Florian Spitzohr

Noch mehr Sicherheit

von

Florian
in ,

Nachdem ich gestern ja bereits meine www.spitzohr.de auf SSL umgestellt habe, folgte heute noch unsere gemeinsame Domain www.sandra-und-florian.de und Sandra hat auch www.sandrakoenig.net auf SSL umgestellt.

Die meisten unserer Websites haben wir bei Domainfactory. Da es sich um ein "SharedHosting"-Paket handelt, können wir leider keine kostenlosen Let's Encrypt-Zertifikate dort nutzen. Folglich zahlen wir für jedes Adresse knapp 2 Euro / Monat. Alle meine Websites auf SSL umzustellen ginge dann ganz schön ins Geld. Das ist auch der Grund, dass wir unsere Hochzeitsseite von hochzeit.sandra-und-florian.de jetzt nach www.sandra-und-florian.de/hochzeit umgezogen haben.

Ich habe aber auch zwei Domains zu Manitu umgezogen. Dort kann ich für alle meine Domains und auch für die Subdomains kostenlos die Let's Encrypt-Zertifikate installieren. Allerdings ist die Konfigurationsmöglichkeit des Webserver deutlich eingeschränkter. Da bin ich von Domainfactory einfach verwöhnt.

Was bringt SSL eigentlich?

Die Verbindung zwischen eurem Rechner und meiner Website ist damit verschlüsselt. Während bei http jeder im Netzwerk sehen konnte, welche Inhalte ihr aufgerufen und an die Website geschickt hatte, ist das mit https jetzt nicht mehr der Fall. Auch Passwörter werden bei http einfach als Text unverschlüsselt übertragen. Viele Browser warnen inzwischen vor Websites, die ein Passwort-Eingabefeld auf der Seite haben, aber kein https einsetzen.

Google findet die höhere Sicherheit und damit auch besseren Datenschutz gut und belohnt daher auch Websites mit SSL-Verschlüsselung mit einem besseren Ranking. Vor Jahren war das noch anders. Da hatten Website-Betreiber Angst vor SSL, weil die Ladezeit der Seite ein wenig länger war und für Google auch die Ladezeit auch ein wichtiger Faktor ist. Eventuell ist genau diese falsche Angst auch ein Grund, warum Google jetzt SSL extra belohnt.

Probleme beim Umstellen auf SSL

Bei Domainfactory und auch bei Manitu ist das Aktivieren von SSL erstmal kein Problem. Bei beiden wir SSL auf dem Server aktiviert und die Website ist dann zusätzlich über SSL erreichbar.

Leider reicht das in den meisten Fällen nicht aus. Oftmals werden Elemente (z.B. Bilder) noch über http in die Seite eingebunden. Dann werden diese Elemente entweder gar nicht angezeigt oder der Browser warnt vor der unsicheren Seite.

Firefox zeigt an, dass auf der Seite noch Elemente über http eingebunden sind

Also muss man erstmal die entsprechenden Elemente finden und anpassen. Mit den WebEntwickler-Tools im Firefox klappt das ganz gut, da in der Netzwerkanalyse farblich in der Spalte Host angezeigt wird, ob das Element über eine gesicherte Verbindung geladen wurde.

Das Bild wird erstmal ohne https aufgerufen. Da bei mir bereits alle Aufrufe an https weitergeleitet werden, erscheint danach noch das Bild mit https. Trotzdem muss der Aufruf ohne http entfernt werden.

Also heißt es für den Website-Betreiber, dass er Seite für Seite durchschauen muss und die Bilder auszutauschen.

Umstellung bei WordPress

Bei WordPress werden die vollständigen URLs der Bilder in den HTML-Code geschrieben. Das hat den Nachteil, dass wir diese alle ersetzen müssen. Der Vorteil ist, dass wir sie im Prinzip mit einem SQL-Befehl (natürlich erst nach einer Sicherung der Datenbank!) ersetzen können:

UPDATE wp_posts SET post_content = REPLACE(post_content,
"http://www.spitzohr.de/", "https://www.spitzohr.de/");

Ausführlicher ist es bei Coolest guides on the planet beschrieben. Mit dieser Beschreibung habe ich schon Kopien von vorhandenen Websites als Testumgebung erstellt, Websites umgezogen oder auch Websites auf https umgestellt.

Zusätzlich kann man auch in der Datenbank nach weiteren Bildern suchen, die noch http verwenden.

SELECT * FROM wp_posts WHERE post_content LIKE "%src="http:%";

Damit werden alle Inhalte aufgelistet, bei denen noch Bilder von Servern mit http geladen werden. Dort muss dann halt geschaut werden, ob es das Bild auch über https gibt oder ob ihr es dann aus der Seite entfernen wollt.

YouTube-Videos

Nervig waren dann noch die ganzen alten YouTube-Videos. Diese waren teilweise noch mit Flash und ohne https eingebunden. Diese musste ich dann auf der Website auch gleich durch den neuen Embed-Code mit erweitertem Datenschutz ersetzt.

Weiterleitung einrichten

Sobald alle Elemente auf der Seite auch mit https geladen werden, sollte noch eine Weiterleitung von http auf https eingerichtet werden. Das lässt sich dann mit drei Zeilen in der .htaccess erledigen.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://www.spitzohr.de/$1 [R=301,L]

Es werden ab sofort alle Zugriffe auf http://www.spitzohr.de an https://www.spitzohr.de weitergeleitet.

Fazit

Sobald man sich auf einer Website einloggen kann, sollte diese Website nur über https aufgerufen werden. Wenn ihr euch auf Websites ohne SSL einloggen wollt, verwendet dort nur Passwörter, die ihr nirgendwo anders verwendet.

Für viele Website-Betreiber ist ein SSL-Zertifikat mit zusätzlichen Kosten verbunden und eine Umstellung ist auch Arbeit. Aber ihr zeigt euren Besuchern und Kunden, dass euch deren Sicherheit und Datenschutz wichtig ist.

Unter https://www.ssllabs.com/ssltest/ kann man auch die Qualität seines SSL-Zertifikats testen lassen

Kommentare

Eine Antwort zu „Noch mehr Sicherheit“

  1. :-) Sandra

    Und Danke nochmal für deine Hilfe :-*