Viele Websitebetreiber finden es nervig, in Zukunft jede noch so kleine Website mit einer SSL-Verschlüsselung auszustatten und ich kann das verstehen.
Dennoch sollte man sich damit beschäftigen, denn in Zukunft werden Browser wie Chrome oder Firefox noch stärker vor Websites ohne Verschlüsselung warnen.
Das wird negative Auswirkungen auf die Besucherzahlen haben, aber auch darüber hinaus ist eine SSL-Verschlüsselung zu empfehlen.
Browser warnen vor Websites ohne SSL-Verschlüsselung
Schon heute zeigen Chrome und Firefox Informationen zur Sicherheit von Websites an. Klickt man auf das kleine “i” Symbol links in der Adressleiste des Browsers, bekommt man Infos zur Sicherheit. Im Chrome wird ein schönes grünes “Sicher” angezeigt, wenn die Website verschlüsselt ist und im Firefox zumindest ein grünes Schloss. Das ist aber noch moderat.
Der Hinweis in Formularen ist zum Teil aber schon deutlicher und wird den einen oder anderen abschrecken z.B. ein Kontaktformular zu nutzen.
Doch in Zukunft werden die Browser noch stärker vor unverschlüsselten Websites warnen. So hat Google angekündigt, dass es in Chrome ab Juli deutlichere Hinweise geben soll.
Wie das aussieht, kann man sich jetzt schon im Inkognito-Modus anschauen.
Ein “Nicht sicher” prangt dann in der Adress-Zeile, was schon deutlicher ist und einige Besucher abschrecken dürfte.
Auch Firefox hat in der Vergangenheit in dieser Richtung einiges gemacht und wird wohl in Zukunft auch stärker warnen. Deshalb kann man davon ausgehen, dass diese Hinweise in Zukunft eher noch größer oder deutlicher werden.
Keine personenbezogenen Daten ohne SSL-Verschlüsselung
IP-Adressen werden schon lange von Datenschützern für personenbezogene Daten gehalten und eine Gerichtsentscheidung hat dies bestätigt. Ich sehe das zwar nicht so, denn mal abgesehen von der 24 Stunden Zwangstrennung, die bei den meisten zu einer neuen IP führt, kann der normale Unternehmer nicht herausbekommen, wer hinter einer IP steckt.
Dennoch ist spätestens durch die kommende DSGVO klar, dass man handeln muss. Wer auf seiner Website in irgendeiner Form personenbezogene Daten der Nutzer erfasst und damit auch über das Netz überträgt, muss unbedingt einen SSL-Verschlüsselung einsetzen. So z.B. bei Kommentar-Feldern oder Kontaktformularen.
Aber da die IP-Adresse sowieso bei der Kommunikation von Browser und Server übertragen wird, geht es in Zukunft eigentlich nicht mehr ohne Verschlüsselung, auf keiner Website.
SSL-Verschlüsselung nimmt zu
Google ist einer der Vorreiter der Website-Verschlüsselung und hat dies laut vielen SEOs mittlerweile auch als Rankingfaktor integriert.
Im Google Transparenz-Report gibt es Statistiken zur HTTPS-Nutzung. Demnach ist aktuell ca. 76% des Website-Traffics in Deutschland verschlüsselt. Das klingt schon recht viel.
Dennoch sollte man diese Zahl mit Vorsicht sehen. Zum einen werden die Statistiken nur über Chrome erfasst und auch nur von den Nutzern, die der Datenerfassung zugestimmt haben.
Zum anderen sind vor allem große Websites, die viel Traffic erzeugen, fast alle verschlüsselt. Der reale Anteil an Websites, die bereits SSL-Verschlüsselung nutzen, dürfte deutlich geringer sein.
Dennoch sollte man nun den Schritt machen und die SLL-Verschlüsselung umsetzen. Das bringt zum einen Vorteile in den Google Rankings, oder zumindest keine Nachteile. Zum anderen steigt damit die rechtliche Sicherheit. Der eine oder andere Landesdatenschutzverband soll schon Firmen abgemahnt haben, die keine SSL-Verschlüsselung auf ihrer Websites nutzen.
Ich selber habe alle meine Blogs und Websites bereits auf SSL-Verschlüsselung umgestellt und schildere z.B. hier meine Erfahrungen.
So setzt ihr die SSL-Verschlüsselung um
Die Einrichtung der SSL-Verschlüsselung ist gar nicht so schwer. Die Let’s Encrypt Zertifikate sind kostenlos bei den meisten deutschen Hostern verfügbar, so dass keine Kosten anfallen.
Ich habe eine Checkliste erstellt, an der ihr euch orientieren könnt. Auch auf Spezialfälle, wie die SSL-Umstellung der VGWort Zählpixel, gehe ich genauer ein.
Und so ist die Umstellung meist deutlich einfacher, als befürchtet. Wie sieht es bei euch aus? Habt ihr diese schon vorgenommen? Auf welche Probleme seid ihr dabei gestoßen?
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Bei einigen Hostern wie All-Inkl ist eine Umstellung auf das kostenlose Let’s Encrypt Zertifikat ohne großen Aufwand möglich. Dickes Lob daher an den Anbieter! Meine Webseiten die ich dort habe, sind bereits zum Teil umgestellt.
Bei anderen Hostern wie alfahosting ist nur eine Umstellung auf kostenpflichtige Zertifikate möglich. Das ärgert mich sehr, daher auch ausdrücklich eine negative Erwähnung des Anbieters hier! (Damit die Produktmanager dort mal in die Gänge kommen und die Angebote anpassen). Dort habe ich daher noch keine Webseiten umgestellt und werde in absehbarer Zukunft wohl zu einem Anbieter wechseln müssen, der kostenlose SSL Zertifikate ermöglicht.
Du kannst dir Let’s Encrypt Zertifikate auch selbst austellen und hochladen. Du musst nicht zwangsweise teure Zertifikate kaufen. Kenne zwar Alfahosting jetzt nicht genau… aber das geht eigentlich bei allen Anbietern.
Hiermiet zum Beispiel: https://www.sslforfree.com/
Hatte ich hier aber auch schonmal einen Artikel zu geschrieben, wo ich meine Lieblings-Tools vorgestellt hatte: https://www.selbstaendig-im-netz.de/software/lieblings-tools-7-online-tools-fuer-web-worker/
Dass die Hoster das nicht automatisiert anbeiten etc. ist eine andere Sache. Vermutlich kassieren sie Provisionen oder so… Aber hochladen kannst du normalerweise jedes Zertifikat, nicht nur teuer gekaufte.
Zu alfahosting. Wer nur eine Website dort hat kann das kostenlose free ssl Zertifikat nutzen. Wer mehrere Webseiten dort betreibt, sollte auf das kostenpflichtige multi SSL Zertifikat zurückgreifen. Klar es sind Zusatzkosten, aber es hält sich noch in Grenzen.
Das Multi SSL Zertifikat bei alfahosting ist leider eine versteckte Kostenfalle. Da wird mit 3 bis 100 Domains geworben aber tatsächlich sind nur 3 Domains inklusive. Alle weiteren kosten dann nochmal 2 Euro pro Monat. Ich habe bei Alfahosting 12 Domains liegen und es wären jährliche Zusatzkosten von um die 300 Euro. Das sehe ich nicht ein zu zahlen, wenn ich es bei einem anderen Anbieter umsonst bekomme. Tut sich da innerhalb dieses Jahres nix bei den Konditionen, dann bin ich weg. Habe leider schon befürchtet, dass sich das Unternehmen seit der Übernahme duch die dogado GmbH sicher nicht in eine positive Richtung weiter entwickelt …
Domainfactory – eigentlich ein sehr guter Hoster meiner Meinung nach, weil der Support bei Problemen extrem hilfreich ist, bietet auch nur kostenpflichtige Verschlüsselung an. Das ist bei mindestens 24 EUR im Jahr für das kleinste Zertifikat auch nicht ohne, wenn man mehrere Seiten hat. Echt schade, dass mit einer Selbstverständlichkeit mittlerweile noch versucht wird, richtig Kohle rauszuholen.
Ich kann Frank nur zustimmen, dass ein sehr großer Anreiz für die Auswahl eines geeigneten Hosters das kostenfreie Angebot eines SSL-Zertifikats sein dürfte. Neben all-inkl kann ich an dieser Stelle noch 1blu ansprechen.
Auch dort wird das Zertifikat kostenfrei angeboten und kann mit nur einem Klick aktiviert werden.
Beispielgebend für viele andere Anbieter, die sich diesem sinnvollen Trend noch nicht angeschlossen haben.
Hallo Peer,
gibt es Dienstleister oder Agenturen die für unerfahrene Websiten Betreiber die Umstellung von http auf https für einen übernehmen?
Hoster wäre in meinem Fall All-Inkl.
Gruß
Susi
Da gibt es einige, aber es sind tatsächlich nur ein paar Klicks, gerade bei All Inkl.
Also ich hoste bei Netcup und dort gibt es für jede Domain das kostenlose Zertifikat von Let´s Encrypt. Man muss nur einen Klick machen und schon ist es aktiviert.
Zudem kann man ein Häckchen setzen, und dann gibt es eine automatisierte 301-Weiterleitung von http zu https Seiten. Auch sehr praktisch.
Was wenig berücksichtigt wird, ist, daß SSL das Internet bzw. Webseiten langsamer macht: http://www.schlagwortag.ch/ssl-und-google/
Es spielt zwar bei zunehmender Datengeschwindigkeit wohl immer weniger eine Rolle, aber trotzdem kotzt mich an, wie Google alle zwangsweise dazu bringen will, SSL zu benutzen.
Ist es wirklich sinnvoll für kleine Infoseiten über die gar keine persönlichen Daten eingegeben werden können, dort SSL zu erzwingen?
Google will das. Siehe Link oben wie Google es begründet.
Ich finde das absolut nicht gut, wenn das zum Zwang wird, was zurzeit der Fall zu werden scheint.
Wobei mittlerweile auch der EuGH die IP-Adresse als personenbezogene Daten eingestuft hat und die ja immer übertragen werden. Ob man diese Sicht nun sinnvoll findet oder nicht.
Das wußte ich nicht.
Die Schweiz ist hier wesentlich liberaler (freiheitlicher) und weniger durchreguliert.
Wenn ich sowas lese bin ich immer froh, in der Schweiz zu sein.
Wobei hier auch oft EU-Recht leider übernommen wird.
Aber zum Glück nicht immer.
Stimmt so nicht. Weil HTTP/2 zwangszweise nur mit SSL möglich gemacht wird, sind Seiten mit SSL schneller geworden. Ein bisschen den Fakey-Way… aber trotzdem schneller.
Allerdings stimme ich dir zu. Sehe da auch nur wenig Sinn drin, jede kleine Seite mit SSL zu verschlüsseln. Aber über Google aufregen… einfach nicht nutzen, wann immer es geht ist das einzige was du tun kannst und solltest. Also Firefox, Finger von der Google Cloud und so weiter. Mach ich auch so.
Hallo,
als ich die Tage auf meine Seite ging, auf der ich schon länger ssl hatte waren die Affiliates Banner nicht mehr sichtbar. Kann man dann wenn die neue Datenschutz-Grundverordnung in Kraft tritt, kein Affilate mehr einbinden?
Das eine hat mit dem anderen erstmal nichts zu tun. Dass du deine eigenen Affiliate-Banner nicht mehr siehst, hat vielleicht mit einem AdBlock-Plugin im Browser zu tun oder eben einem technischen Problem mit deiner Banner-Anzeige.
Natürlich darf man auch in Zukunft Affiliatelinks und Banner einbinden. Die DS-GVO verlangt auch noch keinen pauschalen Opt-In, so dass auch Cookies noch möglich sind, solange du in der Datenschutzerklärung darauf hinweist.
Hallo Peer,
Über HTTPS werden doch die IP-Adressen nicht verschlüsselt oder habe ich hier falsche Informationen? Sämtliche zwischengeschaltene Instanzen wie Provider, Router, Switche etc. müssen ja wissen, wohin sie ein Paket weiterleiten. Demnach hinkt doch die ganze Disskussion über personenbezogenen Daten (IP) und der Verschlüsselung etwas, wenn diese personenbezogenen Daten dadurch nicht geschützt werden.
Ja, gute Frage. So tief stecke ich in den technischen Details nicht drin. Allerdings halte ich das auch nicht für entscheidend, denn über kurz oder lang wird die Verschlüsselung einfach Pflicht sein.
Das ist ähnlich wie aktuell beim Impressum und der Datenschutzerklärung. Theoretisch gibt es Ausnahmen, aber praktisch muss es eigentlich jeder auf seiner Website haben.
Ich hab letztens für meine Webseite den Hoster gewechselt (von Strato zu Raidboxes), allerdings wegen anderen Gründen (v.a. Geschwindigkeit, Strato ist unheimlich langsam gewesen). Beim neuen Hoster hab ich dann auch gleich die Verschlüsselung eingestellt, geht dort ganz easy und für Dummies (ein klick fürs Backup und ein Klick für SSL) und ist kostenlos mit dabei. Geschwindigkeitsverlust war jetzt auch nicht sooo gravierend, dafür erhoffe ich mir tatsächlich ein besseres Ranking. Mal sehen…
Viele Grüße, Maxi
Danke für dein tolles Feedback Maxi zu unserem 1-Klick SSL! VG Torben & Team