Jetzt wird es Zeit: Die DSGVO macht SSL zur Pflicht!

Spätestens am Freitag, den 25. Mai 2018 ist die SSL-Verschlüsselung von Websites ein Muss. An diesem Stichtag tritt die vielseits diskutierte Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie vereinheitlicht europaweit die Regeln zur Verarbeitung personenbezogener Daten. Wir erklären Ihnen, was SSL heißt, wie Sie Ihre Websites sicherer machen und fit für die DSGVO machen.

Eigentlich ist eine Umstellung Ihrer Websites vom Kommunikationsprotoll HTTP auf HTTPS (SSL-verschlüsselt) mit Kontaktformularen schon seit dem 1. Januar 2016 Pflicht (§ 13 Abs. 7 TMG). Auch hier war die Erhebung personenbezogener Daten mittels der Website der Grund. Allerdings sind damals nicht alle Websitebetreiber diesem Gesetz gefolgt. Im Zuge der mittlerweile fast hysterisch erwarteten Auswirkungen der DSGVO allerdings ist die Nutzung einer SSL-Verschlüsselung ein fester Bestandteil. Zudem lohnt sich diese in Hinblick auf ein besseres Google Ranking. Websitebesucher bewerten SSL-Zertifikate mit dem grünen Schloss in der Adresszeile positiv und vertrauen solchen Seiten mehr.

Was ist ein SSL-Zertifikat?

SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten, die vom Computer zu einem Server transportiert werden. Mittlerweile wurde SSL weiterentwickelt. Das aktuelle Standard-Verschlüsselungsverfahren ist das Transport Layer Security-Protokoll (TLS). Allerdings hat sich der Name SSL so eingebürgert, dass er weiter genutzt wird. SSL-Zertifikate gibt es in unterschiedlichen Sicherheitsstufen und Preisklassen. Alle Daten, die auf diesem Weg übertragen werden, sind vor dem Zugriff durch Dritte geschützt.

Unterschiedlicher Sicherheitsgrad bei SSL-Zertifikaten

Beim Einrichten eines SSL-Zertifikats prüft der Anbieter die Echtheit der Website. Über das HTTPS-Protokoll richtet er außerdem eine verschlüsselte SSL-Verbindung ein.

Es gibt grundsätzlich drei Typen von SSL-Zertifikaten:

  1. Domain-Validierung:

Es wird überprüft, ob der Antragsteller technischen Zugriff auf die von ihm angegebene Domain hat.

  1. Inhaber-Validierung:

Der Antragsteller muss die Existenz des Unternehmens zum Beispiel durch einen Handelsregisterauszug oder Gewerbeschein nachweisen.

  1. Erweiterte Validierung:

Diese Variante unterliegt den strengsten Vergaberichtlinien. Für die Beantragung sind neben dem Handelsregisterauszug detaillierte Angaben zum Unternehmen, wie der Geschäftssitz und Ansprechpartner erforderlich. Der Besucher erkennt solch abgesicherte Seite durch eine grüne Adresszeile.

SSL-Zertifikat in wenigen Schritten einrichten

Für die Einrichtung benötigen Sie bei der DF keine fest IP-Adresse. Grundvoraussetzung ist ein gemanagter Server oder ein selbstadministriertes System. Über die Server Name Indication wird die Webseite mit ihrer Domain einer IP-Adresse zugeordnet und damit eindeutig identifiziert.

Am besten bestellen Sie das SSL-Zertifikat direkt zusammen mit dem entsprechenden Serverprodukt. Sie können es mit einem Klick auch jederzeit nachrüsten.

  • Dazu loggen Sie sich einfach ins Kundenmenü ein und wechseln Sie zum Menüpunkt „SSL-Zertifikate“. Die Bestellung ist in jedem unserer Produkte möglich.
  • Wie schnell geht das? Beim Kauf eines SSL-Zertifikats mit Domain-Validierung ist Ihre Seite innerhalb weniger Minuten nach der Bestellung auf HTTPS umgestellt. Bei Zertifikaten mit Inhabervalidierung überprüfen wir den Inhaber. Bei einfacher Inhabervalidierung müssen Sie hierfür zusätzliche Dokumente einreichen. Die Ausstellung dauert in der Regel ein bis zwei Arbeitstage. Beim Kauf eines Zertifikats mit erweiterter Inhabervalidierung wird zusätzlich der Ansprechpartner überprüft, der als Inhaber hinterlegt wurde. Er muss bei der Organisation beschäftigt sein, die das Zertifikat bestellt hat und zu dieser Bestellung berechtigt sein. Das wird durch einen Anruf über eine Telefonnummer verifiziert, die aus unabhängigen Quellen ermittelt wird. Die Ausstellung dauert in der Regel fünf bis zehn Arbeitstage.
  • Übrigens: Die SSL-Zertifikate von DomainFactory können Sie auch auf externen Servern einsetzen.
  • Die Zertifikate sind 2 Jahre gültig. Das Zertifikat wird nicht automatisch erneuert, wir benachrichtigen Sie jedoch rechtzeitig vor Ablauf per E-Mail.

Hier bestellen Sie Ihr SSL-Zertifikat bei DomainFactory!

Die andere Seite der HTTPS-Medaille

Es gibt nichts, was nur Vorteile hat: Deshalb hier ein Überblick über die Nachteile der HTTPS-Umstellung. Faktisch wird sie als komplette Umstellung Ihrer Domain gesehen, was bedeutet, dass Ihnen alle bestehenden Shares und Likes auf Ihrer Website „verloren“ gehen. Sie sind natürlich nicht weg, aber werden im Sharecount Ihres Plugins nicht mehr angezeigt. Nur mit Plugins mit Share Recovery, wie zum Beispiel Social Warefare, werden die Shares weiter angezeigt.

Zudem sollten Sie in der WordPress-Anwendung, wenn es nicht automatisch passiert, im Adminbereich unter Einstellungen > Allgemein die neue URL eintragen. Statt http://ihre-Seite muss bei WordPress-Adresse (URL) jetzt https://ihre-Seite stehen.

Zum Ändern bestehender URLs, installieren Sie zum Beispiel das Plugin Better Search Replace. Nach der Installation suchen Sie Ihre Seite „http://ihre-seite.de“ und ersetzen alle Treffer durch „https://ihre-seite.de“.

Der letzte Schliff

Auch wenn WordPress jetzt versucht, alle Seiten über HTTPS auszugeben, klappt das nicht immer reibungslos. Es kommt zu Mixed-Content-Warnungen. Dann ist die Webseite zwar SSL-verschlüsselt, beinhaltet aber unsichere HTTP-URLs. Sie finden die Fehler durch Warnungen von Browsern wie Firefox oder Chrome. Wenn das Schloss in der Adresszeile neben Ihrer URL nicht grün, sondern rot oder gelb ist, müssen Sie noch etwas an einigen Dateien tun. Dazu klicken Sie zum Beispiel bei Firefox auf das Schloss. Es geht ein Feld auf, indem „unsichere Verbindung“ steht. Klicken Sie jetzt darauf und dann auf „Weitere Informationen“. Dort finden Sie unter „Medien“ alle Dateien, die noch nicht auf HTTPS umgestellt sind. Leider müssen Sie die Fehler händisch beheben.

Die Vorteile von SSL-Zertifikaten noch einmal zusammengefasst:

  • Besseres Google-Ranking durch HTTPS-/SSL-Verschlüsselung
  • Vollautomatische Einbindung der Zertifikate auf den DomainFactory-Servern
  • Höchste Vertrauenswürdigkeit durch optionale Inhaber-Validierung
  • ExtendedSSL durch grüne Browser-Adresszeile hervorgehoben
  • Sichere Verbindung mit bis zu 256-Bit-Verschlüsselung durch AES
  • Einbindung auf beliebig vielen externen Servern möglich

Fazit

Geschafft! Jetzt ist Ihre Website auf HTTPS umgestellt und SSL-verschlüsselt. Denken Sie daran: Wenn Sie Google Analytics oder die Search Console für das Tracken Ihres Internetauftritts nutzen, müssen Sie auch dort die neue URL einfügen. Zusätzlich sollten Sie Ihre XML-Sitemap aktualisieren. Wenn alles funktioniert hat, wird Ihre Website nun mit einem grünen Schloss vor der URL im Browser-Fenster angezeigt.

 

Mehr Infos zum Thema SSL-Zertifikat erhalten Sie auch hier:

DomainFactory FAQ – SSL-Zertifikate

 

Quellen:

https://www.meuter.de/blog/ssl-zertifikat-https-auf-webseiten-nach-der-neuen-datenschutz-grundverordnung-dsgvo/

https://www.klausoppermann.de/aktuelle-informationen-zu-datenschutzerklaerungen-ssl-verbindungen-und-kontaktformularen/

https://de.godaddy.com/blog/wordpress-seite-auf-https-umstellen/

Franziska Thoms

Über den Autor

Franziska Thoms

Franzi ist Social Media und Content Manager für GoDaddy und die DomainFactory, leidenschaftliche Instagrammerin und Kinogängerin. Wenn sie nicht gerade auf der Suche nach den aktuellen Trends im Kosmos der sozialen Netzwerke ist, findet man Franzi etwas Leckeres in der Küche zaubern, unterwegs in den Bergen oder einen Serien-Marathon starten.

12 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Andreas
    Andreas - 22. Mai 2018 um 15:40 Uhr

    „Ohne eine feste IP geht bei der SSL-Zertifizierung nichts.“
    auf ihrer eigenen FAQ steht jedoch, dass dies seit 08.01.2018 nicht mehr notwendig ist.

    • DomainFactory
      DomainFactory - 22. Mai 2018 um 17:30 Uhr

      Hallo Andreas, da haben Sie Recht. Wir haben den Artikel des hingehend korrigiert, das bei der DF bei der Einrichtung keine feste IP-Adresse notwendig ist.

  • Benko
    Benko - 23. Mai 2018 um 18:57 Uhr

    Vielen lieben Dank für diese ausführlichen erklärten Beitrag.

  • Willi
    Willi - 23. Mai 2018 um 20:34 Uhr

    Unklar: https-Pflicht nur, wenn Kontaktformular (Benutzerdaten einsammeln) vorhanden? Oder immer Pflicht?

    • Nils Dornblut
      Nils Dornblut - 23. Mai 2018 um 23:34 Uhr

      Es geht ja um Datenschutz und da ist eine Datenweitergabe, wie Sie über ein Kontaktformular beispielsweise erfolgt natürlich besonders relevant. Daher sprechen wir oben von einem festen Bestandteil, da es das auf vielen Webseiten gibt. Ansonsten hängt es von den Einzelheiten der Seite ab. Wenn man eine Seite absichert, dann ist es natürlich kein wirkliches Problem das für alle zu tun. Auch Google findet die generelle Verfügbarkeit von SSL als förderliches Kriterium.

  • Alex
    Alex - 25. Mai 2018 um 11:14 Uhr

    Es wäre schön, wenn es die Möglichkeit bei df gäbe, die kostenfreien SSL-Zertifikat von Let’s Encrypt einzubinden!

    • Matthuas
      Matthuas - 4. Juni 2018 um 19:31 Uhr

      Bieten mittlerweile sehr viele Provider an. Da muss Domainfactory langsam mal nachziehen, sonst werden vermutlich viele Kunden bald wechseln!

    • Olaf
      Olaf - 5. Juni 2018 um 12:13 Uhr

      Ja leider wird von den DF Kunden danach im Hilfeforum seit drei Jahren gefregt. Es ist bisher keine Aussicht auf LE!
      Früher war das hier mal innovativer….

    • Arne
      Arne - 8. Juni 2018 um 22:09 Uhr

      Dem kann ich mich nur anschließen! Dass df in dem Beitrag die Bedeutung von SSL so hervorhebt und andererseits im Gegensatz zu vielen Konkurrenten kein kostenloses Wildcard anbietet, finde ich schon fast frech. Hier würde ich mir wirklich eine Anpassung wünschen, die meiner Meinung nach auch dem Anspruch von df gerecht werden würde.

  • Regina Jungk
    Regina Jungk - 7. Juni 2018 um 10:48 Uhr

    Mich irritiert die Formulierung, mit der ich eigentlich wenig anfangen kann:
    „Mittlerweile wurde SSL weiterentwickelt. Das aktuelle Standard-Verschlüsselungsverfahren ist das Transport Layer Security-Protokoll (TLS). Allerdings hat sich der Name SSL so eingebürgert, dass er weiter genutzt wird. SSL-Zertifikate gibt es in unterschiedlichen Sicherheitsstufen und Preisklassen.“

    Auf Nachfrage beim DF-Kundenservice, ob auch TSL angeboten wird, wurde mir das ausdrücklich verneint. Wird nun TSL bei DF angeboten oder nicht? Wenn ja, sollte das doch auch so benannt werden. Wenn nicht, dann sollte das begründet werden. Mich würde auch interessieren warum eigentlich nicht, wenn das als der aktuelle Standard gilt.

    • Nils Dornblut
      Nils Dornblut - 9. Juni 2018 um 13:40 Uhr

      Ich denke, hier ist etwas Verwirrung mit am Start. Protokolltechnisch ist der Secure Sockets Layer SSL ist die Vorgängerbezeichnung von Transport Layer Security oder eben TLS. TSL kenne ich jetzt so auch nicht und ist vermutlich nur ein Tippfehler. Die letzte Version des SSL-Protokolls war 3.0, danach ging es mit TLS 1.0 weiter.

      Zertifikate hingegen sind nicht auf Protokolle angewiesen. Daher müssen Sie auch kein Zertifikat explizit kaufen was TLS unterstützt. Genau genommen sind alle unsere Zertifikate daher SSL/TLS-Zertifikate, also sowohl zur Verwendung mit SSL und auch TLS geeignet.