SICHERE WEBSITES

Sicher ist Ihnen das schon aufgefallen: Die meisten Internetadressen beginnen inzwischen mit https statt http. Das s am Ende steht für Secure und basiert auf der Technologie Secure Socket Layer (SSL) beziehungsweise neu Transport Layer Security (TLS). Mit dem hinter SSL/TLS stehenden Zertifikat wird die Verbindung zwischen Client und Server verschlüsselt und so vor ungewollten Mitlesern geschützt. Dies ist insbesondere bei der Übermittlung sensibler Daten wie Kreditkarten-Nummern verpflichtend, aber auch bei sonstigen Daten wie Login-Daten, Adressen und Bestellungen für alle Beteiligten wünschenswert.

Relevant ist das Zertifikat immer dann, wenn Benutzer auf Ihrer Seite Daten eingeben (z.B. Login-Daten, Newsletteranmeldung usw.). Die meisten Browser, wie z.B. Google Chrome und Firefox, zeigen http-Seiten, die sensible Daten verarbeiten, schon seit 2017 grundsätzlich als unsicher an. Mit der neuesten Chrome-Version werden seit Juli 2018 nun alle http-Seiten als unsicher angezeigt (Artikel zum Thema: 1 2 3).

Auch wenn Sie noch keine Verschlüsselung nutzen, die Umstellung von http auf https ist ein eingespielter Prozess, der für Sie nur wenig Aufwand bedeutet.

1. VORBEREITUNG
   Zur Beantragung und Einrichtung des Zertifikats werden folgende Angaben benötigt:
   
   Wie lautet die eindeutige, externe IP des Servers?
   Pro SSL/TLS Domain sollte es eine eindeutige, externe IP geben.
   
   Für welche Domains soll das Zertifikat beantragt werden, benötigt es ein Wildcard Zertifikat?
   Beispielsweise www.domain.ch oder *.domain.ch. Bei einer *.domain.ch entstehen höhere Kosten, dafür kann die Domain für verschiedene Dienste wie crm.domain.ch und shop.domain.ch verwendet werden.
   
   Über welche Laufzeit soll das Zertifikat beantragt werden?
   Die gängigen Laufzeiten betragen 1, 2 oder 3 Jahre. Wir empfehlen eine Laufzeit von 2 Jahren.
2. BESCHAFFUNG
   Die Zertifikate werden von verschiedenen etablierten Händlern angeboten. Polynorm beschafft das Zertifikat anhand ihrer Angaben für Sie bei unserem Partner Digicert (https://www.digicert.com).
3. EINRICHTUNG
   Das Zertifikat wird auf dem Webserver eingerichtet, Anfragen über die alte HTTP-Adresse werden automatisch auf die neuen HTTPS-Adressen umgeleitet.

Besonders wichtig: Auch Websites, die bereits zertifiziert sind, können Handlungsbedarf haben. Google hat angekündigt, ab Mitte 2018 Zertifikate des Herstellers Symantec in den neuen Browserversionen (Google-Mitteilung nachlesen) nicht mehr zur unterstützen, auch Mozilla hat sich zu diesem Schritt entschlossen (offizielle Mitteilung von Digicert). Konkret bedeutet das: Ab April akzeptieren sowohl der Chrome- als auch der Firefox-Browser diese Zertifikate nicht mehr.

Stand heute wird das Problem nur Nutzer mit den neuesten Versionen von Chrome und Firefox betreffen. Das macht es allerdings nicht vernachlässigbar: Chrome ist immerhin der meistgenutzte Browser in der Schweiz, Firefox auf Platz 3 (zum Ranking).

Sie können Ihre Website selbst überprüfen:

• Öffnen Sie ihre Website im Chrome-Browser und drücken Sie F12 (Windows) oder Cmd+Umschalt+i (Mac)
• Öffnen Sie den Reiter „Console“
• Ist Ihr Zertifikat betroffen, finden Sie hier gelb hinterlegt die Meldung "The SSL certificate used to load resources from https://www.website.ch will be distrusted in M66."

Auch Zertifikate von Symantec-Resellern, die vor 2016 ausgestellt wurden, sind betroffen. Dazu gehört auch unser früherer Partner Thawte, diese Zertifikate können mit relativ wenig Aufwand neu ausgestellt werden.

Neben der Sicherheit für den Benutzer und dem gesteigerten Vertrauen in den Betreiber der Website ist SSL/TLS auch für die Suchmaschinenoptimierung (SEO) von Bedeutung. Bereits seit 2014 ist SSL/TLS ein Ranking-Faktor bei Google (Link). Seiten, bei denen Nutzereingaben verschlüsselt werden, erhalten durch den Google Algorithmus einen kleinen Bonus gegenüber nicht-verschlüsselten Seiten. Im Vergleich zu sonstigen Aufwänden im SEO Bereich ist SSL/TLS damit eine sehr einfache und wirksame Option, das eigene Ranking etwas zu verbessern.