Der SSL (Secure Sockets Layer) sollte auf jeder Website aktiviert sein. Hierdurch wird gewährleistet, dass die Datenübertragung von einer Website zu dem Gerät des Besuchers (PC, Tablet oder Smartphone) gesichert ist. Um SSL zu aktivieren, muss ein sogenanntes SSL-Zertifikat installiert werden.
In diesem Artikel wird beschrieben, wie im “einfachsten Fall” das SSL-Zertifikat auf der Website eingebunden und verwendet wird. Es wird davon ausgegangen, dass …
- eine WordPress-Website vorliegt,
- diese bei einem “guten” Hoster in einem Webhosting betrieben wird,
- dass es sich um ein Apache-Hosting handelt und
- dass das SSL-Zertifikat über den Hoster direkt eingebunden werden kann.
Es dürfte damit ein Großteil aller Websites (in Deutschland) abegdeckt sein.
1. Die einzelnen Schritte
Zur (richtigen) Aktivierung sollten folgenden folgende Schritte durchgeführt werden:
- Einrichten des SSL-Zertifikats beim Hoster
- Umbauen der Website so, dass keine http://-Aufrufe mehr vorhanden sind
- Zwangsumleitung von http:// auf https://
1.1 Einrichten des SSL-Zertifikats beim Hoster
In der Regel bieten die Hoster kostenfreie SSL-Zertifikate an. Diese können dann per Tastenklick einer Domain hinzugefügt werden.
1.2 Umbauen der Website so, dass keine http://-Aufrufe mehr vorhanden sind
Es dürfen dann auf der Website keine Inhalte mehr verwendet werden, die über einen http://-Aufruf eingebunden sind.
1.3 Zwangsumleitung von http:// auf https://
Sind die ersten beiden Schritte erfolgt, so sollte dafür Sorge getragen werden, dass tatsächlich auch alle Aufruf über https:// abgewickelt werden. Hierzu kann ein Code-Fragment in die htaccess-Datei eingebunden werden.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
Wenn die Subdomains (z.B. “www”) auch umgeleitet werden sollen, so muss folgendes Code-Fragment eingebunden werden:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www.domain.de$ [NC]
RewriteRule ^(.*)$ https://www.domain.de/$1 [L,R=301]
RewriteCond %{SERVER_PORT} !=443
RewriteRule ^(.*)$ https://www.domain.de/$1 [R=301,L]
</IfModule>
2. Überpüfen der SSL-Aktivierung
Zur Überprüfung, ob eine Website “passend” umgestellt wurde, kann dann (auch) folgendes Tool eingesetzt werden: https://www.whynopadlock.com/
Häufige Fehlerquellen:
- Mixed Content: Es sind auf einer Webseite sowohl Verweise mit http:// als auch mit https:// zu finden
- Keine Zwangsumleitung, dies fällt insbesondere bei der Google Search Console auf
3. Weitere Ergänzungen / Maßnahmen
Zudem ist es sinnvoll, HSTS (HTTP Strict Transport Security) zu aktivieren.
Hierzu muss in der htaccess-Datei folgendes Code-Fragment eingefügt werden. Dieser könnte beispielsweise so aussehen:
Header Set Strict-Transport-Security: max-age=10886400; includeSubDomains