Spätestens seit 25. Mai 2018 ist die SSL-Verschlüsselung, d.h. https statt http mittels SSL-Zertifikat, für Website- und Blogbetreiber ein Muss, vor allem wenn man ein Kontaktformular oder auch Newsletter-Tool nutzt. Im folgenden Artikel erkläre ich euch warum, wo und wie ich auf SSL umgestellt habe und was es neben Zeit an „Euronen“ gekostet hat.
In meinem Fall betrifft dies 5 Domains:
- JanReichenbach.de – mein privates Blog und Buchseite – https://janreichenbach.de/
- Fernabi.de – Informationen für Menschen, die Abitur und Fachhochschulreife im Fernunterricht nachholen wollen – https://fernabi.de/
- MBA-Nebenbei.de – Informationen für Menschen, die einen MBA in Vollzeit, Teilzeit oder Fernstudium neben dem Beruf erwerben möchten – https://mba-nebenbei.de/
- ZoosOfEurope.com – Fotos und Videos von Zootieren innerhalb Europas – https://zoosofeurope.com/
- Infofuchs.de – Momentan Übersichtsseite zu meinen Webprojekten – https://infofuchs.de/
Wie teuer ist das Ganze?
Dadurch sind mir zusätzliche Kosten (neben den Webspace-Kosten) von 137,50 € für 5 Sicherheitszertifikate pro Jahr entstanden, d.h. 27,50 € pro Domain. Ab sofort würde mich jedes weitere SSL-Zertifikat pro Domain 23,88 € pro Jahr kosten. Was macht man nicht alles für sein Hobby!!! Man kann es aber auch die Professionalisierung des Internets nennen. Auch Alfahosting bietet natürlich ein kostenloses SSL-Zertifikat für eine Domain an. Da ich aber 5 Domains habe, benötige ich aber auch 5 kostenpflichtige SSL-Zertifikate, weil das kostenlose SSL-Zertifikat nicht kombinierbar ist mit dem Multi-SSL-Zertifikat.
Mein Tipp:
Vorher recherchieren, ob bereits ein kostenloses SSL-Zertifikat im Webhosting-Tarif enthalten ist und auch ob dies für mehrere Domains genutzt werden kann. Und natürlich, wie leicht die SSL-Umstellung durchzuführen ist.
Warum habe ich das gemacht, obwohl ich doch kein Unternehmen führe?
Weil laut der neuen Datenschutzgrundverordnung (DSGVO Art. 4 und Art. 6) müssen (personenbezogene) Daten, die man über Kontaktformular (oder auch Newsletter-Tool) erhält, verschlüsselt sein – siehe https://www.datenschutzbeauftragter-info.de/dsgvo-muessen-kontaktformulare-jetzt-verschluesselt-werden/Gestritten wird noch darüber, ob die ganze Website/Blog verschlüsselt sein muss. Kostentechnisch gesehen spielt das meiner Meinung nach keine Rolle, denn ich benötige so oder so ein SSL-Zertifikat, auch wenn ich nur einen Teil der Website/Blog verschlüsseln muss. Insofern macht diese Art der Diskussion für mich keinen Sinn. Wer dennoch in die juristischen Tiefen eintauchen will, ist hier gut aufgehoben: https://www.website-check.de/blog/datenschutzrecht/update-zur-dsgvo-muss-die-komplette-website-ssl-verschluesselt-werden/
Ist die Umstellung auf SSL schwierig?
Das hängt natürlich stark vom eigenen Background ab und wie tief man in der Materie ist und auch ob man sich dies technisch gesehen zutraut. Für mich war es zwar eine Herausforderung, aber gut machbar. Dennoch hatte auch ich zuerst Probleme, weil ich es falsch bei meinem Webhosting-Anbieter Alfahosting bestellt hatte. Versehentlich hatte ich das Multi-SSL-Zertifikat, also für mehrere Domains, für externe Domains bestellt. Dies trifft nur zu, wenn man seine Domains bei einem anderen Anbieter geparkt hat. Die Folge davon war, dass ich die SSL-Zertifikate nicht einbinden konnte. Doch nach Kontaktierung des Supports an einem Sonntagnachmittag wurde das Ganze in 20 Minuten behoben, d.h. es wurde mein Multi-SSL-Zertifikat auf interne Domains umgehängt und ab dann konnte ich loslegen und für jede Domain ein SSL-Zertifikat einbinden. Der Support von Alfahosting ist echt jeden Cent wert!
Wie bin ich nun vorgegangen, um auf https umzustellen?
- Multi-SSL-Zertifikate bei Alfahosting bestellt
- Verifizierung: Man bekommt pro Domain eine E-Mail mit Sicherheitscode. Achtung: Hier müsst ihr pro Domain eine E-Mail einrichten z.B. ssl@meinedomain.de
- Über Admin-Oberfläche – bei mir Confixx SSL für jede Domain aktivieren. Unter gar keinen Umständen https auf Domain anwenden! Die dauerhafte Umleitung auf https mache ich über eine .htaccess Datei – siehe Punkt 4.
- .htaccess Datei ins root Verzeichnis der jeweiligen Domain legen. Ich nutze hierfür FileZilla (SFTP-Tool). (Inhalt .htaccess Datei siehe unten Beispiel .htaccess Datei)
- Bei Word Press Seiten das Plugin Better Search Replace installieren und dann z.B. http://janreichenbach.de durch https://janreichenbach.de oder auch http://www.janreichenbach.de auf https://janreichenbach.de usw. ersetzen. (Achtung: wenn ihr die Subdomain www. bei eurer Domain voranstellt, dann natürlich nicht entfernen bzw. ersetzen!)
- Im Word Press Editor zur Sicherheit auch Header und Footer auf Altlinks wie http:// oder auch http://www… hin überprüfen und eben entsprechend ersetzen.
- Testen, ob das grüne Schloss auf allen (Unter-)Seiten der jeweiligen Domain erscheint. Ich nutze dafür den Mozilla Firefox.
- Neue Sitemap pro Domain erstellen (https) – ich nutze dafür https://www.xml-sitemaps.com/
- In der Google Search Console https://www.google.com/webmasters/tools/home?hl=de auf https umstellen und neu erstellte Sitemap hochladen.
- Zielgruppe darüber informieren, dass man auf SSL umgestellt hat, d.h. Transparenz schaffen.
Beispiel .htaccess Datei
RewriteEngine onRewriteCond %{HTTPS} !on [OR,NC]RewriteCond %{HTTP_HOST} !^janreichenbach.de$ [NC]RewriteRule ^(.*)$ https://janreichenbach.de/$1 [L,R=301]
Was ist nun der Mehrwert einer SSL-verschlüsselten Website/Blog?
- Vertrauenswürdige Herkunft: Domain wurde verifiziert
- Datenschutz-konform (DSGVO umgesetzt!), d.h. signalisiert den Besuchern, dass man Datenschutz ernst nimmt
- wirkt sich positiv aufs Google-Ranking aus
- Grünes Schloss im Browser
- State of the art: man ist technisch auf dem neuesten Stand
Über eure Kommentare und Erfahrungen zur Umstellung auf SSL freue ich mich!
Weiterführende Links zum Thema:
- https://wp-ninjas.de/wordpress-https
- https://dsgvo-gesetz.de/themen/verschluesselung/
- https://ssl.de/ssl-faq/braucht-jede-domain-ein-eigenes-ssl-zertifikat.html