der Seite bestätigt. Das bildet die einfachste Vertrauensstufe und ist auf einen Domainnamen ausgelegt. Diese SSL Zertifikate werden lediglich durch eine E-Mail Nachricht validiert und sind dementsprechend in wenigen Minuten verfügbar zur Einbindung. Sie eignen sich somit wunderbar für Webprojekte, für die keine Unternehmensvalidierung notwendig ist.Durch das Schlösschen-Symbol im Browser wird dem Nutzer eine sichere Verbindung angezeigt. Ein Klick auf das Schloss enthüllt die Laufzeit und die Zertifizierungsstelle als grundsätzliche Informationen.
  1.       Das OV- Zertifikat hingegen bestätigt neben dem Inhaber der Domain auch, für welches Unternehmen das Zertifikat ausgestellt wurde. Im Schloss-Symbol findet man neben Laufzeit und Zertifizierungsstelle auch, für welches Unternehmen das Zertifikat ausgestellt wurde. Somit bietet dieses SSL-Zertifikat einen deutlich höheren Validierungs-Grad und schafft zusätzliches Vertrauen der Nutzer, die den Betreiber des Projektes jederzeit überprüfen können. Dieses Zertifikat eignet sich perfekt für Online Shops oder andere Webprojekte, die Login-Daten von Nutzern abfragen. Verifiziert werden Sie hier in wenigen Tagen Bearbeitungszeit.
  1.     Das EV- Zertifikat bietet die umfangreichste Validierung an und schafft somit maximales Vertrauen beim Nutzer. Hier wird ganz konkret geprüft, ob und wie Unternehmen registriert sind. Auch Adressen und Telefonnummern werden überprüft, sowie die Personen, die dieses Zertifikat beantragen wollen. Dadurch ist der Ausschluss von Betrugsfällen zuverlässig möglich. In der Adresszeile ist bei diesem Zertifikat zusätzlich der Firmenname in der Browserleiste in grün zu finden. Dieses SSL-Zertifikat eignet sich hervorragend für Unternehmen, die im Finanzsektor aktiv sind oder zum Beispiel Kreditkartendaten von Kunden abfragen. Das Zertifizierungsverfahren dauert bei diesen Zertifikaten logischerweise am längsten, da Unternehmensdaten von der Zertifizierungsstelle genauer geprüft werden. Teilweise meldet sich die Stelle sogar telefonisch bei den Unternehmen, um Daten zu validieren.

 

Eine besondere Art des SSL-Zertifikates bildet das Wildcard Zertifikat. Dieses ist vor allem dann eine sinnvolle Anschaffung, wenn mehrere Hostnamen unter einer Domain betrieben werden. Mit Wildcard Zertifikaten lassen sich alle Subdomains integrieren und verschlüsselt verbinden. Somit kann mit einem Wildcard Zertifikat zum Beispiel neben der www.ihredomain.de auch der mail.ihredomain.de oder shop.ihredomain.de Host gesichert werden. Wildcard Zertifikate verringern somit den Aufwand, den man sonst hätte um hier einzelne Zertifikate einzubinden und zu verwalten. Je nach Anzahl der Hostnamen ist es außerdem deutlich günstiger, eine einzige Wildcard Zertifikat zu verwenden, statt für die einzelnen Hosts Zertifikate zu erwerben.

Gerne beraten wir Sie dazu, welches Zertifikat in Ihrem Webprojekt eingebunden werden sollte. Sprechen Sie und dazu einfach an!

HTTPS kann zu Ranking Verbesserungen führen

Durch eine sichere Verbindung einer Internetseite erlangt der Nutzer ein größeres Vertrauen zu deren Inhalten und muss keine Angst um die Sicherheit seiner E-Mail-Adressen oder Passwörter haben. Seine Daten sind vor Manipulationen geschützt und können nicht von Hackern eingesehen werden.

Diese beiden Faktoren haben bei Google bereits in 2014 solch eine hohe Gewichtung erhalten, dass sich die Suchmaschine dazu entschloss, außer der Reihe ein Ranking-Update heraus zu bringen, mit dem alle Seiten, die über eine sichere https- Verschlüsselung verfügen, einen Ranking-Boost erhalten. Sollten Sie also mit Konkurrenten um Plätze kämpfen, die noch kein SSL-Zertifikat eingebunden haben, könnte die Umstellung (neben vielen, vielen weiteren Faktoren) dazu führen, dass Sie diese überholen.

Fazit

Wichtig bleibt für alle Webseitenbetreiber, dass Ihre Seite im Internet mit einem SSL-Zertifikat gesichert werden muss! Am 25. Mai tritt die neue Datenschutzverordnung in Kraft. Das ist der Stichtag zum Wechsel auf SSL. Hinsichtlich der Dauer einzelner Zertifizierungsverfahren sollten sich Webseitenbetreiber, die noch keine https Domain betreiben, schnellstmöglich um eine sichere Verbindung ihrer Seite kümmern.

Ohne die Verschlüsselung der persönlichen Daten Ihrer Kunden, besteht nicht nur eine erhebliche Sicherheitslücke im Missbrauch von Daten, sondern auch im Verlust des Vertrauens Ihrer Nutzer. Zudem werden es sich gewiefte Abmahnanwälte nicht entgehen lassen, Webseitenbetreiber anzumahnen, die Nutzerdaten nicht nach der neuen Datenschutzverordnung verschlüsseln.

Um Ihre Website durch SSL zu sichern, stehen Ihnen zahlreiche Möglichkeiten zur Verfügung. Von der Sicherung durch Domain-Validierung bis zu Extended- Zertifikaten, je nachdem, welche Verschlüsselung zu Ihrem Webprojekt passt. Hier ist die Unterstützung durch Experten sinnvoll. Wenn Sie Fragen oder Wünsche haben, unser SEO-Team berät Sie gern. Kontaktieren Sie uns und  wir unterstützen Sie beim Umzug in das sichere Internet.

12 Responses auf “SSL- Zertifikat wird ab dem 25. Mai Pflicht!”

  1. Susanne Meier sagt:

    Hallo!
    Wenn ich auf meiner Website keinerlei Daten erheben, dann muss sie auch nicht zwingend verschlüsselt sein, habe ich das richtig verstanden?

    • Ihr CCDM Team sagt:

      Hallo Susanne,

      Die Aussage von dir ist völlig richtig. Allerdings nutzen viele alltägliche Funktionen wie z.b. Kontaktformulare, oder unser Kommentarbereich, personenbezogene Daten, somit fährt man mit Verschlüssung/SSL meist sicherer. So ist man auch für die Zukunft abgesichert und muss bei der Implementierung neuer Funktionen nicht jedes mal überlegen. Abschließend macht auch das grüne „Schloßsymbol“ mit dem Schriftzug „Sicher“ immer einen guten Eindruck auf den Nutzer. Ich hoffe ich konnte deine Frage zufriedenstellend beantworten.

      Moritz, von CCDM

  2. ines sagt:

    heißt nochmal genau ich habe eine site mit eben einer seite auf der nur 5 links stehen sonst null daten weder kontaktformular noch irgendwelche erhebung von daten, dann benötige ich auch nach 25.5 kein ssl-zertifikat und kein https?

  3. Jan Maier sagt:

    „Eine eigene IP-Adresse ist für jedes SSL-Zertifikat erforderlich.“

    Diese Aussage ist definitiv falsch

    • Ihr CCDM Team sagt:

      Hallo Jan!
      Vielen Dank für deinen nützlichen Hinweis. Eine eigene IP Adresse ist natürlich nur dann erforderlich, wenn der Webseitenbetreiber Warnungen in älteren Browsern vermeiden möchte. Wir haben den Fehler behoben und den Beitrag dementsprechend angepasst.
      Viele Grüße
      Dominik von CCDM

  4. Conny sagt:

    Ich leite ein kleines Forum bei forumprofi.de. Noch ist forumprofi.de nicht SSL-verschlüsselt und äußert sich im dortigen Support-Forum auch nicht dazu. Mache ich mich irgendwie strafbar, wenn ich bei denen weiterhin mein Forum betreibe? Ich selbst kann ja die Verschlüsselung nicht aktivieren…

    • Ihr CCDM Team sagt:

      Hallo Conny,

      leider können wir auf die Frage, ob du dich dabei strafbar machst, keine Antwort geben. Nur ein Rechtsanwalt kann so eine Rechtsberatung durchführen. Forumprofi ist jedoch offensichtlich selbst nicht DSGVO-konform und muss ebenfalls nachrüsten. Wenn du genau wissen möchtest, inwiefern du dafür haftbar gemacht werden kannst, können wir dir gerne einen Anwalt für Medienrecht empfehlen. Kontaktiere uns dafür bitte über das Kontaktformular, damit wir dich weiter vermitteln können.

      Jenny aus dem CCDM-Team

  5. Andreas sagt:

    Hallo,
    benötige ich ein SSL-Zertifikat, wenn auf einer Website zwar keine Formulare oder Login-Bereiche vorhanden sind, aber Google Analytics mit anonymisierter IP eingebunden ist?

    • Ihr CCDM Team sagt:

      Hallo Andreas,

      grundsätzlich benötigst du in diesem Fall kein SSL Zertifikat, da Google die Nutzungsdaten bereits verschlüsselt überträgt.
      Das heißt aber noch nicht, dass du komplett auf der sicheren Seite bist. Unter https://www.analytrix.de/privacycheck.html kannst du dir angucken, ob deine Einbindung von Google Analytics den Datenschutzrichtlinien entspricht.

      Davon abgesehen ist mir aufgefallen, dass deine Webseite sich noch im Aufbau befindet, dennoch aber öffentlich zugänglich ist. Ohne Impressum und Datenschutzerklärung ist deine Webseite aktuell abmahnbar. Ich würde dringend empfehlen, die Webseite hinter einem Passwort zu verstecken oder so schnell wie möglich Impressum und Datenschutz nachzupflegen. Wenn du dabei Unterstützung benötigst, nimm gerne mit uns Kontakt auf.

      Jenny aus dem CCDM-Team

      • Andreas sagt:

        Hallo Jenny,

        vielen Dank für die Info und den Link! Die Frage hat sich zwar nicht auf meine eigene Seite bezogen, aber auch danke dafür.

  6. Oliver sagt:

    Hallo,
    muss eine private Website (Blog mit Affiliate Links) nun ein DV oder gar ein OV Zertifikat haben?
    Muss eine gewerbliche Site immer ein OV haben?
    Danke.
    Viele Grüße,
    Oliver

Einen Kommentar schreiben

  • (will not be published)

XHTML: Sie können diese Tags nutzen: : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>