Bei einer normalen Browserverbindung können im schlimmsten Fall Fremde die Kommunikation zwischen Benutzer und Browser mithören bzw. mitlesen.
Um das zu erschweren, gibt es schon seit dem das Internet für den normalen Computernutzer zugänglich ist, die SSL-Verschlüsselung. Damit wird – wie erwähnt – zum einen die Sicherheit bei der Dateneingabe erhöht, zum anderen kann damit aber auch das Vertrauen in den Webseitenbesitzer steigen.
Denn um ein SSL-Zertifikat zu erhalten, muss sich der Besitzer der Webseite quasi ausweisen, er muss bestätigen, das die Webseite, die das SSL-Zertifikat erhalten soll, ihm gehört.
Allerdings gibt es dabei Unterschiede.
Das SSL-Zertifikat, mit dem schroeders-netzecke.de Verschlüsselt ist, ist ein Domainbasiertes und nennt sich Let’s encrypt. Der Dienst wurde 2015 von der gemeinnützigen Internet Security Research Group (ISRG) an den Start gebracht, hinter dem u. a. die Mozilla Foundation (Firefox) und Cisco Systems stehen.
Domainbasiert bedeutet, es ist nur gültig in Verbindung mit der Domain schroeders-netzecke.de. Daneben gibt es unter anderem noch Organisationsbasierte SSL-Zertifikate.
Das beste daran: Let’s encrypt ist ein kostenloses Zertifkat, da ISRG nicht weniger erreichen möchte, als das das komplette Internet per SSL-Verschlüsselung sicherer wird.
Die Umsetzung ist recht einfach, vor allem wenn man z. B. all-inkl.com als Hoster verwendet. An diesem Beispiel möchte ich das auch erklären.
Als erstes geht man in den KAS. Dort klickt man auf den Menüpunkt Domain bzw. Subdomain.
Im folgenden Bildschirm klickt man den Punkt ‚SSL-Schutz‘ an.
Nun wird der Reiter ‚Let’s encrypt‘ aufgerufen, in welchem man den Haftungsausschluss bestätigt. all-inkl.com weist eindeutig darauf hin, das für Let’s encrypt kein Support angeboten werden kann.
Dann klickt man den Button ‚Jetzt ein Let’s Encrypt Zertifikat beziehen und einbinden‘.
Jetzt wird Serverseitig die SSL-Verschlüsselung installiert. Damit wäre dieser Schritt im KAS von all-inkl.com erledigt.
Als nächstes legt man entweder manuell Hand an oder lässt dies ein Plugin machen. Und Hand angelegt werden muss in der Datenbank.
UPDATE wp_options SET option_value = replace(option_value, 'http://www.ihreseite.de', 'http://www.ihreseite.de') WHERE option_name = 'home' OR option_name = 'siteurl';
UPDATE wp_posts SET guid = replace(guid, 'http://www.ihreseite.de','http://www.ihreseite.de');
UPDATE wp_posts SET post_content = replace(post_content, 'http://www.ihreseite.de', 'http://www.ihreseite.de');
UPDATE wp_postmeta SET meta_value = replace(meta_value,'http://www.ihreseite.de','http://www.ihreseite.de');
Das ist der Code, mit dem man seine Datenbank aktualisiert. Natürlich muss www.ihreseite.de jeweils durch den Domainnamen ersetzt werden.
Man kann dies aber auch durch ein Plugin erledigen lassen. Ich habe dafür das Plugin ‚Better Search Replace‘ benutzt. Nachdem man das Plugin aktiviert hat findet man es unter dem Menüpunkt ‚Werkzeuge‘.
Dabei sollte man aber äußerst umsichtig vorgehen. Die Eingabe http bzw. https ersetzt alle Verlinkungen in der Datenbank. Ich würde daher hier höchstens folgendes empfehlen:
Suchen nach: http://domain.de
Ersetzen durch: https://domain.de
Man gibt die Zeichenketten ein, die ersetzt werden sollen. In unserem Fall muss http durch https ersetzt werden.
Wichtig ist: Das Plugin bietet einen Testlauf an. Hier sollte man für die reale Umsetzung der DB-Änderung den Haken entfernen.
Last but not least kommt noch ein dreizeiliger Code in die htaccess:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Im Prinzip ist die Seite jetzt mit einer SSL-Verschlüsselung versehen. Erkennbar wird das beim Aufruf der Domain in der Adresszeile des Browsers. Dort erscheint jetzt statt einem http:// ein https://.
Doch Aufgepasst: Wenn ihr – wie ich – eine Subdomain in den Blog eingebunden habt, so müsst ihr auch diese per SSL-Verschlüsseln. Ansonsten greift die Verschlüsselung nur in Teilen und kann – soweit ich das verstanden habe, von außen ausgehebelt werden.
Und auch in der Adresszeile soll die Teil-Verschlüsselung an einem andersfarbigem Symbol neben der Adresse erkennbar sein.
Die Umsetzung soll nicht nur das Vertrauen in den Blog- bzw. Webseitenbesitzer steigern, da die Daten, die die Besucher in Form von Kommentaren z. B. auf der Seite eingeben, jetzt nicht mehr so leicht abzugreifen sind.
Auch google soll es gut heißen, wenn wenn man seine Seite auf ein höheres Sicherheitslevel bringt.
Let’s encrypt habe ich nicht nur gewählt, weil es von all-inkl.com angeboten wird und kostenlos ist. Ich habe es auch gewählt, weil der Dienstanbieter verspricht, das das Zertifikat automatisch vor seinem Ablauf erneuert wird.
Es braucht also – sofern das auch klappt natürlich – niemand Angst zu haben, das seine Seite plötzlich nicht mehr funktioniert, nur weil er vergessen hat, das Zertifikat verlängern zu lassen.
Wichtig ist auch noch, das der Cache gelöscht wird, um zu verhindern, das auch weiterhin unverschlüsselte Seiten ausgeliefert werden.
Danke für die schöne Anleitung. So habe ich das endlich auch geschafft. 🙂
VG Horst
Hallo Horst!
Freut mich, wenn ich helfen konnte!
Gruß
Marcus