Vor wenigen Tagen hat Google bekanntgeben, dass die Verwendung eines SSL-Zertifikates eine positive Auswirkung auf das Ranking in den organischen Suchergebnissen haben wird. Damit kann man also die Sichtbarkeit der eigenen Website, des eignen Blogs ein Stückchen weit verbessern. Wie viel, das ist nicht klar. Das muss man dann selbst sehen. In jedem Fall sollte man über den Wechsel auf SSL intensiv nachdenken und ihn auch vorbereiten. Denn er ist nicht so einfach getan.
SSL Zertifikat beantragen
//Update//
So einfach, wie ich es zuerst beschrieben habe, ist es dann dann doch nicht, seine Seite auf HTTPS umzustellen. Wenn man sich also nicht gut genug mit der Administrierung von Websites auskennt, sollte man jemanden zu Hilfe holen.
Allein die Frage, welche Art von Zertifikaten geeignet ist, erfordert eine gründliche Recherche. Single-Domain, Multi-Domain oder Wildcard-Zertifikate stehen meist zur Auswahl. Die Preisspanne reicht dabei von 2,99€ pro Monat (Strato) bis weit über 500€ pro Jahr (Comodo), je nach Laufzeit, Verschlüsselungsgrad und Anzahl Domains/Subdomains. Bei meinem Hoster (all-inkl) beispielsweise kostet das Single-Domain-Zertifikat 99€ pro Jahr. Allerdings gibt es auch Anbieter, die (noch) kostenlose Zertifikate bereitstellen. StartSSL aus der Schweiz ist solch einer. Hier am besten erst gründlich recherchieren oder Kollegen fragen (Danke Jens für den Tip!).
SSL Zertifikat einrichten
Auch hier gibt es viele Möglichkeiten und da ich selbst kein Fachmann bin, kann ich vorerst nur das wiedergeben, was mir mein Hoster geschrieben hat. Für den Fall also, dass man ein eigenes Zertifikat nutzen will, habe ich hier einmal die Anleitung meines Webhosters:
„Für das Einbinden des externen Zertifikats benötigen wir den Key und das Zertifikat und das Bundle-Zertifikat. In einem solchen Fall erstellen Sie sich bitte als Kunde selbst einen CSR (Certificate Signing Request) oder lassen Sie sich von Ihrem Webmaster einen erzeugen.
Installieren Sie sich OpenSSL für Ihr Betriebssystem z.B.:
https://www.heise.de/download/
Führen Sie folgende Anleitung auf der Kommandozeile (Windows-Eingabeaufforderung) aus:
1. Wechseln Sie in das Verzeichnis in das Sie OpenSSL installiert haben:
cd c:\OpenSSL-Win32
2. Generieren Sie einen RSA private Key:
bin\openssl genrsa -out domain.key 2048
Die Datei domain.key enthält nun den privaten Schlüssel (KEY). Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden. Bewahren Sie den Schlüssel sorgfältig auf!
3. Generieren Sie sich das CSR mit den Informationen für Ihre Zertifizierungsstellen:
bin\openssl req -config bin\openssl.cfg -new -key domain.key -out domain.csr
Im Anschluss werden Ihnen nun Fragen zu den Registrierungsinformationen gestellt. Geben Sie bei ‚Common Name‘ den genauen Domainnamen an für den das Zertifikat gelten soll.
4. Die Datei domain.csr enthält nun den gewünschten CSR, den Sie Ihrer Zertifizierungsstelle übermitteln.
5. Von Ihrer Zertifizierungsstelle erhalten Sie dann das unterschriebene Zertifikat für den Apache-Webserver (CRT).
6. Den KEY und das CRT und das Bundle Zertifikat legen Sie auf Ihren FTP ab. „
SSL für Sicherheit und Sichtbarkeit
Sollte man diesen Aufwand auf sich nehmen, nur um ein wenig mehr Sichtbarkeit zu erzeugen? Auf Facebook wurde in einem Kommentar berechtiger weise darauf hingewiesen, dass die Sinnhaftigkeit der Einrichtung von HTTPS nur für Google eher gering ist. SSL ist notwendig, wenn sensible Daten wie Kreditkarteninformationen übertragen werden. Diese werden durch das Zertifikat verschlüsselt und somit sicher zum Empfänger übertragen. Für Betreiber von Online Shops und dergleichen ist SSL daher absolut notwendig.
Als einfacher Seitenbetreiber für den privaten Gebrauch ist im Grunde genommen nur die Anmeldeseite in den Admin-Bereich eine kritische Stelle. Diese kann man, beispielsweise im WordPress, mit SSL absichern (WordPress HTTPS (SSL) Plugin >> Force SSL Administration), man kann sie aber auch beispielsweise durch eine 2-Stufen Verifizierung schützen. Hier wird über eine mobile App (Google Authenticator) auf dem Smartphone oder Tablet ein Verification Code generiert, den man zusätzlich zum Passwort eingeben muss, um sich ins Backend einzuloggen. Damit können beispielsweise sogenannte BruteForce Attacken abgewehrt werden.
Wie auch immer man sich entscheidet, wichtig sind in jedem Fall ein ausreichend sicheres Passwort (mind. 8 Zeichen, alphanumerisch, Sonderzeichen) und Obacht bei ungesicherten Netzwerk in Zügen, Flughäfen oder Internet Cafés.