Sicherung der gesamte Website mit SSL

Die meisten CAs (Zertifikatsherausgeber) empfehlen heutzutage nicht nur die Seiten, die vertrauliche Informationen einsammeln, sondern die gesamte Website mit SSL zu sichern. Dies geschieht unter anderem bereits bei großen Organisationen wie Google, Twitter und Facebook. Es ist nicht nur sicherer, sondern erhöht auch das Ranking Ihrer Website in den Google-Suchergebnissen. In diesem Artikel beschreiben wir, worauf Sie achten müssen, um negative Konsequenzen zu vermeiden.

Fordern Sie ein SSL-Zertifikat an und installieren Sie es

  1. Zunächst benötigen Sie ein SSL-Zertifikat zum Einrichten der SSL-Verbindung. Sie können es online anfordern.
    Fordern Sie ein Zertifikat an
  2. Das Zertifikat, das Sie von uns erhalten, muss zusammen mit den Root- und Zwischenzertifikaten auf dem Webserver installiert sein.
    Installationsanleitungen
  3. Für maximale Sicherheit ist es wichtig, die SSL-Einstellungen auf Ihrem Webserver zu optimieren.
    SSL-Einstellungen

Anpassen von internen und externen Links

Passen Sie alle Links auf Ihrer Website an, z.B. im Menü, Verweise auf andere Seiten und Bilder auf https://, um zu verhindern, dass Sie die gemischte Inhalte Fehlermeldungen erhalten. Sorgen Sie zudem dafür das externe Verweise auf Ihre Website, beispielsweise aus externen Publikationen oder Social-Media-Profilen, aber auch Backlinks zu https:// angepasst werden.

SSL und Suchmaschinen

Mit den folgenden Tipps verhindern Sie, daß die https:// Umstellung der gesamten Website negative Auswirkungen hat auf die Suchbarkeit der Website aus den verschiedenen Suchmaschinen. Wenn Sie dies nicht korrekt tun, kann es zwei Versionen Ihrer Website für die Suchmaschinen mit dem gleichen Inhalt geben; eine sichere Version und eine ungeschützte Version. Suchmaschinen wie Google bestrafen Inhaltsduplikate. In diesem Fall möchten Sie das Kunden über die Suchmaschine immer auf Ihre SSL geschützte Website geleitet werden. Dieses Problem kann auf verschiedene Arten gelöst werden:

  • Teilen Sie der Suchmaschine mit, welchen Inhalt Indexiert werden soll

Dies kann durch Erstellen einer kanonischen URL von der https-Seite für die Website erfolgen. Eine kanonische Seite ist die Seite, die von mehreren Seiten bevorzugt wird, die ähnlich aussehen. Sie können es wie folgt festlegen: Fügen Sie einen rel = "canonical" -Link zu jedem <head> -Segment für die HTML-Seiten hinzu, die Vorrang vor den gleichnamigen Seiten haben sollen. Sie können dann einen Link zur entsprechenden Seite hinzufügen: <link rel = "canonical" href = "https://www.domainname/beispiel" />. Wenn beide Seiten Inhalt enthalten, machen Sie eine der beiden Seiten zu einer kanonischen URL: <link rel = "canonical" href = "https://www.domainname.de/beispiel" />. Setzen Sie die kanonischen URL in den <head> Abschnitt der https://www.domainname.de/beispiel Seite.

  • Legen Sie die XML-Sitemap so fest, dass sie auf die HTTPS-Version des Inhalts verweist

Eine Sitemap sorgt dafür, dass das Crawlen (Durchsuchen von Webseiten durch Suchmaschinen) die geschützten Seiten leichter findet als die ungesicherten.

Diese Änderungen stellen sicher, dass Besucher von der Suchmaschine sofort auf die https-Website geleitet werden. Auf diese Weise gelangt der Besucher schneller zu Ihrer Website und verhinder 'Mann in der Mitte' Angriffe, da die Website nicht über http angeboten wird.

Da bei Verwendung von https für die Suchmaschinen zwei Versionen bestehen können, muss die robots.txt Datei in beiden Verzeichnissen angeboten werden, die für http und die für https. Mit einer robots.txt Datei können Sie sicherstellen, das Suchmaschinen Crawler bestimmte Bereiche Ihrer Website überspringen. Zum Beispiel die Teile, auf denen Ihre Kunden vertrauliche Informationen hinterlassen.

  • Machen Sie eine Weiterleitung zu Ihrer HTTPS-Website

Ermöglichen Sie die Weiterleitung von Zugriffen auf Ihre Website von http auf https, indem Sie eine permanente Weiterleitung (301) festlegen.

  • Festlegen einer bevorzugten Domain für Google

Mit der Google Search Console (ehemals Webmaster-Tools) können Sie eine bevorzugte Domain festlegen. Die bevorzugte Domain ist die Version Ihrer Website, die von Google indiziert wird. Hier können Sie die HTTPS-Version der Website angeben.

Soziale Medien

Der Wandel hat auch Konsequenzen für Social Media. Zum Beispiel springen die Facebook-Likes auf 0 zurück, wenn die URL geändert wird. Um dies zu verhindern, muss ein og:url Tag in den Metadaten Ihrer Website enthalten sein.

Ladezeit

Ein Argument gegen den Schutz der gesamten Website ist, dass dies die Ladezeit der Website beeinträchtigen kann. Eine sichere Seite wird langsamer geladen als eine ungeschützte Seite, da der Browser auf der SSL-geschützten Seite auf die Bestätigung der Zertifizierungsstelle warten muss, dass das Zertifikat gültig ist. Alle Zertifizierungsstellen arbeiten jedoch daran, diese Ladezeit zu minimieren, wodurch der Unterschied zu ungesicherten Seiten verringert wird. Eine Methode, die die Ladezeit reduziert, ist die Verwendung von OCSP-Stapling. Dabei wird die Gültigkeit eines Zertifikats vom Browser überprüft, wobei keine separate Verbindung mit der CA-Website benötigt wird. Weitere Informationen zum Einrichten von OCSP-Stapling finden Sie hier.

Sichere Cookies

Cookies sind kleine Textdateien, die beim Besuch einer Website auf der Festplatte eines Computers abgelegt werden. Cookies dienen in erster Linie der Unterscheidung von Nutzern, um beispielsweise sicherzustellen, dass ein Website-Besucher eingeloggt ist oder der Inhalt eines Warenkorbs erhalten bleibt. Darüber hinaus sind sie ein nützliches Mittel für Werbetreibende um Anzeigen auf die Browsing-Gewohnheiten der Benutzer abzustimmen.

Besucher verwenden häufig nicht HTTPS, wenn Sie die Webadresse in der Adressleiste angeben und daher sind die Daten, während die Verbindung hergestellt wird, nicht geschützt. Wenn Sie Ihre Website sichern, empfiehlt es sich daher, die Cookies auch über eine sichere Verbindung zu senden.

HTTPS erzwingen

Stellen Sie daher HTTP-Weiterleitungen auf HTTPS ein um sicherzustellen, dass Besucher Ihrer Website immer eine sichere Verbindung verwenden.

Wenn Sie HTTP Strict Transport Security (HSTS) verwenden, wird der Browser angewiesen, sich direkt mit einer SSL-gesicherten Seite anstelle einer ungesicherten Seite zu verbinden. Wenn keine sichere Verbindung möglich ist, wird dem Besucher eine Fehlermeldung angezeigt und die Verbindung wird abgelehnt. Die Nutzung von HSTS kann die Benutzer vor 'Mann in der Mitte'-Angriffen schützen, da die Besucher auf Ihrer Website nicht auf eine unsichere Seite umgeleitet werden können.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.