SSL-Verschlüsselung von Websites

Was ist SSL-Verschlüsselung?

SSL-Verschlüsselung (SSL: Secure Socket Layer) baut zwischen dem Rechner des Websitenbesuchers und dem Rechner der die Website bereitstellt, also dem Webserver auf der Ihre Website läuft, eine sichere Verbindung auf. Sicher heißt, dass sich niemand zwischen Webserver und Besucherrechner klemmen kann, um die Übertragung zu manipulieren.

Eine sichere Verbindung ist insbesondere im Umfeld von Shop-Funktionalitäten, Bestellsystemen oder Nutzerverwaltungen mehr als sinnvoll. Für »normale« Websites eines »normalen« Unternehmens ist es im regulären Betrieb nicht notwendig. Trotzdem hat beispielsweise Wikipedia schon vor längerer Zeit die generelle SSL-Verbindung forciert und damit einen Maßstab gesetzt.

Randnotiz: Obwohl eigentlich alle Welt von SSL spricht und schreibt, muss es eigentlich TLS (Transport Layer Security) heißen, da SSL zwar noch existiert, seit Anfang 2015 jedoch Internet Explorer, Firefox, Chrome, Opera und Safari auf den Nachfolger TLS setzen, der in seiner ersten Form 1.0 aber identisch mit dem noch zulässigen SSL 3.1 ist, das es offiziell aber gar nicht gibt. Aktuell ist die TLS-Version 1.2.

Wer es genauer wissen will:
https://de.wikipedia.org/wiki/Transport_Layer_Security

Woran erkennt man, dass eine Website SSL-verschlüsselt ist?

Der Aufruf einer Website erfolgt statt mit http:// mit https:// der Browser prüft dann, ob ein gültiges Zertifikat vorliegt, wenn nicht, spuckt er eine wirklich sehr fiese Fehlermeldung mit hohem Panikfaktor aus. Wenn ja, zeigt Ihnen der Browser legiglich neben der jeweiligen URL ein entsprechendes Symbol an, es soll ein Vorgangschloss darstellen, wird scherzhaft gerne auch als »Handtasche« bezeichnet. Je nach Browser erhalten Sie per Mausklick oder Mouseover weitere Informationen zum Zertifikat.

Beispiel:
https://de.wikipedia.org
https://www.borghoff.de

Warum nun SSL-Verschlüsselung?

Grund 1: Google bewertet seit einigen Monaten Websites, die mit SSL angebunden sind besser als solche, die ohne SSL angebunden sind. Ein SSL-Zertifikat wirkt keine Wunder, Ihre Website wird aber relativ besser bewertet. Wenn dann Anbieter dann nachgezogen haben, hebt sich der relative Vorteil natürlich wieder auf.

Grund 2: Wenn Sie ein Formular auf Iher Website haben sind Sie laut § 13 Telemediengesetz dazu verpflichet »soweit dies technisch möglich und wirtschaftlich zumutbar ist« Ihre Inhalte »gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind« zu sichern.

Nach Auffassung der Gerichte ist daher die SSL-Verschlüsselung seiner Website einem gewerblichen Anbeiter zuzumuten. Da bereits die Eingabe von Daten in ein Kontaktformular durch den Besucher der Website als Erfassen von Daten gilt, sind die Sicherheitsanforderungen an diese Formulare hoch, sprich, sie müssen per SSL angebunden werden. Es gibt auch vereinzelt Abmahnungen wegen Kontaktformularen, die nicht per SSL angebunden sind.

Grund 3: Ab Oktober 2017 wird der Browser Google Chrome bei nicht per SSL eingebundenen Websites Warnungen einblenden, wenn beispielsweise etwas in ein Formularelement eingetippt wird oder die Seite im privaten Modus besucht wird. Wir gehen davon aus, dass die Warnungen in Art und Umfang über die nächsten Monate eskalieren werden und auch andere Browser sich in irgendeiner Form anschließen werden. So wird Google warnen:

https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

Was kostet die SSL-Verschlüsselung?

Die Zertifikate kostet pro Domain bei Domain Factory ab EUR 1,99 brutto im Monat, bei Profihost ab EUR 37,- pro Jahr und Domain, bei Domain Factory, Strato und 1und1 in aktuellen Pakten für eine Domain jeweils nichts, wobei bei Domain Factory, Strato und 1und1 allerdings immer die Frage ist, welchen Tarif Sie haben, hier entsteht dann gegebenenfalls ein gewisser Prüfungsaufwand für uns und gegebenenfalls der Umzug in einen neueren Vertragstyp.

Ist das insgesamt irgendwie sinnvoll?

Rein technisch gesehen ist der Übergang zu einer SSL-Verbindung für eine »normale« Website, die in erster Linie informiert ein ziemlicher Mumpitz. Aus Gründen des Datenschutz wird der Einsatz dann bei der Verwendung von Formularelementen zwingend, praktisch gesehen sind dann doch wieder sehr viele Websites davon betroffen.

Aber unabhängig davon haben die Mächte des Internets, in diesem Fall verkörpert durch Wikipedia und Google, quasi den Weg vorgegeben und so sollten Sie diesen Schritt gehen, um Ihre Position bei Google zeitweise zu verbessern und sich so gleichzeitig gegen nicht sehr wahrscheinliche, aber mögliche Abmahnungen zu schützen.

Was müssen Sie tun?

Teilen Sie uns einfach mit, ob wir die SSL-Verschlüsselung für Ihre Website einrichten sollen. Die Abwicklung wird pro Auftrag bei etwa einer Stunde liegen. Unter anderem werden wir dafür sorgen, dass alles Besucher auf eine einheitliche und per SSL abgesicherte Domain weitergeleitet werden. Es kann ebenfalls sein, dass wir an Ihrer Website noch ein paar technische Änderungen vornehmen müssen, der Aufwand dafür wird sich jedoch auf höchstens etwa eine weitere Stunde pro Website beschränken.