Dass eine sichere Übertragung von Informationen im Netz von Google erkannt und auch belohnt wird, ist bekannt. Doch wie richte ich denn nun ein SSL-Zertifikat für meinen Blog ein? Die wenigsten Blogger haben auch Talent als IT-Admin und im ersten Moment scheint es, als ob man einen IT-Admin braucht, um solch ein Zertifikat zu installieren. Aber weit gefehlt, es ist einfacher als gedacht. Gestern habe ich für meinen Blog die SSL-Verschlüsselung aktiviert und möchte nun in wenigen Schritten aufzeigen, wie das geht.
Kurz zur Ausgangssituation:
- Ich habe einen Blog auf Basis von WordPress
- Ich lasse die Domain bei all-inkl.com hosten
- Ich bin Eigentümer der Domain www.newmediapassion.com
Die Wahl der Qual – welchen Anbieter nehme ich?
Man hat die Wahl zwischen verschiedenen kostenpflichtigen Zertifikaten oder man greift auf das Angebot des eigenen Hosters zurück.
Um zu vergleichen, gibt es im Netz eine Menge an Portalen:
- https://www.netzsieger.de/k/ssl-zertifikate
- https://www.sslmarket.de/vergleich-von-ssl-zertifikaten/
- https://www.sslplus.de/ssl/kaufberatung/kaufberatung-guenstige-zertifikate/einfache-ssl.html
Eine schöne Beschreibung zu SSL und den unterschiedlichen Zertifikaten liefert auch der kuketz-blog.
Mir ging es nicht um eine besonders hohe Verschlüsselung, sondern um die Domain Validation, also um die Authentizität meiner Website, die dann in einem einfachen Prüfverfahren sichergestellt wird.
Leistungen des Hosting-Paketes prüfen
Ich habe mich nach einem Telefonat mit meinem Hoster für sein Angebot entschieden. Dabei habe ich festgestellt, dass der von mir ursprünglich genutzte Hosting-Tarif kein SSL einschloss, weshalb ich den Tarif geupgradet habe. Um Zahlen zu nennen: nur für die SSL-Zertifizierung verlangt all-inkl.com 89ct im Monat. Das entsprechende Hosting-Paket, welches den SSL-Schutz gleich mit beinhaltet, bei 5 Inklusiv-Domains, kostet 7,95€ pro Monat. Da ich einige Domains dort hoste, kam für mich nur das Paket in Frage. Bei einer einzelnen Domain reicht auch die Zubuchung von SSL.
Aktivierung des SSL-Schutzes
Hier gibt es nun zwei Möglichkeiten:
- Im Falle von all-inkl.com nutzt man das einfache Zertifikat von „Let´s encrypt„
- Man installiert ein eigenes Zertifikat, was man bei einem Drittanbieter gekauft hat
Bedient man sich des einfachen Schutzes von Let’s encrypt, aktiviert man lediglich ein Häkchen und sagt dem System im Backend, dass SSL nun aktiviert werden soll und fertig. Innerhalb von wenigen Minuten ist das Zertifikat eingerichtet und wird auch automatisch verlängert.
SSL Zertifikat eines Drittanbieters
Habt ihr, weil ihr vielleicht einen höhere Verschlüsselungsschutz braucht, ein anderes Zertifikat zur Installation, dann benötigt ihr einen sogenannten CSR (Certificate Signing Request).
Beschreibung von WikiHow.com:
- Certificate Signing Request (CSR) erzeugen
- SSL Zertifikat bestellen
- Zertifikat herunter laden
- Zertifikat auf Server laden
- Zertifikat integrieren
- Server neu starten
- Zertifikat testen
Im Regelfall braucht ihr euch um die Details nicht kümmern, wenn ihr euren Blog bei einem Hoster verwaltet.
Für kleine Websites und Blogs reicht im Regelfall auch ein einfaches Zertifikat aus, was wie im Falle von all-inkl. auch gleich im Paket mit enthalten ist.
UPDATE // Natürlich muss man auch alle Inhalte auf https umstellen, sonst nützt das ganze Zertifikat nichts. Aber auch das geht verhältnismäßig einfach mit Better Search Replace.
Einfach installieren und „http“ durch „https“ ersetzen und fertig.
UPDATE 15.03.18 // Let`s Encrypt bietet nun auch Wildcard-Zertfikate, mit denen man mit einem einzigen Zertifikat auch alle Subdomains sichern kann
Denn musste aber auch alle deine Inhalte per httpss einbinden, sonst meckert der Browser.
Falls du nicht sowieso nur relativ verlinken kannst, solltest du das Protokoll einfach weglassen, also so zb
href="//nmp.com/file.png"
, dann passiert sowas nicht. Aber wenn die Site jetzt ohnehin ausschließlich per httpss erreichbar ist, ist das auch egal :)Im Übrigen halte ich überhaupt nichts davon, für SSL-Zertifikate Geld auszugeben. So ein Zertifikat hat unter anderem den Zweck, die Identität des Webangebots zu bescheinigen. Das erledigen in diesem Fall die Certificate Authorities (CA), die im Browser integriert sind. Man vertraut also der CA, dass die Seite die man aufruft, auch wirklich die Seite ist, die sie vorgibt zu sein.
Wenn man jetzt ketzerisch an die Sache rangeht, könnte man argumentieren, dass man nur genug Geld auf den Tisch legen muss, dann wird irgendjemand schon bescheinigen, dass du der Weihnachtsmann bist. Oder Google. Oder Bank XYZ. Oder so. Vertrauen sollte man sich also grundsätzlich nicht kaufen können.
Das Projekt Letsencrypt ist genau darum aus der Taufe gehoben worden, um diesen Wildwuchs entgegenzutreten. Dass sich Hoster jetzt sogar Letsencrypt-Zertifikate bezahlen lassen, finde ich wirklich unerhört. Da kann man schon mal über einen Wechsel nachdenken, obwohl ich mit All-Incl bisher eigentlich vorrangig gute Erfahrungen gemacht habe.
Danke für den Hinweis! Gleich noch gemacht und als Tipp ergänzt :-)
meines Erachtens kostet das Zertifikat von Lets Encrypt nichts, sondern man muss das ganze Handling in einem Paket dazubuchen.
Für ein paar Entwicklerstunden für das olle Letsencrypt-Untermenü und das Script dahinter monatlich abzukassieren ist nicht wirklich besser. Ist ja nun nicht so, dass die Mitarbeiter dort täglich mit meinen Zertifikaten beschäftigt sind.
Dass man auch anders rangehen kann, zeigt zum Beispiel Plesk. Die Entwickler bieten für ihre Nutzer zum Beispiel ein Open Source Plugin an.
Und wenn man Shell-Zugriff hat und damit umgehen kann, ist das ganze ein absoluter Selbstläufer. Kein Grund, Extrakosten zu erheben.
Hallo, das ist ein wirklich gelunger Artikel über die Einrichtung von SSL-Zertifikaten. Ich werde ihn bei Gelegenheit weiterempfehlen.
Gute Grüße
Guter Artikel. Hat schon so mancher Blog-Autor geflucht, als er auf ssl umstellen musste. Mit dem Artikel dürfte es vielen leichter fallen.
das hoffe ich doch :-)
Pingback: Datenschutzgrundverordnung (DSGVO) – was kommt auf Blogger und Webseitenbetreiber zu - newmediapassion