So erhalten Sie ein kostenloses, gültiges SSL-Zertifikat für Ihre WordPress-Website

1. Was ist HTTPS?

„HTTP“ oder „HTTPS“ erscheint am Anfang jeder Website-URL in einem Webbrowser. HTTP steht für Hyper Text Transfer Protocol und das S in HTTPS steht für Secure. Im Allgemeinen beschreibt dies das Protokoll, über das Daten zwischen Ihrem Browser und der von Ihnen angezeigten Website gesendet werden.

HTTPS stellt sicher, dass die gesamte Kommunikation zwischen Ihrem Browser und der von Ihnen angezeigten Website verschlüsselt ist. Das heißt, es ist sicher. Nur der empfangende und der sendende Computer können Informationen in der Datenübertragung sehen (andere könnten möglicherweise darauf zugreifen, sie aber nicht lesen). Auf sicheren Websites zeigt der Webbrowser im URL-Bereich ein Vorhängeschlosssymbol an, um Sie zu benachrichtigen.

HTTPS sollte auf jeder Website vorhanden sein, die Passwörter, Zahlungen, medizinische Informationen oder andere sensible Daten sammelt. Aber was wäre, wenn Sie ein kostenloses und gültiges SSL-Zertifikat für Ihre Domain erhalten könnten?

2. Wie funktioniert Website-Sicherheit?

Sie müssen ein SSL-Zertifikat (Secure Socket Layer) installieren, um HTTPS zu aktivieren. Das Zertifikat enthält einen öffentlichen Schlüssel, der zum sicheren Starten der Sitzung benötigt wird. Wenn eine HTTPS-Verbindung zu einer Webseite angefordert wird, sendet die Website das SSL-Zertifikat an Ihren Webbrowser. Ihr Browser und die Website initiieren dann den „SSL-Handshake“, bei dem „Geheimnisse“ ausgetauscht werden, um eine sichere Verbindung zwischen Ihrem Browser und der Website herzustellen.

Standard vs. erweitertes SSL

Wenn die Website ein Standard-SSL-Zertifikat verwendet, sehen Sie im URL-Bereich des Browsers ein Vorhängeschloss-Symbol (siehe Screenshot). Wenn ein SSL-Zertifikat mit erweiterter Validierung (EV) verwendet wird, ist die Adressleiste oder die URL grün. Die EV-SSL-Standards übertreffen die von SSL. EV SSL bietet Identitätssicherung des Inhabers der Domain. Um ein EV-SSL-Zertifikat zu erhalten, müssen Antragsteller außerdem einen strengen Bewertungsprozess durchlaufen, um ihre Authentizität und ihr Eigentum zu bestätigen.

3. Warum sollte ich ein SSL-Zertifikat erhalten?

Auch wenn Ihre Website keine sensiblen Daten aufnimmt und überträgt, gibt es einige Gründe, warum Sie eine sichere Website haben und ein kostenloses und gültiges SSL-Zertifikat für Ihre Domain anstreben möchten.

1. Leistung. SSL kann die Ladezeit einer Seite verkürzen.
2. Suchmaschinenoptimierung (SEO). Die Absicht von Google besteht darin, das Internet für alle zu einem sicheren Erlebnis zu machen – nicht nur für diejenigen, die beispielsweise Google Chrome, Gmail und Drive verwenden. Das Unternehmen hat erklärt, dass die Sicherheit ein Faktor bei der Platzierung von Websites in den Suchergebnissen sein wird. Im Moment ist es ein kleines. Wenn Sie jedoch über eine sichere Website verfügen und Ihre Konkurrenten dies nicht tun, könnte Ihre Website einen höheren Rang einnehmen, was möglicherweise der nötige Vorsprung ist, um den Klick auf der Suchergebnisseite zu erhalten.
3. Vertrauen. Wenn Ihre Website nicht sicher ist und Passwörter oder Kreditkarten erfasst, wird Benutzern von Chrome Version 56 (veröffentlicht im Januar 2017) eine Warnung angezeigt, dass die Website nicht sicher ist (siehe Screenshot unten). Nicht technisch versierte Besucher (die Mehrheit der Website-Benutzer) werden möglicherweise alarmiert, wenn sie dies sehen, und verlassen Ihre Website, einfach weil sie nicht verstehen, was es bedeutet. Wenn Ihre Website hingegen sicher ist, kann dies die Sicherheit der Besucher erhöhen und die Wahrscheinlichkeit erhöhen, dass sie ein Registrierungsformular ausfüllen oder einen Kommentar auf Ihrer Website hinterlassen. Google hat einen langfristigen Plan, alle HTTP-Sites in Chrome als nicht sicher anzuzeigen.

4. Wo bekomme ich ein kostenloses SSL-Zertifikat?

Sie erhalten ein SSL-Zertifikat von einer Zertifizierungsstelle. Einige zuverlässige kostenlose Quellen sind:

• Let's Encrypt: Zertifikate gültig für 90 Tage, empfohlene Verlängerung nach 60 Tagen
• Cloudflare: kostenlos für persönliche Websites und Blogs
• FreeSSL: derzeit kostenlos für gemeinnützige Organisationen und Startups; Sie können kein Symantec-, Thawte-, GeoTrust- oder RapidSSL-Kunde sein
• StartSSL: Zertifikate gültig für 1 bis 3 Jahre
• GoDaddy: Zertifikate kostenlos für Open-Source-Projekte, gültig für 1 Jahr

Art des Zertifikats und Gültigkeitsdauer variieren je nach Behörde. Die meisten Behörden bieten Standard-SSL-Zertifikate kostenlos an und verlangen für EV-SSL-Zertifikate eine Gebühr, sofern sie diese bereitstellen. Cloudflare bietet kostenlose und kostenpflichtige Pläne sowie verschiedene Add-on-Optionen.

5. Was muss ich beim Erhalt eines SSL-Zertifikats beachten?

Google empfiehlt ein Zertifikat mit einem 2048-Bit-Schlüssel. Wenn Sie bereits über ein schwächeres 1024-Bit-Zertifikat verfügen, empfehlen sie ein Upgrade.

Sie müssen entscheiden, ob Sie ein Einzel-, Multi-Domain- oder Wildcard-Zertifikat benötigen:

• Ein einzelnes Zertifikat wäre für eine einzelne Domäne (z. B. www.example.com).
• Ein Multi-Domänen-Zertifikat wäre für mehrere bekannte Domänen (z. B. www.example.com, cdn.example.com, example.co.uk).
• Ein Wildcard-Zertifikat wäre für eine sichere Domäne mit vielen dynamischen Unterdomänen (z. B. a.example.com, b.example.com).

6. Wie installiere ich ein SSL-Zertifikat?

Ihr Webhoster kann das Zertifikat kostenlos oder gegen eine Gebühr installieren. Einige Hosts verfügen tatsächlich über eine Let's Encrypt-Installationsoption in ihrem cPanel-Dashboard, sodass Sie die Installation ganz einfach selbst durchführen können. Fragen Sie Ihren aktuellen Host oder finden Sie einen, der direkten Support für Let's Encrypt bietet. Wenn Ihr Host diesen Service nicht anbietet, könnte Ihr Website-Wartungsunternehmen oder Entwickler das Zertifikat für Sie installieren.

Sie sollten damit rechnen, dass Sie das Zertifikat von Zeit zu Zeit erneuern müssen. Erkundigen Sie sich bei der Zertifizierungsstelle nach dem Zeitrahmen.

Für die einfachste Implementierung arbeiten Sie einfach mit einem vollständig verwalteten Hosting-Anbieter zusammen, der sich um alles für Sie kümmert. Ein kurzes Support-Ticket und fertig!

7. Was muss ich sonst noch tun?

SSL erzwingen

Nachdem Sie das SSL-Zertifikat erhalten und installiert haben, müssen Sie SSL auf der Site erzwingen. Auch hier können Sie Ihren Webhost, Ihr Wartungsunternehmen oder Ihren Entwickler darum bitten. Wenn Sie es jedoch lieber selbst machen möchten und Ihre Website in WordPress läuft, können Sie dies tun, indem Sie ein Plugin herunterladen, installieren und verwenden.

Wenn Sie ein Plugin verwenden, prüfen Sie unbedingt dessen Kompatibilität mit Ihrer WordPress-Version sowie die Testberichte und Installationsanweisungen. Zwei beliebte Plugins zum Erzwingen von SSL sind:

• Wirklich einfaches SSL
• WP Force SSL

Stellen Sie sicher, dass Sie zuerst ein Backup Ihrer Website erstellen, und gehen Sie dabei sehr vorsichtig vor. Wenn Sie etwas falsch konfigurieren, kann das schwerwiegende Folgen haben:

• Besucher können Ihre Website nicht sehen,
• Bilder werden nicht angezeigt,
• Skripte werden nicht geladen, was sich auf die Funktionsweise einiger Dinge auf Ihrer Website auswirken würde.
• Typografie und Farben werden nicht richtig angezeigt.

Richten Sie serverseitige 301-Weiterleitungen ein

Sie müssen Benutzer und Suchmaschinen über 301-Weiterleitungen in der .htaccess-Datei im Stammordner auf dem Server auf die HTTPS-Seiten umleiten. Die .htaccess-Datei ist eine unsichtbare Datei. Stellen Sie daher sicher, dass Ihr FTP-Programm so eingestellt ist, dass versteckte Dateien angezeigt werden. Gehen Sie in FileZilla beispielsweise zu Server > Anzeige versteckter Dateien erzwingen (siehe Screenshot).

Bevor Sie die Weiterleitungen hinzufügen, empfiehlt es sich, Ihre .htaccess-Datei zu sichern. Benennen Sie die Datei auf dem Server vorübergehend um, indem Sie den Punkt entfernen (was sie zunächst unsichtbar macht), laden Sie die Datei herunter (die durch das Entfernen des Punkts jetzt auf Ihrem Computer sichtbar ist) und fügen Sie dann den Punkt wieder hinzu in die auf dem Server ein.

Ändern Sie die Analytics-Einstellungen

Nachdem Sie diese Schritte ausgeführt haben, müssen Sie die bevorzugte URL in Ihrem Google Analytics-Konto ändern, um die HTTPS-Version Ihrer Domain anzuzeigen. Andernfalls sind Ihre Verkehrsstatistiken fehlerhaft, da die HTTP-Version der URL als eine völlig andere Website als die HTTPS-Version angesehen wird.

Die Google Search Console behandelt HTTP und HTTPS ebenfalls als separate Domänen. Fügen Sie daher die HTTPS-Domäne in diesem Konto hinzu.

Beachten Sie beim Wechsel von HTTP zu HTTPS, dass die Anzahl der Freigaben zurückgesetzt wird, wenn auf Ihrer Website Social-Sharing-Schaltflächen aktiviert sind.

Und so installieren Sie ein kostenloses und gültiges SSL-Zertifikat für Ihre Domain und verschlüsseln Ihre Daten, um sie zu schützen. SSL-Zertifikate sind Teil der Zukunft der WordPress-Sicherheit, also holen Sie sich Ihr Zertifikat oder bleiben Sie in der Steinzeit zurück.

Möchten Sie Ihr Feedback geben oder sich an der Diskussion beteiligen? Fügen Sie Ihre Kommentare auf Twitter hinzu.

Speichern. Speichern

Speichern. Speichern