Für den Webauftritt ist Verschlüsselung Pflicht. Das hat nicht nur mit Vertrauen und Sicherheit zu tun, sondern auch mit der Position bei Google. Und Websites, die vom Browser nicht als sicher gekennzeichnet werden, könnten ab Herbst nicht mehr funktionieren. Tipps und Checklisten für die Umstellung.
Die gute Nachricht zuerst: Laut Google surfen Nutzer mit dem Chrome-Browser zu 90 Prozent auf Seiten mit einer verschlüsselten Verbindung. Erkennbar ist dies am kleinen Schlösschen links von der URL. Das bedeutet, dass die Verbindung zwischen Browser und Website verschlüsselt ist, Dritte die Daten also nicht mitlesen können. Erkennbar sind sichere Seiten daran, dass ihre Adresse mit «https» beginnt. Beim Artikel, den Sie gerade lesen, ist das https://www.swisscom.ch/…
Weshalb Sie Ihre Website verschlüsseln sollten
Sollte Ihr Webauftritt nicht verschlüsselt sein, ist es dringend Zeit zu handeln. Sie erkennen das daran, dass der Webbrowser – egal, ob Chrome, Firefox, Edge oder Safari – die Adresse als «nicht sicher» kennzeichnet. In der URL beginnt die Adresse mit «http» (ohne «S» für «secure»).
Für eine sichere Verbindung gibt es triftige Gründe:
- Bereits seit 2004 bevorzugt Google in den Suchresultaten Websites mit Verschlüsselung. Unter Umständen werden Sie mit einem unverschlüsselten Webauftritt schlicht nicht mehr gefunden.
- Seit Juli 2018 und Chrome-Version 68 werden alle nicht verschlüsselten Websites als unsicher markiert. Das kann Besucher abschrecken.
- Cyberkriminelle können unverschlüsselte Verbindungen abhören, Daten aus Kontaktformularen stehlen und sogar Schadsoftware einschleusen, die den Computer des ahnungslosen Besuchers befällt.
- Ab September 2020 schaltet Google mit Chrome Version 85 noch einen Gang höher: Bilder, die nicht ebenfalls über eine verschlüsselte Verbindung geladen werden, werden nicht mehr angezeigt. Das kann dazu führen, dass Ihr Webauftritt nicht mehr funktioniert. Die Problematik nennt sich «Mixed Content» und ist in der folgenden Box erklärt.
Mixed Content und Sicherheit im Internet
Die meisten Webseiten bestehen aus verschiedenen Elementen: der Seite selbst (dem HTML-Code), Bildern, Videos, Formatierungsanweisungen (CSS) und Javascript-Programmen. Alle diese Elemente werden mittels Link eingebunden. Wenn Sie beispielsweise auf Ihrem Webauftritt das Team der Firma vorstellen (das sollten Sie tun), gibt es vielleicht eine Seite mit der – sicheren – Adresse https://www.firmenname.ch/team.html. Darin sind die Bilder des Teams eingebunden. Und hier fangen die Probleme mit Mixed Content an, also mit gemischten Inhalten: Das ist dann der Fall, wenn Ihr Foto beispielsweise an der Adresse http://bilder.firmenname.ch/chef.jpg liegt. Das ist eine unsichere Verbindung, Ihr Webauftritt mischt also Inhalte von sicheren Verbindungen (die Seite selbst) mit solchen von unsicheren Verbindungen (das Bild).
Wenn nun Chrome – und andere Browser – diese Bilder nicht mehr anzeigen, gibt das ein Disaster. Sie können sich wahrscheinlich vorstellen, was passiert, wenn Besucher auf Ihren Produkteseiten oder im Online-Shop plötzlich keine Bilder mehr angezeigt bekommen.
Die Lösung besteht darin, alle Elemente Ihres Webauftritts über eine sichere, verschlüsselte Verbindung zugänglich zu machen. Diese Massnahmen vonseiten Google und anderen Browser-Anbietern sind keine Schikane, sondern ein Weg, das Web sicherer zu machen. Davon profitieren auch Sie und Ihre Kunden.
So verschlüsseln Sie Ihren Webauftritt
Neue Webauftritte sollten heute von Anfang an verschlüsselt sein, also nur über HTTPS zugänglich. Bestehende, unverschlüsselte Auftritte müssen umgestellt werden. In beiden Fällen ist der erste Schritt der Erwerb eines SSL-Zertifikats, einer Art digitaler Ausweis. Die meisten Webhosting-Anbieter offerieren Zertifikate, teils mit automatischer Installation und regelmässigen Updates. Denn SSL-Zertifikate sind nur für einen bestimmten Zeitraum gültig und müssen bei Ablauf erneuert werden.
Viele Webhoster haben diese Schritte automatisiert. Das heisst, Sie müssen die Umstellung nicht manuell vornehmen. Stattdessen bestellen Sie über den Verwaltungsbereich Ihrer Website ein Zertifikat. Dieses wird automatisch eingerichtet. Für weiterführende Schritte und bei technischen Anforderungen hilft die untenstehende Checkliste.
Bei vielen Webhostern kosten die einfachen Zertifikate für eine einzelne Adresse (www.firmenname.ch) nichts oder sind von Anfang an inbegriffen, wie beispielsweise beim Swisscom HomepageTool.
Checkliste: So stellen Sie erfolgreich auf Verschlüsselung um
Achtung – jetzt wird’s technisch! Aber keine Angst: Ihr Webmaster dürfte wissen, um was es in der folgenden Checkliste genau geht:
- Backup: Sichern Sie die bestehende Website, inklusive aller Bilder und Datenbanken. Falls etwas schiefläuft, können Sie so wieder auf den vorherigen Stand wechseln.
- Installieren und aktivieren Sie das SSL-Zertifikat. Diese Aufgabe erledigen Sie über den Verwaltungsbereich Ihrer Website bei Ihrem Webhoster. Testen Sie anschliessend, ob die Website via https:// erreichbar ist.
- Leiten Sie alle bestehenden HTTP-Adressen auf die HTTPS-Pendants um. Dazu dient am besten jeweils ein serverseitiger «301-Redirect». Auch dies nimmt Ihnen oft der Webhoster ab – achten Sie auf Optionen wie «Alle Anfragen automatisch auf HTTPS:// weiterleiten» oder «SSL forcieren».
- Interne Links anpassen: Links auf Seiten und Inhalte innerhalb Ihrer Website müssen angepasst werden: aus «http://…» wird «https://…». Bei statischen Webseiten (HTML-Dokumenten) lässt sich das in einem Texteditor mittels Suchen und Ersetzen bequem erledigen. Falls Sie ein Content-Management-System einsetzen, prüfen Sie, ob die Links automatisch auf die verschlüsselte Variante umgestellt werden. Ansonsten müssen Sie sie ebenfalls entsprechend ändern.
- Externe Links anpassen: Informieren Sie Partner, die einen Link auf Ihre Website gesetzt haben, über die Umstellung. Auch wenn unverschlüsselte Aufrufe automatisch umgeleitet werden, ist es besser, wenn alle Links direkt auf die verschlüsselte Seite erfolgen.
- Untersuchen Sie den Quellcode Ihrer Webseiten: Sind im Header Elemente wie Canonical- oder HREFLANG-Tags, Open-Graph-Tags oder Base-URL enthalten, müssen Sie diese auf die verschlüsselten Adressen anpassen.
- Achtung: Für die Suchmaschinen gleicht die Umstellung auf Verschlüsselung einem Domain-Umzug. Aktualisieren Sie Ihre Sitemap deshalb mit den neuen HTTPS-Adressen und reichen Sie das neue XML-Dokument bei den Suchmaschinen ein, zum Beispiel über die Search Console von Google. So gelangt die neue Sitemap schneller in den Suchindex.
- Haben Sie externe Inhalte wie Bilder, Werbeanzeigen, Webfonts, Formulare oder JavaScript-Bibliotheken eingebunden? Auch diese sollten nur noch über eine verschlüsselte Verbindung angesprochen werden, um Probleme wegen gemischter Inhalte zu verhindern. Fragen Sie die Anbieter solcher Inhalte, ob diese auch verschlüsselt zugänglich sind. Falls nicht, überlegen Sie sich, ob Sie die Inhalte direkt auf dem eigenen Webhosting unterbringen können.
Glossar: Die wichtigsten Begriffe kurz erklärt
HTTP, HTTPS (HyperText Transfer Protocol)
HTTP ist gewissermassen die Sprache, in der der Webbrowser mit Ihrem Webauftritt kommuniziert. Das «S» in HTTPS steht für «secure», also sicher. Das heisst, die Verbindung wird verschlüsselt und kann von Dritten – etwa Cyberkriminellen – nicht eingesehen werden.
SSL (Secure Socket Layer), TLS (Transport Layer Security)
Hierbei handelt es sich um Verfahren, um Daten in einer HTTPS-Verbindung zu verschlüsseln. TLS ist der Nachfolger von SSL. Im Sprachgebrauch hat sich das Wort jedoch gehalten. Häufig wird von einer «SSL-verschlüsselten Verbindung» gesprochen.
Zertifikat (SSL-Zertifikat)
Ein Zertifikat ist nichts anderes als ein digitaler Ausweis. Dieser bestätigt dem Browser die Identität der aufgerufenen Adresse, also des Webauftritts. Ein solches Zertifikat ist Voraussetzung, dass der Browser eine verschlüsselte Verbindung als vertrauensvoll und damit sicher akzeptiert. Herausgegeben werden diese Zertifikate von anerkannten Ausgabestellen, «Certificate Authority» (CA) genannt. Die wohl bekannteste CA ist «Let’s Encrypt», die kostenlose Zertifikate anbietet. Die meisten Hosting-Anbieter bieten die Möglichkeit, unkompliziert ein solches Zertifikat zu erwerben. Das gilt auch für das Webhosting von Swisscom.
Verschlüsselung
Bei einer verschlüsselten Verbindung wird der Inhalt mittels kryptografischen Verfahren so codiert, dass er für Aussenstehende unverständlich wird. Nur wer den passenden Schlüssel besitzt, kann den Inhalt wieder entziffern. Verschlüsselungsverfahren wie TLS sind die Grundlage für sichere Verbindungen im Internet.
Aktualisierte Version eines Artikels vom November 2017.
zum studieren bei Gelegenheit
«Eine verschlüsselte Website erhöht also die Sicherheit.»
Ich bin der Meinung, dass der Webseiten-Inhalt nicht verschlüsselt ist – sondern nur der Transport dieser Daten vom und zum Webserver.
Eigentlich hatte ich schon eine Web-Site nämlich: http://www.aesthetik-werbung.ch – bzw. mk@aesthetik-werbung.ch. Durch einen schweren Unfall konnte ich diese aber nicht weiter betreiben. Schauen Sie doch einmal nach, vielleicht können wir diese mit neuer Adresse reaktivieren oder machen Sie mir einen kreativen Vorschlag (am besten in gedruckter Form, Broschüre oder so.)
Grüezi Herr Binder
Von einigen unserer Mitglieder wurden wir auf Ihren Artikel und vor allem auf das verwendete Bild aufmerksam gemacht. Wir haben gesehen, dass es ein Keystone-Foto ist. Es ist also möglich, dass es aus einem Land kommt, in dem dass Coupieren der Ruten bei Hunden noch erlaubt ist. In der Schweiz ist diese Praxis seit 2002 verboten. Können Sie bitte das Bild gegen eines austauschen, auf dem keine in der Schweiz verbotenen Praktiken dargestellt sind. Vielen Dank.
Andreas Rogger, Geschäftsführer der Schweizerischen kynologischen Gesellschaft
Guten Tag Herr Rogger
Besten Dank für den Hinweis, wir haben das Bild nun ausgetauscht.
Beste Grüsse aus der Swisscom Magazin-Redaktion
Andreas Heer
Vielen Dank für die prompte Reaktion!