“Diese Seite ist nicht sicher”
In den letzten Monaten werde ich von Kunden und Freunden immer wieder gefragt, was die Warnung “Diese Seite ist nicht sicher” auf Webseiten oder bei Eingabefeldern zu sagen hat, was es mit dem SSL Zertifikat und google auf sich hat und was nun zu tun sei.
Kompetente Fachbeiträge hierzu gibt es viele, allerdings verstehen die Menschen welche ich in der Regel am Telefon habe, diese Worte nicht. Daher hier einmal eine möglichst etwas “einfachere” Erklärung – und Beispiel Lösung.
Die einfache Erklärung, warum ein SSL Zertifikat notwendig ist.
Google hat sich auf die Fahnen geschrieben (das Ziel erklärt) unser Internet sicherer machen zu wollen. Dazu nötig sei, das Daten im Internet nicht mehr normal (http://) sondern mit einem SSL Zertifikat verschlüsselt (per https://) übertragen werden – z.B. auch, weil zu viele Menschen das Internet heute über ungeschützte öffentliche WLAN Netze nutzen, ist der Aspekt nicht unerheblich – wenn es das Problem auch nicht in Gänze löst).
Als Erstes hat google alle Webseiten die Daten verschlüsselt übertragen, also über https:// aufrufbar sind, statt über http:// einen Pluspunkt gegeben, damit rutschen alle Webseiten ohne ein SSL Zertifikat im Suchmaschinen Ergebnis, weiter nach hinten – oder müssen weit mehr tun um nicht nach hinten zu fallen. Als nächstes wurde der Effekt verstärkt, in dem unverschlüsselte Webseiten sogar einen Minuspunkt bekamen. Dazu die Ankündigung seitens google, man wolle bis Ende 2018 (so war das Datum glaube ich) alle nicht verschlüsselten Webseiten aus dem Google Ergebnis verbannen.
Alarmstufe ROT – ein SSL Zertifikat muss her.
Das ist natürlich Alarmstufe Rot für jede Webseite ohne SSL Zertifikat. Denn dann wird man nicht nur bei bestimmten Schlagworten /Keywords nicht mehr gefunden, sondern auch nicht, wenn der potentielle Besucher den Namen der Webseite ins google Suchfeld ein tippt.
Um ein SSL Zertifikat zu bekommen, wendet man sich in der Regel an den Provider wo die Domain registriert oder gehostet ist. Dieser muss einen Techniker an den Server schicken, ein Zertifikat für die gewünschte Domain oder Subdomain einrichten, dann zu einem SSL Zertifikat-Anbieter gehen, das ganze zertifizieren lassen und das Ergebnis wiederum am Server einbinden (grob gesagt). Das Zertifikat wurde dann auf den Namen des Domaininhabers ausgestellt und teilweise (je nach Anbieter) die Identität geprüft.
Aufgrund der Gebühren der Zertifizierungsstelle und des nötigen Aufwandes, war dies sehr teuer.
“Let´s Encrypt” – das kostenfreie Zertifikat
Damit google seinen Plan umsetzen kann, war eine auch für Private Webseiten finanzierbare Lösung nötig.
Google, Firefox, Cisco und viele weitere Internet Giganten haben sich zusammen getan und den SSL Zertifikat Anbieter “Let´s Encrypt” gesponsert. Damit ist dieser in der Lage kostenfreie Zertifikate an zu bieten. Diese Zertifikate sind nicht Inhaber verifiziert sondern Domain basiert. Sprich, es steht im Zertifikat nicht Name und Anschrift des Domaininhabers, sondern diese Zertifikate sind auf die “Domain” ausgestellt, eine Prüfung der Inhaberdaten findet nicht statt.
Die Zertifikate haben auch nur eine Laufzeit von 3 statt 12-36 Monaten (müssen dann also wieder verlängert werden, damit die Webseite funktioniert) und es bleibt natürlich das Einbinden des Zertifikates auf dem Server des Providers, was häufig nicht vom Kunden selbst durchgeführt werden kann und daher von den meisten Providern (welche ja auch ihre kostenpflichtigen SSL Zertifikate verkaufen möchten) nicht angeboten wird.
Provider wollen mit der Angst Geld verdienen und bieten fremde Zertifikate (wie Let´s Encrypt) nicht an.
Viele Anbieter haben durch die “Drohkulisse” (Verlust des google Rankings) Lunte gerochen und SSL Zertifikate verkaufen sich derzeit sehr gut. Viele Anbieter werben in Ihren Tarifen auch mit “Kostenloses SSL Zertifikat”. Allerdings ist oft nur das erste Zertifikat kostenfrei und ab dem zweiten kostet es dann 3-4€/Monat. Ein Zertifikat ist aber immer nur für 1 Domain oder Subdomain. Also z.b. für suleitec.de ODER blog.suleitec.de, möchte ich beides verschlüsseln, brauche ich 2 Zertifikate und muss bezahlen.
Für unsere Suleitec Webhosting Kunden steht ab dem Tarif Aktiv PRO das SSL Tool zur Verfügung. Dieses Tool ermöglicht ohne Zusatzkosten das Einbinden von fremden SSL Zertifikaten für jede bei Suleitec registrierte Domain und allen Subdomains. Speziell für die kostenfreien Let´s Encrypt Zertifikate ist eine Unterstützung enthalten, welche diese Zertifikate mit 2 Klicks aktivierbar macht UND: diese Zertifikate werden von dem SSL Tool automatisch alle 3 Monate verlängert.
Es muss einfach beides geben. Althergebracht solide, sowie kostenlos und dennoch sicher.
NATÜRLICH bieten wir auch weiterhin die kostenpflichtigen Inhaber verifizierten SSL Zertifikate an. Wir selbst verwenden für alle “wichtigen” Seiten, wie mail.suleitec.de , webftp.suleitec.de etc immer noch die kostenpflichtigen Zertifikate. Für Webseiten und Blogs, auf denen wir keine wichtigen Daten übertragen, Besucher gar keine Daten eingeben etc – da reicht auch uns das kostenfreie Let´s Encrypt Zertifikat, welches technisch gesehen genau so gut verschlüsselt, wie die kostenpflichtigen.
Hier ein kleines Video, welches wir für unsere Suleitec Kunden gemacht haben. Es zeigt wie mit wenigen Klicks ein entsprechendes Zertifikat einzurichten ist.
WICHTIG: Nicht jede Webseite kann mit einem SSL Zertifikat umgehen! Auf unserer Webseite gsl-webservice.de haben wir das Zertifikat aktiviert, die URL einfach im Admin Bereich des CMS von http auf https umgestellt – und alles lief ohne Probleme.
Hier auf dem Webwork-Magazin ist ein altes Template installiert. Hier gab es massive Probleme und wir haben die Umstellung rückgängig gemacht, da derzeit Kundenprojekte wichtiger sind und uns für eigene Projekte etwas die Zeit fehlt. Die Umstellung “kann” also je nach alter/Programmierung der Webseite umfangreichere Maßnahmen erfordern :)
