(kostenlos) zu einer SSL-gesicherten Webseite – auch wenn der Hoster kein Let’s Encrypt anbietet

chruezundquer.ch ist – ohne Zusatzkosten – von http://chruezundquer.ch zu https://chruezundquer.ch „gezügelt“ und dies obwohl der Hoster dieser Webseite keine kostenlose SSL-Zertifikate anbietet.

chruezundquer.ch jetzt https

Was bedeutet HTTPS (SSL, TLS)?

HTTP steht für Hypertext Transfer Protocol, dem Protokoll zur Übertragung von Daten über das Internet. HTTPS steht für secure, also die sichere Variante davon. Dabei kommt eine SSL (Secure Sockets Layer)  bzw. TLS (Transport Layer Security) genannte Technik zum Einsatz. Auf dem Server wird dafür ein Zertifikat installiert. Dieses kann von einer Zertifizierungsstelle (oft via Hosting-Anbieter) erworben werden. Let’s Encrypt ist eine offene Zertifizierungsstelle, die kostenlos und automatisiert  Zertifikate anbietet. Let’s Encrypt ist breit abgestützt. Neben den grossen Browser-Herstellern, wie mozilla (Firefox), Google (Chrome), vielen grossen Unternehmen, wie facebook, Automattic (WordPress) und vielen Hosting- und Netzwerkanbietern sind auch einige Schweizer Hostingprovider (cyon, infomaniak, Hostpoint) Sponsoren von Let’s encrypt.

Wieso soll heute eine Webseite per https:// verschlüsselt sein?

HTTPS ist ein Ranking Faktor bei Google

Mit anderen Worten: Wenn es zwei gleichwertige Webseiten gibt und eine davon mit HTTPS verschlüsselt übertragen wird und die anderen nicht, erscheint die HTTPS-Version weiter oben in den Suchtreffern bzw. die Version mit HTTP evtl. gar nicht.

Geschwindigkeit ist ein Ranking Faktor bei Google

Schnell ladende Seiten werden bei Google bevorzugt. HTTPS ist die Voraussetzung, dass ein Webserver das neue, schnellere Protokoll HTTP/2 nutzen kann und somit die Seite schneller ausliefern kann.

Browser-Warnung wegen unsichererer Verbindung

Nicht sicher in Chrome

Nicht sicher in Firefox

Nicht sicher in Edge

Browser zeigen an, ob eine Seite verschlüsselt geladen wird. Momentan ist das relativ dezent (solange man nicht auf das (i)-Symbol klickt). Bereits ist jedoch angekündigt, dass Warnungen auffälliger werden sollen. Spätestens wenn Ihre Webseite ein Eingabeformular hat – und sei es nur ein einfaches Suchfeld oder Kontaktformular – werden Browser deutlich davor warnen, dass die Verbindung unsicher sei.

Dies wird Besucher möglicherweise davon abhalten auf Ihrer Webseite zu bleiben.

„Man-in-the-middle“-Attacke verhindern

Da die Kommunikation zwischen dem Server auf dem die Webseite gespeichert ist und dem Browser des Empfängers verschlüsselt erfolgt, kann es keine Mitleser geben. Wenn ich jedoch Informationen auf der Webseite eines Gauners eintrage, nützt es natürlich nichts, dass diese verschlüsselt sind. Bei teuren Zertifikaten, welche Banken oder grosse E-Commerce Shops nutzen, muss sich der Inhaber der Seite identifizieren und wird dann im Browser auch direkt angezeigt:

Sichere Browserverbindung
Sichere Verbindung zu PostFinance

Diese Art von Zertifikaten ist deutlich teurer und für unsere Zwecke nicht erforderlich.

Ein kostenloses Let’s Encrypt Zertifikat tut es auch.

Was tun, wenn der eigene Provider keine kostenlosen Zertifikate anbietet?

Es gibt zwar Anleitungen im Internet, wie man ein Let’s Encrypt Zertifikat selber installieren kann. Allerdings funktioniert das gewöhnlich nicht bei einfachem shared hosting oder is zumindest kompliziert.

Es gibt jedoch eine einfache Möglichkeit: Die Nutzung eines CDN, welches Let’s Encrypt anbietet.

Was ist ein CDN?

CDN bedeutet Content Delivery Network und bedeutet, dass die Webseiten-Dateien auf verschiedenen Servern verteilt werden und dem Empfänger jeweils vom nächsten Server ausgeliefert werden. Dadurch lassen sich Daten schneller zum Empfänger transportieren.

Dies ist der wichtigste Vorteil eines CDN. Im Falle von cloudflare kann zusätzlich SSL aktiviert werden und zwar unabhängig davon ob der eigene Server SSL unterstützt oder nicht.

Cloudflare Flexible SSL

chruezundquer.ch läuft mit WordPress und wie fast immer: Es gibt ein Plugin.

Cloudflare Plugins auf WordPress.org
Cloudflare Plugins

Das „offizielle“ Cloudflare Plugin bietet direkt im WordPress Backend die Möglichkeit diverse Einstellungen vorzunehmen und Analyse-Daten einzusehen.

Das CloudFlare Plugin von LittleBizzy  scheint mir vorallem die anderen Plugins des Autors zu empfehlen.

Eine Schritt für Schritt-Anleitung hatte ich zwar vorbereitet, aber um das Veröffentlichen dieses Posts nicht noch weiter zu verzögern verzichte ich darauf, das hier einzufügen.

Sollte der Wunsch (oder andere Tipps) in den Kommentaren aufkommen, könnte ich das vielleicht noch nachliefern .

Zwei Links, die ich mir als Notiz gespeichert habe, hinterlasse ich ohne weitere Erklärung:

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

http://www.ssltools.com/ (interessanterweise selbst nicht über https erreichbar)

Neue Kurse zum Thema Webauftritt realisieren und betreiben

Neue spannende Kurse zum Thema Webauftritt realisieren und betreiben (mit und ohne WordPress)

Im zB. Zentrum Bildung – Wirtschaftsschule KV Baden starten zwei neue Webseiten Kurse von und mit mir:

3 einfache Wege, eine eigene Webseite zu erstellen

An diesem Kurs erkläre ich an drei Abenden 3 Wege zum eigenen Internet-Auftritt:

  • Mit Hilfe eines HomePage Tools, wie Jimdo, Weebly, Wix, Yola oder den Varianten von CyonHostpoint, Swisscom,  switchplus…. (Hinweis: zum Teil handelt es sich um die gleichen Tools, die unter verschiedenen Namen und zu unterschiedlichen Preisen angeboten werden).
  • Mit Nutzung eines Content Management Systems (CMS) wie WordPress, Joomla! und 150 anderen
  • Durch direktes Schreiben/Generieren von HTML und CSS-Code in einem Editor

Kursstart am Montag,  24.4.2017 und 11.09.2017

Die Sprachen des Web und eigenes WordPress Theme

Eigentlich sollte dieser Kurs den längeren Titel haben: Die Sprachen des Web kennenlernen und damit ein eigenes WordPress Theme erstellen. Aber das war dann zu lang. Es geht darum ohne Vorkenntnisse ein eigenes Webseiten-Design für das populäre Content Management System WordPress erstellen. Das ist zwar nicht unbedingt nötig, da es weiter über 4000 kostenlose und zum Teil sehr schöne Themes allein im WordPress.org Theme Verzeichnis gibt. Aber es ist ein genialer Einstieg um zu lernen, wie Webseiten funktionieren und wie man sie selber erstellen bzw. anpassen kann. Die sechs Abende ab Mittwoch, 26.04.2017 bzw. 13.09.2017 versprechen sehr spannend zu werden.

Weitere Informationen und Anmeldung bei www.zentrumbildung.ch

WIRED.de interviewt Matt Mullenweg

Vor der Veröffentlichung der jüngsten WordPress-Version am 8. Dezember sprach Mullenweg mit WIRED darüber, wie seine Software die nächsten 75 Prozent des Internets erobern will, warum WordPress der Ruf anhaftet, unsicher zu sein, und wie ein Open-Source-Projekt gegen kommerzielle Internetgiganten bestehen kann.

Morgen das ganze Web? WordPress-Gründer Matt Mullenweg im Interview: WordPress kann ein Betriebssystem für das Internet werden, sagt sein Gründer.

Was wir als Community schaffen können, ist weit besser als alles, was ein Programmierer oder ein Unternehmen für sich allein fertig bringt. Weil es auf viele unterschiedliche Einsichten und Ideen aufbauen kann.

WordPress an sich ist ausgesprochen sicher. Aber wenn Sie an die Analogie mit dem Mieten und Hausbesitzen zurückdenken: Manche Leute schliessen die Türen nicht richtig ab.

Ich möchte den Rest meiner Tage damit verbringen, WordPress zu verbessern, weil ich glaube, dass die Welt und das Web eine Open-Source-Plattform verdienen, die jeder von uns nutzen kann.

Es ist ja nicht so, dass ich auf irgendeinen Berg klettere und am Ende mit Steintafeln zurückkomme, auf denen steht: „Dies ist die Zukunft von WordPress.“

Ich bin fest davon überzeugt: Wenn WordPress seine Mission erfüllt, jedem Menschen auf der Welt eine Stimme zu geben, dann können wir die Welt verbessern. Das Gleichgewicht wird sich zugunsten der Menschen verschieben, sodass sie genauso viel zu sagen haben wie Medien, Regierungen und Grosskonzerne. Das ist die Welt, in der ich leben will.

Das ganze Interview auf WIRED.de. (Drupal ;-))