HTTPS Verschlüsselung mit Let’s Encrypt SSL Zertifikat einrichten

  • -
https verschluesselung per ssl zertifikat lets encrypt

HTTPS Verschlüsselung mit Let’s Encrypt SSL Zertifikat einrichten

Mit Let’s Encrypt ist die Umstellung einer Website auf https (Hypertext Transport Protocol Secure) mit einem SSL Zertifikat bei vielen Hostern ein Kinderspiel.

Anlässlich der DSGVO stellt sich manchem Webseiten Betreiber jetzt doch die Frage, ob man die eigene Internetseite jetzt nicht noch eben auf https umstellen sollte. War das Anfangs noch ein nettes Gimmick und kostete obendrein auch noch Geld und erforderte Spezialwissen, so gibt es heutzutage bei den großen Webhostern ein SSL Zertifikat zum entry Level Webspace gratis dazu oder das kostenlose Let’s Encrypt für (virtuelle) Server. Darüber hinaus hat sich die SSL Verschlüsselung doch mittlerweile zu einem Ranking Faktor im SEO ausgewachsen, da Google seit geraumer Zeit ein starkes Interesse daran hat, am liebsten nur noch verschlüsselte Seiten zu indexieren. Und auch im Rahmen der DSGVO ergibt sich ein gewisser Zugzwang, da in Art. 32 DSGVO (Sicherheit der Verarbeitung) vorgesehen ist, dass Webseiten-Betreiber geeignete Maßnahmen zur Sicherstellung der Integrität der Daten zur Verfügung stellen. Explizit wird hier unter Art. 1 (a) auf die Verschlüsselung hingewiesen. Somit ist (mit dieser Formulierung) die SLL-Verschlüsselung per https als Quasi “Stand der Technik” zu werten

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der
Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete
technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau
zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;“

Quelle: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf

Aufwand einer SSL Verschlüsselung für kleine und Mittelständische Unternehmen

Viele kleine Gewerbe mit eigener Homepage und kleine Firmen ohne großen technischen Background oder IT-Mitarbeiter haben bisher die vermeintlich komplizierte Einrichtung einer sicheren Verschlüsselung per https gescheut, da

  • zu kompliziert
  • zu aufwändig
  • zu teuer

Nichts von dem stimmt, schon garnicht in dem Bereich, in dem die meisten dieser Webseiten gehostet werden. Nehmen wir einmal große Konzerne mit eigener Infrastruktur in Form von Rechenzentren oder Cloud Infrastruktur, mit eigenem Domain-Management etc. aus – da kann das manchmal etwas aufwändiger sein. In der Liga, in der die meisten Internetseiten kleinerer Büros sowie manchmal auch Mittelständlern spielen, kann die SSL Verschlüsselung oft nur ein paar Mausklicks entfernt sein

Bei den größten Webhostern in Deutschland ist schon bei den kleinsten Paketen ein SSL Zertifikat und somit eine https Verschlüsselung der Website inklusive (Man muss es nur nutzen!). Und das meist ab etwa 3,99 pro Monat, das ist ein Level, wo man sich echt nicht mit Kosten rausreden kann.

 

1und1 (1&1) webhosting pakete inklusive https verschlüsselung per ssl zertifikat

Quelle: https://hosting.1und1.de/webhosting#tarife (Abgerufen Mai 2018)

 

strato webhosting pakete inklusive https verschlüsselung per ssl zertifikat

Quelle: https://www.strato.de/hosting/ (Abgerufen Mai 2018)

 

HostEurope webhosting pakete inklusive https verschlüsselung per ssl zertifikat

Quelle: https://www.hosteurope.de/WebHosting/   (Abgerufen Mai 2018)

(Nein – wir werden weder gesponsort von besagten Anbietern noch erhalten wir Vergünstigungen – das sind einfach die größten Hoster und somit dürften recht viele Domains und Webseiten Installationen dort liegen…)

UND: meist ist das auch bei alten Paketen integriert worden! Also lohnt sich ein Blick in die eigenen Hosting Pakete, die man ggf. seit 20 Jahren bezahlt und siehe da: Die https Verschlüsselung per SSL Zertifikat ist ganz easy einzurichten!

Vorsicht! Erst ganz durchlesen – dann machen! Bei manchen CMS muss man ein wenig nacharbeiten!

SSL Zertifikat für eine existierende Website bei einem Webhoster installieren

Ein SSL Zertifikat für eine existierende Website lässt sich bei den gängigen Webhosting Paketen ganz leicht installieren. Meist findet es sich entweder in der Domainverwaltung oder im Bereich Sicherheit. Bei Strato etwa gibt es direkt nach dem Login einen extra Punkt „SSL verwalten“. Klickt man hier drauf, landet man auch schon in der Domain-Übersicht und kann hier per einfachem Mausklick ein SSL Zertifikat installieren und zuweisen. Durch Klicken des Buttons wird ein automatisierter Prozess gestartet, durch den das SSL Zertifikat nach etwa 1-2 Stunden installiert ist. Mit dem erzwungenen HTTP 301 Redirect auf https lieber noch etwas warten bis alles getestet ist, auch wenn man ansonsten im Prinzip 2 Versionen der eigenen Website online hat: einmal normal per HTTP (Port 80 oder 8080) sowie die verschlüsselt Version mit HTTPS (Port 443)

Ein erzwungener Redirect auf https kann unschöne Fehler zur Folge haben und deswegen sollte man dies als letzten Schritt, wenn alles getestet ist machen

 

strato powerweb paketuebersicht ssl zertifikat

strato powerweb sicherheit ssl zertifikat https verschluesselung einrichten

Ein ähnliches Prozedere gibt es auch bei 1&1, dort findet sich im Control Center der Punkt „SSL Zertifikate“, von wo aus man direkt in der Domain Übersicht und den zugewiesenen SSL Zertifikaten landet. Im vorliegenden Beispiel ist das natürlich schon eingerichtet – bei einem neuen SSL Zertifikat entsprechend auf „SSL Zertifikat einrichten“ klicken

1und1 control center ssl zertifikat https verschluesselung einrichten

1und1 (1&1) control center domain einstellungen ssl zertifikate https verschluesselung einrichten

 

Die eigene Website an die https Verschlüsselung anpassen

Meist ist es damit jedoch nicht getan. Die oben beschriebene Installation des SSL Zertifikats ermöglicht im Prinzip nur die verschlüsselte Auslieferung der eigenen Website per https. Der Inhalt der Website ist entsprechend aber meist noch unverändert und jetzt hängt es davon ab, welches Content Management System (CMS) man verwendet und wie die enthaltenen Daten referenziert werden. Im Detail bedeutet das: Werden die verwendeten Ressourcen über relative oder absolute Links und Pfadangaben geladen / referenziert?

Das kann ansonsten recht unschöne Fehler geben, wenn eine https-verschlüsselte Website versucht ein Bild oder CSS Style Sheet über HTTP zu laden – geht nicht, vor allem der Chrome Browser liefert hier gerne einen SSL Mixed Content Error. Dann sieht das Layout entweder zerschossen aus oder Bilder fehlen. In den Developer Tools (F12) findet man dann etwa folgende Fehler

chrome dev tools f12 mixed content error message

Umgekehrt ist das kein Problem: Eine Website die per HTTP ausgeliefert wird, kann auch Secure Inhalte referenzieren und anzeigen – umgekehrt nicht. Deswegen mit dem HTTP 301 Redirect evtl warten, bis alles getestet ist.

WordPress Datenbank und absolute Links und Pfade

Das überaus beliebte WordPress hat die Eigenschaft, viele Pfadangaben absolut in der Datenbank abzulegen. Das wird seine Gründe haben, kann aber im Falle von Migrationen zu Problemen führen, ebenso wie bei der Umstellung auf https. Hier empfiehlt es sich der Einfachheit halber ein Plugin zu benutzen, um die Datenbank-Einträge automatisiert anzupassen. Ein gutes Tool hierfür ist etwa das Plugin Better Search Replace, mit dessen Hilfe sich alle Vorkommen von absoluten Links wie http://www.example.com umschreiben lassen in https://www.example.com

Vorsicht: Es empfiehlt sich immer, vorher ein Backup zu machen.

Auch gut geeignet ist das Tool All-In-One WP Migration – besonders wenn man etwa das ganze vorher einmal testen möchte, z.B auf einem DEV Server oder einer QA Instanz.

Normalerweise sollten bei einer Umstellung auf https Verschlüsselung keine großen Probleme auftreten, aber das hängt auch mit dem verwendeten Theme zusammen und ob etwa in den CSS Files rumgehackt wurde und ggf. absolute Adressen zu beispielsweise Hintergrundbildern vorhanden sind. Dann müssten diese ebenfalls im File System (Theme Editor) bzw. per FTP Upload geändert werden.

In manchen Themes bzw. weiteren verwendeten WordPress Plugins landen manchmal absolute Links in einem Blob in irgendwelchen Datenbankeinträgen, wo dann etwa die Slashes (die in jeder absoluten URL mit http:// vorkommen) nochmal escaped worden sind. Das kann dazu führen, dass manchmal mühsam im Theme zusammengestellte Stylings, Logos, etc nicht megr funktionieren. Manch einer wird das auch kennen, wenn man eine Seite migrieren muss. Entweder zieht man das dann per Hand nach, oder versucht es so gut wie möglich mit einem der beiden Plugins gerade zu biegen.

Deswegen sollte man hier folgende Sachen zumindest auf Vorkommen überprüfen und evtl ersetzen:

http://www.example.com
durch
https://www.example.com

und

http:\\/\\/www.example.com
durch
https:\\/\\/www.example.com


Bei einem Umzug auf einen neuen Webspace / Server oder Migration sollte man ggf. auch die Pfade des File Systems prüfen und korrigieren
Alter Pfad: /webspace/bla/hier/da/example/httpdocs/

Neuer Pfad: /var/www/vhosts/exampledomain/httpdocs/

 

https Verschlüsselung per Let’s Encrypt SSL Zertifikat unter Plesk einrichten

Hat man etwa mehrere Domains und betreibt man einen eigenen Server (Dies kann auch ein virtueller VSERVER oder Cloud Server sein) bieten viele Webhoster als Administrations-Oberfläche Parallels Plesk an, das man prima nutzen kann, um selber eigenen Webspace anzulegen und dort verschiedene Websites unabhängig voneinander zu verwalten.

Und hier kommt wieder Google ins Spiel: Es ist nicht nur so, dass Google die https Verschlüsselung per SSL Zertifikat fordert und über die Rankings in den Suchergebnissen langfristig mehr Druck aufbauen wird, so dass sich immer mehr Webseiten Betreiber genötigt sehen, irgendwann auf https Verschlüsselung umzusteigen. Nein, Google ist auch einer der Haupt-Sponsoren der Let’s Encrypt Initiative, ein Dienst der gemeinnützigen Internet Security Research Group (ISRG). Google unterstützt insofern auch, dass einer breiten Nutzergruppe die Tools (kostenlos!) zur Verfügung gestellt werden, damit Webseiten Betreiber Ihr Domains mit SSL Zertifikaten von Let’s Encrypt per https verschlüsseln können.

Wieder zum eigenen Server: Es kann sein, das Plesk noch kein Let’s Encrypt installiert hat, dann kann man das problemlos nachrüsten:

Im Plesk Panel links auf „Erweiterungen“ klicken und im rechten Fenster etwa in der Mitte bei „Security“ auf „alle anzeigen“

plesk erweiterungen security

Es öffnet sich die Kategorie „Security“ und hier sollte man eigentlich schon Let’s Encrypt angezeigt bekommen

plesk erweiterungen security overview

Einfach draufklicken und im nachfolgenden Fenster müsste dann irgendwo „Installieren“ o.Ä. stehen – im hier dargestellten Screenshot ist Let’s Encrypt bereits installiert. Also hier auf Installieren oder Einrichten klicken…

plesk erweiterungen security lets encrypt installieren

Let’s Encrypt zu installieren sollte dann eigentlich nur einige Sekunden dauern, bis Plesk meldet, dass Let’s Encrypt nun installiert ist.

Um eine Domain / Webspace in Plesk per Let’s Encrypt SSL Zertifikat zu verschlüsseln wechselt man nun in den entsprechenden Webspace (oder wie das in manchen Plesk Editionen heist: Abonnement) und wählt dort die entsprechende Domain / Webspace aus. Die Domain muss hierfür nicht zwingenderweise in Plesk vorhanden sein oder im VSERVER Paket. Man kann auch ganz bequem eine Domain von einem anderen Hoster (etwa eine sogn. Visitenkarte) per DNS A-Record auf die IP des Servers umleiten und den Rest mit Plesk machen.

Jedenfalls erscheint nach der Installation von Let’s Encrypt dieses jetzt im ausgewählten Webspace (siehe Screenshot). Um die Webseite die hier installiert ist, per Let’s Encrypt SSL Zertifikat mit https zu verschlüsseln, klickt man auf das Icon „Let’s Encrypt“

plesk abonnements webspace lets encrypt

Es muss nur noch eine Email Adresse angegeben werden, sowie ob die www-Subdomain auch verschlüsselt werden soll. Anschliessend auf Installieren klicken und das SSL Zertifikat für die Website wird installiert. Das lässt sich nur korrket durchführen, wenn auf den Webspace von außen zugegriffen werden kann. Handelt es sich um ein per .htaccess geschütztes Verzeichnis oder zeigt die Domain noch nicht auf die IP des Servers, so wird es hier einen Fehler geben.

plesk abonnements webspace lets encrypt fuer domain installieren

Neue Website einrichten

Möchte man hier eine neue Website installieren, so kann man jetzt genauso vorgehen, wie sonst auch, z.B. WordPress installieren und die Seite ist automatisch https verschlüsselt. Man kann

Existierende Websites verschlüsseln

Bei existierenden Websites müsste man jetzt etwa bei WordPress als CMS die Datenbank-Einträge von http auf https umbiegen. Verwendet das CMS nur relative Links und Pfade (Drupal und Typo3 etwa tun das in der Regel). Bei WordPress eignet sich hier wie oben beschrieben das Better Search Replace Plugin

301 Redirect von HTTP auf HTTPS

Anschließend sollte man noch unter „Hosting-Einstellungen“ der Domain eine 301 Weiterleitung von http auf https einrichten, damit alle Anfragen auf der verschlüsselten https Variante landen.

 

The nerdy & geeky way

Natürlich kann man das auch alles von der Kommandozeile aus mit wenigen Eingaben:

sudo apt-get update
sudo apt-get install python-certbot-apache
sudo certbot --apache -d yourdomain.com

Dafür muss man sich aber schon ein wenig mit Linux auskennen und wissen was man tut.

Darum soll es in diesem Blog-Post aber garnicht gehen, sondern Wege aufzeigen, wie ein durchschnittlich begabter Webseiten-Betreiber seine Website per SSL Zertifikat (ob Let’s Encrypt oder the webhosters choice…) https verschlüsseln kann


Sie benötigen Hilfe?

Mit * gekennzeichnete Felder sind Pflichtangaben
Durch Absenden des Formulars bestätigen Sie, unsere Datenschutzerklärung zur Kenntnis genommen zu haben

Das könnte Sie auch interessieren

KONTAKT