Definition: Was ist ein SSL-Zertifikat?
SSL (Secure Sockets Layer) ist eine Verschlüsselungstechnologie für den Schutz von Daten, die im Internet von einem auf ein anderes System übertragen werden. Obwohl in der Praxis immer noch von SSL-Zertifikaten gesprochen wird, verwenden aktuelle Zertifikate mittlerweile das sicherere, effizientere und flexiblere TLS (Transport Layer Security). Die Funktionsweisen beider Systeme sind nahezu deckungsgleich. Da selbst die letzte SSL-Version noch zu viele Sicherheitslücken aufwies, wurde sie 1990 schließlich von TLS abgelöst.
Besonders Websites und Mailingdienste sowie ihre Nutzer:innen profitieren von der Verschlüsselung der Daten. Über das HTTPS Protokoll (HyperText Transfer Protocol Secure) und ein kleines Schloss-Symbol in der URL-Zeile können Internetbesucher:innen direkt ablesen, ob eine Seite das Verfahren verwendet und damit einen sicheren Austausch der sensiblen Daten gewährleistet. Mittlerweile werden Websites ohne SSL/TLS-Verschlüsselung vom Browser als unsicher gekennzeichnet.
Schritt-für-Schritt: So funktioniert das SSL/TLS-Zertifikat
- Anfrage vom Client an den Server: Die Serveranwendung, z. B. der Browser sendet dem Server als erstes eine Anfrage zu. Die Anfrage wird auch TLS-Request genannt.
- Authentifizierung des Servers durch Zertifikat: Der Server sendet dem Client daraufhin ein Zertifikat zur eigenen Authentifizierung zu.
- Validierung des Zertifikats durch den Client: Wenn das Zertifikat vom Client als vertrauenswürdig und gültig eingestuft wird, übermittelt dieser dem Server eine zufällige Zahlenkombination. Diese ist mit dem sogenannten Public Key (dt. öffentlicher Schlüssel) verschlüsselt.
- Generierung des Private Key durch den Server: Der sogenannte Private oder Session Key (dt. Sitzungsschlüssel, privater Schlüssel) wird aus der übermittelten Zahlenkombination des Clients generiert und an diesen verschlüsselt zurückgesendet. Diese Vereinbarung eines gemeinsamen geheimen Schlüssels wird auch Diffie-Hellman-Merkle-Schlüsselaustausch genannt und sorgt dafür, dass nur die beiden beteiligten Parteien diesen berechnen können.
- Austausch der Daten über eine sichere Verbindung: Durch die vorhergegangene gegenseitige Validierung können die entsprechenden Daten anschließend sicher zwischen Browser und Server ausgetauscht werden.
DSGVO: Ist ein SSL-Zertifikat Pflicht?
Websitebetreiber:innen müssen das SSL-Zertifikat seit Mai 2018 verpflichtend einsetzen. Genau genommen hätte der Großteil aller Websites die Verschlüsselung schon 2016 für alle Formulare einbinden müssen, in denen personenbezogene Daten abgefragt werden. Das sind dann z. B. Websites mit Login-Funktionen, Bezahlfunktionen oder Newsletter-Anmeldungen. Die erforderlichen Maßnahmen werden in Artikel 32 "Sicherheit der Verarbeitung" der DSGVO konkret dargestellt.
Betreiber:innen von Websites, die sich nicht an die Vorgaben der DSGVO halten, droht eine Abmahnung, die eine Geldstrafe von bis zu 50.000 € mit sich ziehen kann.
Wie viel kosten SSL-Zertifikate?
Die Kosten für das SSL/TLS-Zertifikat bewegen sich innerhalb der Standard-Tarife zwischen 5 und 30 € pro Monat. Die folgenden Leistungsmerkmale entscheiden darüber, wie viel die Verschlüsselung letztendlich kostet:
Anzahl der zu sichernden Domains und Subdomains
Achten Sie darauf, dass SSL-Zertifikate oft nur für eine Domain, nicht aber für ihre Subdomains ausgestellt werden. beispiel.de/kontakt und beispiel.de/faq würden demnach das gleiche Single-Domain-SSL-Zertifikat verwenden.
beispiel.beispiel.de als Subdomain müsste ein anderes SSL-Zertifikat zugeordnet werden. Die Lösung: Anbieter bieten oft die Möglichkeit an, Domains inklusive aller Subdomains zu schützen. Diese Tarife werden Wildcard-SSL-Zertifikate genannt.
Wollen Sie mehrere Domains schützen, können Sie auf Multi-Domain-Lösungen zurückgreifen.
Die Art der Validierung: Verschiedene Arten von SSL-Zertifikaten
Zusätzlich entscheidet die Art der Überprüfung über die Kosten für das Zertifikat. Zur Auswahl stehen die Domain-Validierung (DV), die Organisations-Validierung (OV) und die erweiterte Validierung (EV):
DV: Bei der Domain-Validierung prüft die Zertifizierungsstelle die Inhaberschaft der Domain, eine Authentifizierung erfolgt in der Regel sofort.
OV: Bei der Organisations-Validierung wird zusätzlich die Unternehmensidentität geprüft. Hier benötigt die Authentifizierungsstelle einige wenige Werktage.
EV: Bei der erweiterten Validierung wird den Websitenutzer:innen der besondere Schutz der Daten durch eine grün eingefärbte Schrift in der URL-Zeile angezeigt. Außerdem kann man durch einen Klick auf das Schlossymbol Informationen über das Unternehmen, die Art und das Ablaufdatum des Zertifikats erhalten.
Die gedeckte Schadensumme
Im Falle einer Sicherheitslücke, die auf Fehler in der SSL/TLS-Verschlüsselung zurückzuführen sind, haftet der Anbieter. Die gedeckte Schadensumme ist in den meisten Fällen sechs- bis siebenstellig.
Kann man Kostenlose SSL-Zertifikate einbinden?
Anbieter wie Let's Encrypt, Cloudflare und FreeSSL bieten als unabhängige Zertifizierungsstellen kostenlose SSL/TLS-Zertifikate an, die eine Gültigkeit von nur wenigen Monaten besitzen. Wir raten nicht nur deshalb von den kostenlosen Zertifikaten ab: Aufgrund des fehlenden Kundenservice, der rein automatischen Überprüfung der Domain und der fehlenden Haftung im Schadensfall, birgt dieses verlockende Angebot zu viele Risiken.
SEO: Welche Auswirkung hat das SSL-Zertifikat auf das Google Ranking?
Google möchte seinen Nutzer:innen eine sichere, schnelle und komfortable Suche ermöglichen. Kein Wunder also, dass das SSL-Zertifikat bereits seit 2014 zu der langen Liste der Rankingfaktoren gehört. Google veröffentlichte dazu ein Statement auf dem Google Search Central Blog, in dem u. a. die wachsende Bedeutung des Zertifikats angedeutet wurde:
„Nach einiger Zeit werden wir HTTPS als Signal aber möglicherweise stärker gewichten, um Websiteinhaber zum Wechseln von HTTP zu HTTPS anzuregen und dadurch die Sicherheit im Web zu erhöhen.“
Egal, ob Sie die Domain-, die Organisations- oder die erweiterte Validierung gewählt haben: Die Art des SSL-Zertifikats hat keinen Einfluss auf das Google-Ranking.
SSL-Zertifikat kaufen, einrichten und erneuern
Es bietet sich an, das SSL-Zertifikat bei dem Anbieter zu erwerben, der auch für das Hosting Ihrer Domain zuständig ist. Die Hosting-Anbieter arbeiten mit ausgewählten Zertifizierungsstellen zusammen, um diese Leistungen bündeln zu können. In diesem Fall wird die Einrichtung über die Einstellungen des Hosting-Anbieters vorgenommen. Wenige Klicks reichen hier aus, um die SSL-Verschlüsselung zu aktivieren. Bei Fragen oder individuellen Anforderungen kann man sich an den Kunden-Support wenden.
Das SSL-Zertifikat wird normalerweise bei allen Webprojekten von Anfang an eingeplant. Sollte eine Umstellung von HTTP auf HTTPS doch nachträglich vorgenommen werden, ist es notwendig, dass sich Maßnahmen anschließen, die einen positiven Einfluss auf die Website-Performance und SEO haben. Dazu gehören:
1. Weiterleitungs-Management:
Wird das Protokoll (http/https) indexierter URLs geändert, müssen diese über Weiterleitungen auf die neuen Seiten verweisen. Über den Status Code 301 entsteht eine permanente Weiterleitung von HTTP auf HTTPS.
2. HTTPS erzwingen:
Damit Ihre Seite nicht unter beiden Protokollen erreichbar ist, sollten Sie die .htaccess-Datei im Hauptverzeichnis Ihrer Website bearbeiten. Binden Sie dafür den folgenden Code-Schnippsel ein:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.) https://%{HTTP_HOST}/$1 [R=301,L]*
3. Anpassung der sitemap.xml:
Die Sitemap fungiert als Seitenverzeichnis und vereinfacht dem Google Crawler die Indexierung der enthaltenen Seiten. Laden Sie nach der Weiterleitung auf die neuen URLs eine neue Sitemap in der Google Search Console hoch.
4. Anpassung der robots.txt:
In dieser Textdatei wird festgelegt, welche Verzeichnisse und Dateien von dem Google Bot gelesen werden dürfen und welche nicht. Nach Änderungen kann die Anpassung dieser Datei erforderlich sein.
5. Prüfung der internen Verlinkungen:
Auch interne Verlinkungen können von der URL-Umstellung betroffen sein. Falls Sie absolute anstatt relativer Links verwenden, sollten Sie die Umstellung der internen Verlinkungen einplanen. Absolute Links verwenden die gesamte URL, wohingegen relative Links nur den Pfad zur entsprechenden Seite nutzen.
6. Prüfung von Backlinks:
Verweisen andere Websites auf Ihre Website? Die Qualität und Anzahl der Backlinks hat einen großen Einfluss auf das eigene Ranking. Informieren Sie die Seitenbetreiber:innen der fremden Websites über die URL-Änderungen, damit die wertvollen Backlinks nicht verloren gehen.
7. Standard-URL in Google Analytics aktualisieren:
Geben Sie das neue Protokoll in Ihrem Analytics-Kontos an. Dafür klicken Sie auf das Zahnrad (Verwaltung) in der Sidebar und ändern in den Property-Einstellungen das Protokoll von http:// auf https://.
8. Google Ads aktualisieren:
Die Anzeigen Ihrer Google Ads Kampagnen enthalten den Link zur beworbenen Landingpage. Vergessen Sie nicht, diese zu ändern, nachdem Sie die Weiterleitungen eingerichtet haben. Das können Sie zentral über die Einstellungen der Anzeigengruppen einrichten. Die URLs der Sitelink-Erweiterungen sollten Sie in diesem Rahmen ebenfalls anpassen.
9. Überprüfung über die Google Search Console:
Die Kontrolle der eigenen Website über die Google Search Console sollte ohnehin regelmäßig erfolgen. Nach den gesetzten Weiterleitungen und der Einrichtung der aktuellen Property ist eine tägliche Überprüfung der ausgegebenen Fehler empfehlenswert.
Wie lange ist mein SSL-Zertifikat gültig?
Die Laufzeiten für ein SSL-Zertifikat betragen meist zwischen einem bis drei Jahren. Sie sollten die Verlängerung des Zertifikats bereits 14 Tage vor Ablauf des alten Zertifikats beantragen. Bei einem Wechsel auf ein Zertifikat einer anderen Zertifizierungsstelle oder einen anderen Zertifikatstyp, empfehlen wir, sogar einen Monat vor Ablauf aktiv zu werden.
SSL-Zertifizierungsstellen (Certificate Authority)
SSL-Zertifizierungsstellen, auch Certificare Authorities (CA) genannt, müssen die Kriterien nationaler Normungsorganisationen (z. B. Europäisches Institut für Telekommunikationsnormen, ETSI) erfüllen, um SSL-Zertifikate ausstellen zu dürfen. Browser und Betriebssysteme arbeiten partnerschaftlich mit den akkreditierten Organisationen zusammen, um den Endnutzer:innen sichere Interaktionen im Internet zu gewährleisten. Einige dieser wenigen Zertifizierungsstellen sind ...