Was ist eigentlich SSL und warum solltest du deinen Blog auf https umstellen?
Liest du in letzter Zeit dauernd die Abkürzungen „SSL“, „TLS“ und „HTTPS“ und fragst dich, was in aller Welt das ist und ob es dich irgendwie betrifft? – Dieser Artikel hilft dir weiter. 🙂
Was ist SSL / TLS?
Ein Protokoll, was für eine verschlüsselte Datenübertragung im Internet zuständig ist.
Grob gesagt: damit deine Daten beispielsweise beim Onlinebanking tatsächlich nur zwischen dir und deiner Bank ausgetauscht werden und nicht von Hinz und Kunz abgefangen werden können.
Eigentlich heißt das Ganze mittlerweile TLS (Transport Layer Security), die vorherige Bezeichnung SSL (Secure Sockets Layer) ist aber mindestens ebenso gebräuchlich.
HTTPS, wtf?
Klar, normale Webseiten haben ein http:// vor ihrem eigentlichen Namen stehen. Dass du das nicht jedesmal mit eintippen brauchst und die Eingabe von „vom-landleben.de“ reicht, ist ein freundlicher Service deines Browsers. 😉
Über SSL gesicherte Seiten erreichst du stattdessen über https://. Das „s“ steht dabei für „secure“ und bedeutet, dass deine Daten beim Aufruf einer Seite gesichert und verschlüsselt übertragen werden.
Besonders wichtig ist so eine Verschlüsselung natürlich, wenn du auf einer Seite sensible Informationen eingibst – beispielsweise beim Onlinebanking oder in einem Webshop.
Aber auch „normalsterbliche“ Seiten wie etwa Blogs profitieren von einer sicheren Verbindung:
Bereits 2014 wies Google darauf hin, entsprechend gesicherte Seiten im Ranking zu bevorzugen. Dieser Tage ging man noch einen Schritt weiter und kündigte an, nicht-gesicherte Webseiten in Chrome gesondert zu markieren.
Es ist also mehr als ratsam, deinen Blog entsprechend umzustellen!
Wie genau das geht, erfährst du weiter unten.
Woran sehe ich, ob eine Seite SSL-gesichert ist?
Ganz simpel kannst du das ausprobieren, indem du die Domain mit einem https:// davor eintippst. Erscheint im Browser eine Fehlermeldung, ist die Seite nicht SSL-zertifiziert.
Ob eine Seite über https:// oder nur einfaches http:// erreichbar ist, erkennst du übrigens nicht nur an der Domain selber: vor der URL wird bei SSL-zertifizierten Seiten zudem ein Sicherheitsschloss angezeigt.
Was bedeutet die Umstellung auf HTTPS für mich als Blogger?
Im Grunde ändert sich nichts, dein Blog wird weiterhin so funktionieren wie vorher.
Sofern du deinen Blog selber hostest, musst du nach der Umstellung ein paar kleinere Anpassung vornehmen, aber das war’s dann auch schon. Dazu weiter unten mehr.
Eine Sache ändert sich allerdings: naturgemäß erlauben SSL-gesicherte Seiten die Einbindung von Dateien wie Bildern, CSS-Dateien oder Schriftarten nur dann, wenn diese ebenfalls von einer sicheren Quelle gezogen werden.
Wenn du also beispielsweise ein Banner von einem anderen Blog einbindest, der nur über http:// erreichbar ist, dann wird dieses Bild nicht mehr angezeigt. Zudem erhält deine Seite nicht das begehrte Sicherheitsschloss-Icon, da sie eben unsichere Inhalte zu laden versucht.
Wie kannst du da Abhilfe schaffen? – Wenn möglich, lade alle Ressourcen auf deinen eigenen Webspace, das wird dir nicht zuletzt auch die Ladezeit danken. Sofern du Inhalte von anderen Seiten einbindest, stell sicher, dass sie über https:// verfügbar sind und ändere die Verlinkung entsprechend ab.
Wie bekomme ich so ein SSL-Zertifikat für meinen Blog?
So weit, so gut. Was musst du aber tun, damit dein Blog überhaupt über https erreichbar ist? – Das hängt davon ab, ob du es selber hostest oder bei Blogspot oder wordpress.com bloggst sowie davon, ob du eine eigene Domain nutzt.
Sofern dein Blog bei Blogspot oder wordpress.com liegt und du auch keine eigene Domain verwendest, musst du gar nichts tun: diese Blogs werden automatisch umgestellt. 🙂
HTTPS für wordpress.com
Seit dem 8. April 2016 laufen alle Blogs bei wordpress.com über https – kostenlos. Das wurde unter dem Motto HTPPS Everywhere bekanntgegeben.
Hier kannst du dich also zurücklehnen und genießen. 😉
HTTPS für Blogspot-Blogs
Blogspot zieht nach und kündigte an, dass alle Blogs bei Blogspot ab Ende April 2016 automatisch über https:// erreichbar sein werden.
HTTPS für selbstgehostete Blogs / eigene Domains
Falls du eine eigene Domain benutzt, musst du dich selber um ein SSL-Zertifikat kümmern. Leider waren SSL-Zertifikate in der Vergangenheit eine recht kostspielige Angelegenheit – für private Blogs hat sich das daher in der Regel nicht gelohnt.
Seit September 2015 gibt es mit der Initiative Let’s Encrypt allerdings eine kostenlose Alternative. 🙂
Wie genau du auf SSL umstellen kannst, kommt auf deinen Hoster bzw. den Dienst an, über den du deine Domain beziehst.
SSL bei all-inkl.com
Bei meinem Hoster all-inkl.com (Affiliate-Link), dem ich mittlerweile tatsächlich seit über 10 Jahren (!) treu bin, geht das sehr einfach: für jede Domain oder Subdomain kann man einfach über einen Klick die SSL-Verschlüsselung über Let’s Encrypt aktivieren.
Logg dich über kas.all-inkl.com ein und klicke auf „Domain“. Wähle die betreffende Domain aus.
Auf der folgenden Seite wählst du „SSL-Schutz – bearbeiten“ und gehst zum Reiter „Let’s Encrypt“.
Hier musst du lediglich den Haftungsausschluss generieren und schon wird dein SSL-Zertifikat ausgestellt.
Es dauert einige wenige Minuten, bis deine Domain über https:// erreichbar ist.
Bislang war es so, dass diese Zertifikate nur für eine begrenzte Zeit gültig waren und man sie nach drei Monaten aktiv erneuern musste. Das hatte mich bisher von einer Umstellung auf HTTPS abgeschreckt. Seit kurzem gibt es hierfür jedoch ein automatisches Update.
Wie gesagt, wie genau das Ganze abläuft, hängt von deinem Anbieter ab.
Was muss ich nach der Umstellung tun?
Deine Seite ist jetzt also über https:// erreichbar – sehr gut! 🙂
Nun sind noch ein paar kleinere Handgriffe nötig.
(Ich beziehe mich im Folgenden auf selbstgehostete WordPress-Blogs – bei anderen Seiten sollte das so ähnlich laufen.)
1. Stell deine internen Verlinkungen von http:// auf https:// um
WordPress bindet die Bilder in deinen Artikeln mit einer absoluten Verlinkung über http:// ein. Daher werden sie jetzt erstmal nicht mehr geladen und dein Browser spuckt eine Sicherheitswarnung aus – schließlich gelten über http:// gezogene Ressourcen als unsicher.)
Als nächstes musst du daher die URLs innerhalb deiner Seiten und Artikel umstellen. Zum Glück brauchst du das nicht manuell zu tun, sondern kannst dir mit einer einfachen kleinen SQL-Query behelfen. Geh dazu in PHPMyAdmin (das Tool, mit dem du deine Datenbank verwaltest) und gib im Reiter „SQL“ Folgendes ein, ehe du auf „Ok“ drückst:
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://dein-blog.de', 'https://dein-blog.de')
Die Domain passt du dabei logischerweise mit deiner eigenen URL an. 😉
2. Stell deine Blogdomain auf https:// um
In WordPress gehst du auf Einstellungen » Allgemein und änderst dort die Adresse deines Blogs von http://dein-blog.de in https://dein-blog.de ab.
3. Leite Aufrufe von http:// auf https:// weiter
Aktuell gibt es deine Seite zweimal: sowohl in der Variante http://dein-blog.de, als auch unter https://dein-blog.de
Das ist natürlich Blödsinn, denn erstens wäre dann immer noch eine nicht-verschlüsselte Version deines Blogs erreichbar, und außerdem würde Google das als Duplicate Content abstrafen.
Du willst also, dass alle Aufrufe von http://dein-blog.de automatisch weitergeleitet werden auf https://dein-blog.de
Das ist auch nicht weiter schwierig: öffne die Datei .htaccess, die sich im obersten Verzeichnis deines Blogs finden sollte.
Höchstwahrscheinlich steht darin schon so etwas:
<IfModule mod_rewrite.c> RewriteEngine On ... </IfModule>
Nach der Zeile „RewriteEngine On“ fügst du das hier ein:
RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Damit leitest du deine Besucher beim Aufruf von http://dein-blog.de weiter zur HTTPS-Version und gibst zudem noch bekannt, dass es sich um eine dauerhafte Weiterleitung handelt – quasi ein Nachsendeantrag für deine Domain. 🙂
4. Ändere die Domain in den Google Webmaster Tools, bei Google Analytics, Matomo etc.
Sofern du diese Tools nutzt, solltest du deine Domain auch hier umstellen.
In Google Analytics kannst du das Prokotoll einfach unter Verwalten » Property-Einstellungen ändern:
In den Google Webmaster Tools musst du die HTTPS-Version deiner Seite tatsächlich als neue Property anlegen.
Bei Matomo (ehemals Piwik) lässt sich die Adresse einfach in den Einstellungen der jeweiligen Webseite ändern.
Fazit
SSL-verschlüsselte Seiten erhöhen die Sicherheit im Internet, zudem werden sie von Google im Ranking bevorzugt behandelt. Aufgerufen werden sie über https:// statt einfach nur http://Blogs bei wordpress.com wurden bereits am 8. April 2016 automatisch auf HTTPS umgestellt, Blogspot folgt Ende April. Für selbstgehostete Blogs bzw. eigene Domains kannst du über Let’s Encrypt ein kostenloses SSL-Zertifikat beziehen.
Es war also höchste Zeit, auch meine eigenen Projekte umzustellen – die sind nun seit einigen Tagen alle SSL-gesichert. 🙂
Läuft dein Blog schon über HTTPS?