SSL steht für Secure Sockets Layer. Es ist ein wichtiges Protokoll zur Sicherung und Authentifizierung von Daten im Internet. Aufgrund von Bewegungen wie Encrypt All The Things und Googles Drang nach einer breiteren Verbreitung von SSL, ist SSL in Webzirkeln ein beliebtes Thema. Trotz dieser Tatsache sind sich viele Webmaster immer noch nicht sicher, wie SSL funktioniert und warum es wichtig ist… oder sogar, wofür SSL überhaupt steht!
Während wir bereits besprochen haben, was das Akronym bedeutet, werden wir in diesem Eintrag etwas tiefer gehen und dir sagen, was SSL ist und wie es funktioniert, um das Web für dich und die Besucher deiner Website zu einem besseren Ort zu machen.
Wofür steht SSL? Wie SSL funktioniert
Nur um es zu wiederholen – SSL steht für Secure Sockets Layer. Dies ist ein Protokoll, das zum Verschlüsseln und Authentifizieren der Daten verwendet wird, die zwischen einer Anwendung (wie deinem Browser) und einem Webserver gesendet werden. Dies führt zu einem sichereren Web für dich und die Besucher deiner Website. SSL ist eng an ein anderes Akronym gebunden – TLS. TLS, kurz Transport Layer Security, ist die Nachfolgerin und aktuellere Version des ursprünglichen SSL-Protokolls.
Heutzutage werden SSL und TLS oft als Gruppe bezeichnet – z. B. SSL / TLS – oder austauschbar. Zum Beispiel wird mit Let’s Encrypt (über das wir in einer Sekunde ausführlicher sprechen werden) Angebote mit „kostenlosen SSL / TLS-Zertifikaten“ angeboten. Aber es gibt auch viele Websites, die nur SSL-Zertifikate behandeln, selbst wenn sie eigentlich TLS bedeuten.
Woher kam SSL zuerst und wie sind wir dahin gekommen, wo wir heute mit TLS sind? Die SSL-Version 1.0 wurde in den frühen 1990ern von Netscape entwickelt. Aufgrund von Sicherheitsmängeln wurde es jedoch nie der Öffentlichkeit zugänglich gemacht. Die erste öffentliche Veröffentlichung von SSL war SSL 2.0 im Februar 1995. Obwohl es sich um eine Verbesserung gegenüber dem nicht veröffentlichten SSL 1.0 handelte, enthielt SSL 2.0 auch eigene Sicherheitslücken, die ein komplettes Redesign und die anschließende Veröffentlichung von SSL Version 3.0 ein Jahr später zur Folge hatten.
Die SSL-Version 3.0 war das letzte öffentliche Release und wurde 1999 mit der Einführung von TLS als Ersatz in den Schatten gestellt. Zu diesem Zeitpunkt ist SSL 3.0 veraltet und aufgrund seiner Anfälligkeit für den POODLE-Angriff nicht mehr als sicher anzusehen. Was TLS betrifft, so ist es jetzt auf TLS 1.3, das eine Reihe von Verbesserungen in Bezug auf Leistung und Sicherheit bietet. Kinsta unterstützt TLS 1.3 auf allen unseren Servern und unser Kinsta CDN.
Warum verwenden wir dann nicht alle TLS-Zertifikate?
Tust du wahrscheinlich. Obwohl die Web-Community sie aus Gründen der Bequemlichkeit im Allgemeinen als SSL-Zertifikate bezeichnet, hängen Zertifikate eigentlich nicht von dem spezifischen Protokoll in ihrem Namen ab. Das tatsächliche Protokoll, das verwendet wird, wird stattdessen von deinem Server festgelegt. Das bedeutet, dass du, auch wenn du denkst, du hättest ein so genanntes SSL-Zertifikat installiert, hast du wahrscheinlich das aktuellere und sicherere TLS-Protokoll verwendet.
Bis die Web-Community die TLS-Terminologie übernimmt, werden solche Zertifikate wahrscheinlich der Einfachheit halber meistens als SSL-Zertifikate bezeichnet.
Wie sind HTTPS und SSL verbunden?
Die Leute, die das Internet aufgebaut haben, lieben ihre Akronyme. Ein anderer Begriff, den du häufig diskutiert siehst, wenn von SSL / TLS die Sprache ist, ist HTTPS. HTTP (ohne das S) steht für Hypertext Transfer Protocol.
HTTP und sein Nachfolger HTTP / 2 sind beides Anwendungsprotokolle, welche die Art und Weise, wie Informationen im Internet übertragen werden, untermauern. Sie sind im Wesentlichen die Grundlage für die Datenkommunikation im Internet. Wenn du das S wieder hinzufügst, wird es einfach zu Hypertext Transfer Protocol Secure (oder HTTP über TLS oder HTTP über SSL).
Im Wesentlichen schützt SSL / TLS die Informationen, die über HTTP gesendet und empfangen werden. Dies hat eine Reihe von Vorteilen…
Welche Vorteile bietet die Verwendung von SSL / TLS?
Viele Webmaster gehen davon aus, dass SSL / TLS nur für Seiten von Vorteil ist, die sensible Informationen wie Kreditkarten oder Bankdaten verarbeiten. Und obwohl SSL / TLS für diese Seiten sicherlich unerlässlich ist, sind ihre Vorteile keinesfalls auf diese Bereiche beschränkt.
Einer der Hauptvorteile von SSL / TLS ist die Verschlüsselung. Immer wenn du oder deine User Informationen auf deiner Seite eingeben, durchlaufen diese Daten mehrere Kontaktpunkte, bevor sie ihr endgültiges Ziel erreichen. Ohne SSL / TLS werden diese Daten als Nur-Text gesendet, und böswillige Akteure können diese Daten abhören oder ändern. SSL / TLS bietet einen Punkt-zu-Punkt-Schutz, um sicherzustellen, dass die Daten während des Transports sicher sind. Sogar eine WordPress-Login-Seite sollte verschlüsselt sein! Wenn ein SSL-Zertifikat vorhanden, aber nicht gültig ist, können deine Besucher mit dem Fehler „Ihre Verbindung ist nicht privat“ konfrontiert werden.
Ein weiterer wichtiger Vorteil ist die Authentifizierung. Eine funktionierende SSL / TLS-Verbindung stellt sicher, dass Daten an den richtigen Server gesendet und von diesem empfangen werden, und nicht ein böswilliger „Man in the Middle“. Das heißt, es hilft zu verhindern, dass böswillige Akteure sich irrtümlich als eine Person ausgeben.
Der dritte wesentliche Vorteil von SSL / TLS ist die Datenintegrität. SSL- / TLS-Verbindungen stellen sicher, dass während des Transports keine Daten verloren gehen oder verändert werden, indem ein Message-Authentifizierungscode oder ein MAC hinzugefügt wird. Dadurch wird sichergestellt, dass die Daten, die gesendet werden, ohne Änderungen oder böswillige Modifizierungen empfangen werden.
Neben der Verschlüsselung, Authentizität und Integrität gibt es auch andere weniger technische Vorteile wie:
- Das Potenzial für verbesserte Rankings in der organischen Suche von Google
- Verbessertes Vertrauen bei den Besuchern
Wie kannst du feststellen, ob eine Website SSL / HTTPS verwendet?
Der einfachste Weg, um festzustellen, ob eine Website SSL / TLS verwendet, besteht darin, deinen Browser anzusehen. Die meisten Browser kennzeichnen sichere Verbindungen mit einem grünen Vorhängeschloss und / oder einer Nachricht. In Google Chrome kannst du beispielsweise nach einem grünen Vorhängeschloss und der Meldung Secure suchen:
In Firefox siehst du nur ein grünes Vorhängeschloss:
In Microsoft Edge siehst du tatsächlich keine Farbe, sondern ein einfaches graues und weißes Vorhängeschloss.
Bestraft Google Websites, die kein SSL verwenden?
In letzter Zeit hat Google in Google Chrome zunehmend strengere Strafen / Warnungen für Websites eingeführt, die keine SSL-Zertifikate installieren. Diese Strafen begannen im Januar 2017 mit der Einführung einer Not secure Warnung auf Seiten, auf denen nach Kreditkartendaten oder Kennwörtern ohne SSL-Zertifikat gefragt wurde:
Diese Änderung war der erste Anstoß von Google, die Nutzung von SSL und HTTPS zu erhöhen. Aber in letzter Zeit haben sie die Dinge noch weiter erhöht.
Not secure-Warnungen im Oktober 2017 erhöht
Im Oktober 2017 hat Google noch aggressivere Benachrichtigungen eingeführt. Beginnend mit Chrome 62 (veröffentlicht am 17. Oktober 2017) fügte Google die Warnung Not secure zu:
- Allen HTTP-Seiten, auf denen User einen beliebigen Datentyp eingeben, einschließlich eines einfachen Suchfelds. Die Warnung wird nicht beim ersten Laden der Seite angezeigt, sondern immer dann, wenn ein User mit der Eingabe von Daten in ein Feld beginnt
- Allen HTTP-Seiten im Chrome Inkognito-Modus
Google wird nur aggressiver
Googles Langfristiger Plan besteht darin, alle HTTP-Seiten als Not secure zu kennzeichnen. Das heißt, auch wenn du User nicht aufforderst, Formularfelder auszufüllen, wirst du auf jeden Fall von der Warnung überrascht. Aus diesem Grund ist es wichtig, dass du jetzt mit dem Umstieg auf SSL / TLS und HTTPS beginnst.
Seit 2020 zeigt Chrome die Warnmeldungen ERR_SSL_OBSOLETE_VERSION an, wenn Webseiten TLS 1.0 oder TLS 1.1 (ältere Versionen) verwenden.
So installierst du ein SSL-Zertifikat auf deiner Seite
Viele Hoster machen es einfach, ein kostenloses SSL/TLS-Zertifikat zu installieren. Hier bei Kinsta werden alle verifizierten Domains automatisch durch unsere Cloudflare-Integration geschützt, die kostenlose SSL-Zertifikate mit Wildcard-Unterstützung beinhaltet. Andere Hoster nutzen einen Dienst namens Let’s Encrypt, der kostenlose SSL/TLS-Zertifikate anbietet. Du kannst dir hier eine vollständige Liste der Hoster ansehen, die Let’s Encrypt unterstützen.
Wenn dein Hoster keine kostenlosen SSL-Zertifikate anbietet oder wenn du einen anderen Typ von SSL-Zertifikat möchtest, kannst du auch dein eigenes Zertifikat von einem Drittanbieter erwerben.
Du kannst diese Anleitung lesen, um zu erfahren, wie du ein SSL-Zertifikat zu deiner Seite bei Kinsta hinzufügst. Du kannst es mit einem einzigen Klick machen!
Was ist nach der Installation eines SSL-Zertifikats zu tun?
Ja – Nach der Installation eines SSL-Zertifikats musst du sowohl technische als auch nichttechnische Aktionen ausführen. Erstens ist es auf technischer Ebene wichtig, dass du den gesamten HTTP-Datenverkehr zu HTTPS umleiten. Du solltest auch sicherstellen, dass du keine Assets über HTTP lädst. In der Regel handelt es sich dabei um deine eigenen Bilder oder externen Inhalte, die du einliest, z. B. Skripts oder externe Anzeigeservices. Dies hilft dir, die Mixed Content-Warnung zu vermeiden.
Neben diesen beiden technischen Details möchtest du wahrscheinlich auch die folgenden Aufgaben ausführen, je nachdem, welche Tools du verwendest:
- Füge die HTTPS-Version deiner Website in den Google Webmaster-Tools hinzu
- Stelle sicher, dass Tracking-Skripts wie Google Analytics oder andere für die Verwendung von HTTPS eingerichtet sind
- Stelle sicher, dass du keine Fehlermeldungen bezüglich der SSL-Verbindung bekommst.
Alles in allem ist SSL / TLS ein wichtiges Protokoll zur Schaffung eines sicheren Webs. Wenn du nun weißt, wie SSL funktioniert, solltest du, falls du den Wechsel noch nicht vorgenommen hast, ein SSL / TLS-Zertifikat installieren und deine Website nach HTTPS verschieben.
Wir haben eine sehr ausführliche Anleitung zur HTTP zu HTTPS Migration. Stelle sicher, dass du sie liest und die Schritte befolgst!