chruezundquer.ch ist – ohne Zusatzkosten – von http://chruezundquer.ch zu https://chruezundquer.ch „gezügelt“ und dies obwohl der Hoster dieser Webseite keine kostenlose SSL-Zertifikate anbietet.

Was bedeutet HTTPS (SSL, TLS)?

HTTP steht für Hypertext Transfer Protocol, dem Protokoll zur Übertragung von Daten über das Internet. HTTPS steht für secure, also die sichere Variante davon. Dabei kommt eine SSL (Secure Sockets Layer)  bzw. TLS (Transport Layer Security) genannte Technik zum Einsatz. Auf dem Server wird dafür ein Zertifikat installiert. Dieses kann von einer Zertifizierungsstelle (oft via Hosting-Anbieter) erworben werden. Let’s Encrypt ist eine offene Zertifizierungsstelle, die kostenlos und automatisiert  Zertifikate anbietet. Let’s Encrypt ist breit abgestützt. Neben den grossen Browser-Herstellern, wie mozilla (Firefox), Google (Chrome), vielen grossen Unternehmen, wie facebook, Automattic (WordPress) und vielen Hosting- und Netzwerkanbietern sind auch einige Schweizer Hostingprovider (cyon, infomaniak, Hostpoint) Sponsoren von Let’s encrypt.

Wieso soll heute eine Webseite per https:// verschlüsselt sein?

HTTPS ist ein Ranking Faktor bei Google

Mit anderen Worten: Wenn es zwei gleichwertige Webseiten gibt und eine davon mit HTTPS verschlüsselt übertragen wird und die anderen nicht, erscheint die HTTPS-Version weiter oben in den Suchtreffern bzw. die Version mit HTTP evtl. gar nicht.

Geschwindigkeit ist ein Ranking Faktor bei Google

Schnell ladende Seiten werden bei Google bevorzugt. HTTPS ist die Voraussetzung, dass ein Webserver das neue, schnellere Protokoll HTTP/2 nutzen kann und somit die Seite schneller ausliefern kann.

Browser-Warnung wegen unsichererer Verbindung

Nicht sicher in Chrome

Nicht sicher in Firefox

Nicht sicher in Edge

Browser zeigen an, ob eine Seite verschlüsselt geladen wird. Momentan ist das relativ dezent (solange man nicht auf das (i)-Symbol klickt). Bereits ist jedoch angekündigt, dass Warnungen auffälliger werden sollen. Spätestens wenn Ihre Webseite ein Eingabeformular hat – und sei es nur ein einfaches Suchfeld oder Kontaktformular – werden Browser deutlich davor warnen, dass die Verbindung unsicher sei.

Dies wird Besucher möglicherweise davon abhalten auf Ihrer Webseite zu bleiben.

„Man-in-the-middle“-Attacke verhindern

Da die Kommunikation zwischen dem Server auf dem die Webseite gespeichert ist und dem Browser des Empfängers verschlüsselt erfolgt, kann es keine Mitleser geben. Wenn ich jedoch Informationen auf der Webseite eines Gauners eintrage, nützt es natürlich nichts, dass diese verschlüsselt sind. Bei teuren Zertifikaten, welche Banken oder grosse E-Commerce Shops nutzen, muss sich der Inhaber der Seite identifizieren und wird dann im Browser auch direkt angezeigt:

Sichere Verbindung zu PostFinance

Diese Art von Zertifikaten ist deutlich teurer und für unsere Zwecke nicht erforderlich.

Ein kostenloses Let’s Encrypt Zertifikat tut es auch.

Was tun, wenn der eigene Provider keine kostenlosen Zertifikate anbietet?

Es gibt zwar Anleitungen im Internet, wie man ein Let’s Encrypt Zertifikat selber installieren kann. Allerdings funktioniert das gewöhnlich nicht bei einfachem shared hosting oder ist zumindest kompliziert.

Es gibt jedoch eine einfache Möglichkeit: Die Nutzung eines CDN, welches Let’s Encrypt anbietet.

Was ist ein CDN?

CDN bedeutet Content Delivery Network und bedeutet, dass die Webseiten-Dateien auf verschiedenen Servern verteilt werden und dem Empfänger jeweils vom nächsten Server ausgeliefert werden. Dadurch lassen sich Daten schneller zum Empfänger transportieren.

Dies ist der wichtigste Vorteil eines CDN. Im Falle von cloudflare kann zusätzlich SSL aktiviert werden und zwar unabhängig davon ob der eigene Server SSL unterstützt oder nicht.

Cloudflare Flexible SSL

chruezundquer.ch läuft mit WordPress und wie fast immer: Es gibt ein Plugin.

Cloudflare Plugins

Das „offizielle“ Cloudflare Plugin bietet direkt im WordPress Backend die Möglichkeit diverse Einstellungen vorzunehmen und Analyse-Daten einzusehen.

Das CloudFlare Plugin von LittleBizzy  scheint mir vorallem die anderen Plugins des Autors zu empfehlen.

Eine Schritt für Schritt-Anleitung hatte ich zwar vorbereitet, aber um das Veröffentlichen dieses Posts nicht noch weiter zu verzögern verzichte ich darauf, das hier einzufügen.

Sollte der Wunsch (oder andere Tipps) in den Kommentaren aufkommen, könnte ich das vielleicht noch nachliefern .

Zwei Links, die ich mir als Notiz gespeichert habe, hinterlasse ich ohne weitere Erklärung:

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

http://www.ssltools.com/ (interessanterweise selbst nicht über https erreichbar)