SSL steht für Secure Sockets Layer. Es ist ein wichtiges Protokoll zur Sicherung und Authentifizierung von Daten im Internet. Aufgrund von Bewegungen wie Encrypt All The Things und Googles Drang nach einer breiteren Verbreitung von SSL, ist SSL in Webzirkeln ein beliebtes Thema. Trotz dieser Tatsache sind sich viele Webmaster immer noch nicht sicher, wie SSL funktioniert und warum es wichtig ist… oder sogar, wofür SSL überhaupt steht!

Während wir bereits besprochen haben, was das Akronym bedeutet, werden wir in diesem Eintrag etwas tiefer gehen und dir sagen, was SSL ist und wie es funktioniert, um das Web für dich und die Besucher deiner Website zu einem besseren Ort zu machen.

Wofür steht SSL? Wie SSL funktioniert

Nur um es zu wiederholen – SSL steht für Secure Sockets Layer. Dies ist ein Protokoll, das zum Verschlüsseln und Authentifizieren der Daten verwendet wird, die zwischen einer Anwendung (wie deinem Browser) und einem Webserver gesendet werden. Dies führt zu einem sichereren Web für dich und die Besucher deiner Website. SSL ist eng an ein anderes Akronym gebunden – TLS. TLS, kurz Transport Layer Security, ist die Nachfolgerin und aktuellere Version des ursprünglichen SSL-Protokolls.

Heutzutage werden SSL und TLS oft als Gruppe bezeichnet – z. B. SSL / TLS – oder austauschbar. Zum Beispiel wird mit Let’s Encrypt (über das wir in einer Sekunde ausführlicher sprechen werden) Angebote mit „kostenlosen SSL / TLS-Zertifikaten“ angeboten. Aber es gibt auch viele Websites, die nur SSL-Zertifikate behandeln, selbst wenn sie eigentlich TLS bedeuten.

Ein Beispiel für die Kombination von SSL und TLS

Ein Beispiel für die Kombination von SSL und TLS

Woher kam SSL zuerst und wie sind wir dahin gekommen, wo wir heute mit TLS sind? Die SSL-Version 1.0 wurde in den frühen 1990ern von Netscape entwickelt. Aufgrund von Sicherheitsmängeln wurde es jedoch nie der Öffentlichkeit zugänglich gemacht. Die erste öffentliche Veröffentlichung von SSL war SSL 2.0 im Februar 1995. Obwohl es sich um eine Verbesserung gegenüber dem nicht veröffentlichten SSL 1.0 handelte, enthielt SSL 2.0 auch eigene Sicherheitslücken, die ein komplettes Redesign und die anschließende Veröffentlichung von SSL Version 3.0 ein Jahr später zur Folge hatten.

Die SSL-Version 3.0 war das letzte öffentliche Release und wurde 1999 mit der Einführung von TLS als Ersatz in den Schatten gestellt. Zu diesem Zeitpunkt ist SSL 3.0 veraltet und aufgrund seiner Anfälligkeit für den POODLE-Angriff nicht mehr als sicher anzusehen. TLS ist derzeit auf Version 1.2, obwohl TLS 1.3 unterwegs ist und eine Reihe von Verbesserungen in Bezug auf Leistung und Sicherheit bieten wird.

Warum verwenden wir dann nicht alle TLS-Zertifikate?

Tust du wahrscheinlich. Obwohl die Web-Community sie aus Gründen der Bequemlichkeit im Allgemeinen als SSL-Zertifikate bezeichnet, hängen Zertifikate eigentlich nicht von dem spezifischen Protokoll in ihrem Namen ab. Das tatsächliche Protokoll, das verwendet wird, wird stattdessen von deinem Server festgelegt. Das bedeutet, dass du, auch wenn du denkst, du hättest ein so genanntes SSL-Zertifikat installiert, hast du wahrscheinlich das aktuellere und sicherere TLS-Protokoll verwendet.

Bis die Web-Community die TLS-Terminologie übernimmt, werden solche Zertifikate wahrscheinlich der Einfachheit halber meistens als SSL-Zertifikate bezeichnet.

Wie sind HTTPS und SSL verbunden?

Die Leute, die das Internet aufgebaut haben, lieben ihre Akronyme. Ein anderer Begriff, den du häufig diskutiert siehst, wenn von SSL / TLS die Sprache ist, ist HTTPSHTTP (ohne das S) steht für Hypertext Transfer Protocol.

HTTP und sein Nachfolger HTTP / 2 sind beides Anwendungsprotokolle, welche die Art und Weise, wie Informationen im Internet übertragen werden, untermauern. Sie sind im Wesentlichen die Grundlage für die Datenkommunikation im Internet. Wenn du das S wieder hinzufügst, wird es einfach zu Hypertext Transfer Protocol Secure (oder HTTP über TLS oder HTTP über SSL).

Im Wesentlichen schützt SSL / TLS die Informationen, die über HTTP gesendet und empfangen werden. Dies hat eine Reihe von Vorteilen…

Welche Vorteile bietet die Verwendung von SSL / TLS?

Viele Webmaster gehen davon aus, dass SSL / TLS nur für Seiten von Vorteil ist, die sensible Informationen wie Kreditkarten oder Bankdaten verarbeiten. Und obwohl SSL / TLS für diese Seiten sicherlich unerlässlich ist, sind ihre Vorteile keinesfalls auf diese Bereiche beschränkt.

Einer der Hauptvorteile von SSL / TLS ist die Verschlüsselung. Immer wenn du oder deine User Informationen auf deiner Seite eingeben, durchlaufen diese Daten mehrere Kontaktpunkte, bevor sie ihr endgültiges Ziel erreichen. Ohne SSL / TLS werden diese Daten als Nur-Text gesendet, und böswillige Akteure können diese Daten abhören oder ändern. SSL / TLS bietet einen Punkt-zu-Punkt-Schutz, um sicherzustellen, dass die Daten während des Transports sicher sind. Sogar eine WordPress-Login-Seite sollte verschlüsselt sein!

Ein weiterer wichtiger Vorteil ist die Authentifizierung. Eine funktionierende SSL / TLS-Verbindung stellt sicher, dass Daten an den richtigen Server gesendet und von diesem empfangen werden, und nicht ein böswilliger „Man in the Middle“. Das heißt, es hilft zu verhindern, dass böswillige Akteure sich irrtümlich als eine Person ausgeben.

Der dritte wesentliche Vorteil von SSL / TLS ist die Datenintegrität. SSL- / TLS-Verbindungen stellen sicher, dass während des Transports keine Daten verloren gehen oder verändert werden, indem ein Message-Authentifizierungscode oder ein MAC hinzugefügt wird. Dadurch wird sichergestellt, dass die Daten, die gesendet werden, ohne Änderungen oder böswillige Modifizierungen empfangen werden.

Neben der Verschlüsselung, Authentizität und Integrität gibt es auch andere weniger technische Vorteile wie:

Wie kannst du feststellen, ob eine Website SSL / HTTPS verwendet?

Der einfachste Weg, um festzustellen, ob eine Website SSL / TLS verwendet, besteht darin, deinen Browser anzusehen. Die meisten Browser kennzeichnen sichere Verbindungen mit einem grünen Vorhängeschloss und / oder einer Nachricht. In Google Chrome kannst du beispielsweise nach einem grünen Vorhängeschloss und der Meldung Secure suchen:

Wie Google Chrome HTTPS behandelt

Wie Google Chrome HTTPS behandelt

In Firefox siehst du nur ein grünes Vorhängeschloss:

Wie Firefox HTTPS behandelt

Wie Firefox HTTPS behandelt

In Microsoft Edge siehst du tatsächlich keine Farbe, sondern ein einfaches graues und weißes Vorhängeschloss.

Wie Edge HTTPS behandelt

Wie Edge HTTPS behandelt

Bestraft Google Websites, die kein SSL verwenden?

Haben Sie mit Ausfallzeiten und WordPress-Problemen zu kämpfen? Kinsta ist die Hosting-Lösung, die Ihnen Zeit spart! Sieh dir unsere Features an

In letzter Zeit hat Google in Google Chrome zunehmend strengere Strafen / Warnungen für Websites eingeführt, die keine SSL-Zertifikate installieren. Diese Strafen begannen im Januar 2017 mit der Einführung einer Not secure Warnung auf Seiten, auf denen nach Kreditkartendaten oder Kennwörtern ohne SSL-Zertifikat gefragt wurde:

Chrome Not Secure Warnung Januar 2017

Chrome Not Secure Warnung Januar 2017

Diese Änderung war der erste Anstoß von Google, die Nutzung von SSL und HTTPS zu erhöhen. Aber in letzter Zeit haben sie die Dinge noch weiter erhöht.

Not secure-Warnungen im Oktober 2017 erhöht

Im Oktober 2017 hat Google noch aggressivere Benachrichtigungen eingeführt. Beginnend mit Chrome 62 (veröffentlicht am 17. Oktober 2017) fügte Google die Warnung Not secure zu:

  • Allen HTTP-Seiten, auf denen User einen beliebigen Datentyp eingeben, einschließlich eines einfachen Suchfelds. Die Warnung wird nicht beim ersten Laden der Seite angezeigt, sondern immer dann, wenn ein User mit der Eingabe von Daten in ein Feld beginnt
  • Allen HTTP-Seiten im Chrome Inkognito-Modus
Chrome Not Secure Warnung Januar 2017

Chrome Not Secure Warnung Januar 2017

Google wird nur aggressiver

Googles Langfristiger Plan besteht darin, alle HTTP-Seiten als Not secure zu kennzeichnen. Das heißt, auch wenn du User nicht aufforderst, Formularfelder auszufüllen, wirst du auf jeden Fall von der Warnung überrascht. Aus diesem Grund ist es wichtig, dass du jetzt mit dem Umstieg auf SSL / TLS und HTTPS beginnst.

So installierst du ein SSL-Zertifikat auf deiner Seite

Viele Hoster, einschließlich Kinsta, erleichtern die Installation eines kostenlosen SSL / TLS-Zertifikats über einen Dienst namens Let’s Encrypt. Let’s Encrypt bietet unbegrenzt unbegrenzte SSL / TLS-Zertifikate an und du kannst eine vollständige Liste der Hoster anzeigen, die Let´s Encrypt hier unterstützen. Wenn dein Hoster Let LetS Encrypt nicht anbietet oder du einen anderen SSL-Zertifikattyp verwenden möchtest, kannst du auch dein eigenes Zertifikat von einem Drittanbieter erwerben.

In diesem Handbuch findest du Anweisungen zum Hinzufügen eines SSL-Zertifikats zu deiner Website bei Kinsta. Du kannst dies mit einem einzigen Klick tun.

Füge SSL hinzu (Let’s Encrypt)

Füge SSL hinzu (Let’s Encrypt)

Was ist nach der Installation eines SSL-Zertifikats zu tun?

Ja – Nach der Installation eines SSL-Zertifikats musst du sowohl technische als auch nichttechnische Aktionen ausführen. Erstens ist es auf technischer Ebene wichtig, dass du den gesamten HTTP-Datenverkehr zu HTTPS umleiten. Du solltest auch sicherstellen, dass du keine Assets über HTTP lädst. In der Regel handelt es sich dabei um deine eigenen Bilder oder externen Inhalte, die du einliest, z. B. Skripts oder externe Anzeigeservices. Dies hilft dir, die Mixed Content-Warnung zu vermeiden.

Neben diesen beiden technischen Details möchtest du wahrscheinlich auch die folgenden Aufgaben ausführen, je nachdem, welche Tools du verwendest:

  • Füge die HTTPS-Version deiner Website in den Google Webmaster-Tools hinzu
  • Stelle sicher, dass Tracking-Skripts wie Google Analytics oder andere für die Verwendung von HTTPS eingerichtet sind

Alles in allem ist SSL / TLS ein wichtiges Protokoll zur Schaffung eines sicheren Webs. Wenn du nun weißt, wie SSL funktioniert, solltest du, falls du den Wechsel noch nicht vorgenommen hast, ein SSL / TLS-Zertifikat installieren und deine Website nach HTTPS verschieben.

Wir haben eine sehr ausführliche Anleitung zur HTTP zu HTTPS Migration. Stelle sicher, dass du sie liest und die Schritte befolgst!

31
Mal geteilt