10 Schritte, um Ihr Web von HTTP auf HTTPS umzuleiten
23.07.2018 | Petra Alm
Die Einsetzung eines SSL/TLS-Zertifikats auf die Webseite und die zusammenhängende HTTPS-Absicherung sind zwar ein Muss, aber nicht ein kompliziertes. Auch trotzdem ist hier Vorsicht nötig und es müssen alle in Frage kommenden Aspekte erwägt werden. Der folgende Artikel sollte Ihnen bei der Implementierung des Zertifikats auf das Web behilflich sein, somit für Sie die Absicherung so einfach wie möglich wird.
Schritt Nr. 1 – Bedenken Sie die Sicherheitsrisiken der Webseite
Zuerst raten wir Sie dazu, alle Adressen der Webseite (URLs) zu durchforsten und sich davon zu überzeugen, dass sie mit dem HTTPS-Protokoll zusammenarbeiten können und dass Sie sie im Notfall ändern können. Die Links des Webs anzupassen ist ziemlich einfach und Sie können dies nur mit der Hilfe Ihres Webmasters tun. Falls die Links relativ sind (siehe den Schritt Nr. 5), müssen sie gar nicht umgestellt werden. Falls Sie in den Links des Quellcodes HTTP fest nutzen, müssen Sie den Webmaster um Änderung der Links direkt in der Datenbank bitten.
Neben dem Inhalt selbst muss auch der externe Inhalt und alles, was auf das Web vom Außen eingelesen wird, überprüft werden. Hier muss HTTPS schon in der Quelle definiert sein, was nicht immer selbstverständlich ist. Sollte HTTPS nicht überall erreichbar sein, werden Sie auf ein Problem Namens gemischter Inhalt stoßen, welches wir uns in dem fünften Schritt näher anschauen.
Bei der Webanalyse sollten Sie auch alle externen Tools, Plug-ins und Erweiterungen untersuchen. Sondern Sie diejenigen aus, die Sie nicht unbedingt benötigen. Ziehen Sie offene Openscource-Lösungen vor und weichen Sie solchen Tools aus, die nicht regelmäßig aktualisiert werden und die somit die Sicherheitslöcher nicht gepatcht haben.
Schritt Nr. 2 – Sichern Sie
Vor jedem größeren Eingriff in das Web und somit auch vor der Implementierung des Zertifikats sollten Sie eine Sicherungskopie erstellen. Theoretisch gibt es nichts, was misslingen könnte, aber Murphys Gesetze kennen Sie bestimmt – es ist immer besser sicherzugehen. Es ist ratsam, das dauerhafte Speichern mit Ihrem Webhosting oder Administrator zu besprechen. Für den Dienstleister sind auch diese Aufgabe und die Wiederherstellung aus dem Back-up einfach, weil er über automatisierte Tools verfügt. Der Administrator, bzw. der Webmaster, kann das Web auch manuell sichern.
Schritt Nr. 3 – Wählen Sie das richtige Zertifikat aus
Der Erwerb des Zertifikats ist einfach. Auf www.SSLmarket.de wählen Sie das passende Zertifikat nach der Validierungsart, nach dem Niveau der Authentifizierung und dem bevorzugten Preis aus. Auch wenn Sie sich für das preisgünstigste SSL/TLS-Zertifikat wie RapidSSL entscheiden, machen Sie keinen Fehler und das Web wird vertrauenswürdig abgesichert. Falls Sie bei der Auswahl unsere Assistenz benötigen, zögern Sie nicht und nutzen Sie unseren Leitfaden. Falls neben der Adresszeile auch der Name Ihres Unternehmens grün gefärbt werden soll (wie Sie auf www.SSLmarket.de sehen können), wählen Sie auf jeden Fall ein EV-Zertifikat mit der erweiterten Validierung aus.
Was für ein SSL/TLS-Zertifikat aus dem Angebot an SSLmarket Sie sich auch entscheiden, wird das Web völlig vertrauenswürdig sein, in allen Browsern, und den Webseitebesuchern werden keine Fehlermeldungen oder Warnungen angezeigt.
Schritt Nr. 4 – Erwerben und implementieren Sie das SSL/TLS-Zertifikat
Das frisch ausgestellte SSL/TLS-Zertifikat erhalten Sie per E-Mail und gleich nachdem können Sie an seine Installierung herangehen. Falls Sie sie selbst durchführen werden, werden Ihnen bestimmt unsere Anleitungen in dem SSLmarket-Infozentrum gelegen kommen.
Zu der Installierung benötigen Sie Zugriff zu dem Server. Am besten sollte sie der Administrator als auf diesem Gebiet erfahrene Person durchführen. Es können nämlich Komplikationen auftauchen, die dazu führen könnten, dass das Web nicht mehr betriebsfähig wird.
Ein zuverlässiger Webhoster sollte Ihnen ermöglichen, das Zertifikat über die Eingabemaske einzusetzen.
Schritt Nr. 5 – Beheben Sie den gemischten Inhalt
Der gemischte Inhalt (mixed content) vertritt alles, was auf die Webseite über das nicht abgesicherte Protokoll HTTP übertragen wird. Bei statischen Elementen wie Bildern wird die Verschlüsselung verletzt und der Browser wird deshalb Warnungen anzeigen. Falls es sich um aktive Elemente handelt, wie zum Beispiel um Skripts, dann wird sie die Mehrheit der gegenwärtigen Browser blockieren. Der gemischte Inhalt bedeutet somit, dass der Besucher in dem Browser entweder eine Sicherheitswarnung sehen wird und sein Vertrauen und Sicherheit geschwächt werden, oder dass das Element blockiert wird, auf der Webseite wird es nicht angezeigt und der Webauftritt wird um es vorenthalten.
Firefox warnt vor dem gemischten Inhalt mit einem Symbol neben der Adresszeile
Bei der Implementierung von allen Elementen in die Webseite gehen Sie von relativen URL-Adressen aus und definieren Sie die HTTP- oder HTTPS-Protokolle nicht direkt in den HTML-Links.
Schritt Nr. 6 – Halten Sie die Sicherheitsstandards ein
Das SSL/TLS-Zertifikat auf dem Web stellt nur ein von den vielen Tools dar, mit welchen die Sicherheit des Webseitebesuchers erzielt wird. Allein kann es die Absicherung des Webs nicht gewährleisten. Deshalb ist es wichtig, die aktuellen Sicherheitsempfehlungen und Standards einzuhalten.
Als Beispiel der richtigen Anwendung können wir uns die Ausschaltung der alten und gefährlichen SSL-Protokolle und Nutzung der ausschließlich sicheren nennen, die als TLS-Protokolle bezeichnet werden. Gleich umsichtig sollten Sie an die Einstellung der Verschlüsselungen auf dem Server herantreten. Eine fehlerhafte Einstellung kann die Sicherheit des Webs herabsetzen und das Zertifikat nutzlos machen.
Die aktuellen Sicherheitsbedrohungen und Trends zu beobachten und einzuschätzen ist anstrengend und praktisch kein Webauftritt-Inhaber verfügt über die dazu nötige Zeit. Die Verwalter überwachen jedoch mindestens die aktuelle Situation. Aus diesen Gründen ist es empfehlenswert, ein qualifiziertes Tool auszunutzen, welches für Sie diese Aufgabe lösen wird – zum Beispiel den Test von SSLlabs.com. Seine Ergebnisse zeigen Ihnen den Stand der Webabsicherung an und weisen Sie sehr deutlich auf die Schwachstellen hin, welchen Sie Ihre Aufmerksamkeit widmen müssen. Mit diesem Tool wird es für Sie kinderleicht, das Web sicher zu konfigurieren.
Schritt Nr. 7 – Leiten Sie HTTP auf HTTPS um
Die Umleitung von HTTP auf HTTPS stellt nach der Installierung des Zertifikats den wichtigsten Schritt in dem ganzen Prozess dar. Die Umleitung muss manuell vorgenommen werden (sie wird nicht automatisch nach der Einsetzung des Zertifikats aktiviert) und somit müssen Sie mit ihr Ihren Serververwalter beauftragen, eventuell können Sie Ihren Webhosting-Provider fragen.
Sollte die Webseite nicht umgezogen werden, würden die Besucher das HTTP-Protokoll nutzen (falls sie von Hand in die Adresszeile nicht HTTPS einschreiben) und somit hätte das Zertifikat keinen Zweck. Aus der Sicht von SEO stellt die Umleitung mit 301 status code sogar eine Pflicht dar, denn ansonsten werden Google zwei gleiche Varianten Ihres Webs angezeigt und die Bewertung der Seiten wird sich zwischen beide spalten.
Schritt Nr. 8 – Setzen Sie HSTS ein
HSTS steht für den Mechanismus HTTP Strict Transport Security. Es handelt sich um eine Erweiterung des HTTP-Headers, welche für die Absicherung Ihrer sämtlichen Kommunikation über HTTPS sorgt. Laienhaft gesagt wird es mit eingesetztem HSTS nicht mehr möglich sein, sich mit dem Web über das nicht abgesicherte HTTP-Protokoll zu verbinden.
Die Nutzung von HSTS setzt ein gutes Zertifikat-Management voraus. Sollte das aktivierte Zertifikat nämlich ablaufen, wird allen Ihren Kunden eine Fehlermeldung angezeigt. Bei SSLmarket.de werden Sie an das sich nähernde Ablaufdatum einmal pro Monat mit einem Gesamt-Auszug erinnert, nachfolgend mehrmals bei dem konkreten Zertifikat und ebenfalls können Sie sich ein Autorenew mit automatischer Zahlung einstellen. Somit wird den möglichen Problemen mit der endenden Gültigkeitsdauer maximal vorgebeugt. Natürlich darf der Verwalter nicht vergessen, das verlängerte Zertifikat noch einzusetzen.
Zusammen mit dem HSTS-Mechanismus wird oft auch die Erweiterungstechnologie HPKP erwähnt. Es handelt sich um öffentliche Erstellung von Schlüsseln (also von Zertifikaten), die für das Web genutzt werden können. Sie können auch in die Liste der über HSTS erreichbaren Domains in dem Internetbrowser ergänzt werden. In der Praxis sind mit diesem Tool jedoch große Risiken verbunden. Wir raten Sie von seiner Nutzung ab, weil es Ihr Web für die Zeit, für welche die Headers gültig sind, außer Betrieb setzen kann. Typischerweise wird ihre Gültigkeit für 31536000 Sekunden eingestellt, also für ein Jahr!
Schritt Nr. 9 – Sichern Sie Cookies ab
Sichern Sie die von Ihrem Web genutzten Cookies ab. Den Ausdruck Cookies kennen Sie bestimmt von den lästigen Leisten auf sogar allen Webseiten, die Sie im Internet ansteuern. Es handelt sich um kleine Dateien, in welchen Informationen über den Besucher und seine Identifizierung gespeichert sind.
Es ist nötig, dass Sie auf dem Server die Nutzung von sicheren Cookies einstellen. Dafür werden die Befehle „HttpOnly“ und „Secure“ sorgen. Ein sicheres Cookie bedeutet, dass es zu dem Client via HTTPS übertragen wird und dass sein Inhalt nicht mitgelesen werden kann. Als ein weiteres Niveau der Absicherung können die Cookies auch verschlüsselt werden. Auf der Seite des Besuchers werden sie nicht mehr als einfache Textdateien gespeichert, sie werden verschlüsselt. Somit werden Sie dem Diebstahl der Log-In-Angaben Ihrer Kunden vermeiden.
Schritt Nr. 10 – Nutzen Sie nur eine URL und überprüfen Sie die SEO-Tools
In dem siebten Schritt haben Sie die Umleitung der Webseiten von HTTP auf HTTPS eingestellt. Dies haben Sie nicht nur wegen der Sicherheit getan, sondern auch wegen SEO. Eine sowohl über HTTP als auch über HTTPS erreichbare Webseite wird von den Suchmaschinen als zwei selbständige Inhalte (logischerweise duplizierte) betrachtet. Und dies ist natürlich nicht in Ordnung. Ein ähnliches Problem ist das Funktionieren des Webs auf der Domain mit und ohne WWW – auch diese Duplizität muss mit der Umleitung behoben werden. Doppelte Webseiten entstehen sogar auch bei der Anwesenheit oder Absenz des Schrägstriches am Ende der URL (zum Beispiel Wordpress und andere Systeme für die Verwaltung der Webseite-Inhalte).
Dem Google Analytics-Dienst, welchen Sie auf dem Web bestimmt nutzen, kann das sowohl über HTTP als auch über HTTPS laufende Web als zwei verschiedene Hostnames vorkommen, was sich auf SEO und Google Analytics auswirkt. Das gleiche gilt für die Varianten name-der-domain.de und www.name-der-domain.de Nach der Umleitung von HTTP auf einen URL-Namen mit HTTPS überprüfen Sie, ob die von Ihnen genutzten SEO-Tools tatsächlich nur von dem einen Domainnamen ausgehen.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de