Chrome blendet Sicherheitswarnungen ein – Keine https (SSL) Verschlüsselung?

Sie erhalten für eine Webseite eine Sicherheitswarnung im Browser Google Chrome? Keine Sorge ihre Webseite wurde nicht gehackt. Ab dem 01.10.2017 liefert der Google Chrome diesen Hinweis an alle Nutzer aus, wenn eine Webseite mit Formularen keine sichere SSL Verbindung anbietet. Klingt kompliziert ist aber einfach erklärt. Denn überall dort wo jemand auf ihrer Webseite etwas ausfüllen kann kommt der Sicherheitshinweis wenn diese unverschlüsselt ist.

Die Ankündigung von Google, dass es einen solchen Hinweis geben wird, haben die Betreiber von Webseiten per Mail rund 2 Monate vor der Umstellung erhalten. Voraussetzung dafür war aber, die Webseiten waren in der Searchkonsole von Google eingetragen. War dies nicht der Fall, kann es zu Überraschungen kommen, wenn man die ungesicherte Webseite mit einem Google Chrome aufruft.

Betroffen sind davon zukünftig alle Webseiten, auf denen es in irgendeiner Form Formulare gibt. Dies können zum Beispiel sein:

  • Kontaktformulare
  • Blogkommentare
  • Gästebücher (ja soll es auch noch geben)
  • Loginbereiche
  • Rückrufservice
  • Foren

Faktisch betrifft dies nahezu alle Webseiten im Web, denn es gibt kaum eine Webseite bei der man nicht in irgendeiner Form ein Information hinterlassen kann oder den Betreiber der Webseite per Formular anschreiben kann.

SSL Verschlüsselung – Was ist das?

Mit der SSL Verschlüsselung werden Informationen oder Daten zwischen Sender und Empfänger verschlüsselt übertragen. Damit wird es Angreifern erschwert diese Daten abzufassen oder auf Neudeutsch zu hacken.

Eine schönen Überblick über SSL und was das bedeutet findet man hier von Google

Ob eine Seite eine SSL Verschlüsselung besitzt oder nicht, erkennt man in den verschiedenen Browsern an dem kleinen Schloss im Browser. Im Google Chrome sieht dieses Logo so aus

Bild: SSL Key grün und grau im Browser
So kann eine SSL Verschlüsselung im Browser aussehen. Je nach Browser wird diese in verschiedenen Farben angezeigt. Was sich aber durchgesetzt hat ist das verschlossene Schloss.

Klickt man auf das Logo erhält man weitere Infos zu dem Zertifikat

Was bedeutet das für Sie?

Theoretisch müssen Sie nur die Seiten mit einer SSL, also https Verschlüssung sichern auf denen sich auch Formulare befinden. Dies sieht man zum Beispiel manchmal noch bei einigen Onlineshops bei denen erst ab dem Warenkorb eine sichere Verbindung vorhanden ist.

Praktisch ist es aber ratsam die gesamte Webseite zu verschlüsseln. Warum?, zum einen wird Google langfristig Seiten bevorzugen die sicher sind, da dies im Interesse von der Google Suche ist. Zum anderen sparen Sie sich damit langfristig auch Streß und müssen nicht ständig darüber nachdenken ob die Ressource jetzt verschlüsselt werden muss oder nicht. Auch hierzu ein Beispiel:

Haben Sie Bilder auf ihrer Webseite die von einer http Quelle kommen, verwenden aber eine SSL Verschlüsselung für ihre Webseite, dann wird ihren Besuchern eine Sicherheitswarnung eingeblendet. Denn wenn eine Webseite verschlüsselt ist, müssen auch alle Ressourcen auf der Webseite von einer verschlüsselten Quelle kommen.

Ein Beispiel: Vorstellen können Sie sich das wie bei einem Eigenheim bei dem Sie die Haustür und das Gartentor fest verschließen, die Terrassentür aber weit offen lassen. Ein idealer Einstieg für Einbrecher. Bei einer Webseite ist das ähnlich. Sobald etwas nicht gesichert ist, kann ein Angreifer über diesen offenen Bereich rein.

Deswegen unser Tipp, Verschlüsseln Sie alles und prüfen Sie anschließend ihre Webseite, ob auch wirklich überall das SSL Logo im Browser ordentlich angezeigt wird. Eine grobe Prüfung auf den wichtigsten Seiten reicht hier vollkommen aus.

SSL-Verschlüsselung einrichten in WordPress

Damit Sie eine SSL Verschlüsselung in WordPress einrichten können, benötigen Sie ein SSL-Zertifikat. Dieses können Sie am besten über ihren Hoster beziehen. Viele Hoster bieten mittlerweile pro Hosting inklusive Zertifikate an. Nachdem das Zertifikat bereitgestellt wurde, installieren Sie das Plugin „Really Simple SSL“ aus dem WordPress-Plugin-Repository. Dieses Plugin überprüft das Vorhandensein des Zertifikats und gibt bei einem positiven Test folgende Meldung zurück:

Nach dem Klick auf „Go ahead, activate SSL“ werden Sie ausgeloggt und können nun die Seite über https aufrufen und sich ins Backend einloggen.

Wichtig:

  • Vor einer solchen Umstellung sollte immer ein Backup der Datenbank angelegt werden.
  • Falls Fehler nach der Aktivierung auftreten und ein Zugang zum Backend nicht mehr möglich ist, bietet das Plugin auch eine Abschaltung per FTP an. Dafür müssen Sie im folder wp-content/plugins/really-simple-ssl die Datei „force-deactivate.txt“ in „force-deactivate.php“ umbenennen. Damit wird das Plugin deaktiviert.
  • Links und Verweise (oft in CSS- oder JS-Dateien) welche auf http verweisen, müssen händisch von http:// in // geändert werden, um Mixed-Content-Fehler zu vermeiden. Sollten solche Fehler auftreten, können sie in der Konsole der Inspector-Tools des Browsers eingesehen werden.

SSL-Verschlüsselung einrichten in Shopware

Auch bei Shopware benötigen Sie zunächst ein SSL-Zertifikat, wenn eine SSL-Verschlüsselung eingerichtet werden soll. Beziehen können Sie das am besten über Ihren Hoster, wobei oftmals vom Hoster auch schon Hostingpakete angeboten werden, bei denen das Zertifikat inkludiert ist.
Ist das Zertifikat bereitgestellt, loggen Sie sich in das Shopware-Backend ein und gehen wie folgt vor:

  1. Einstellungen öffnen
  2. weiter zu Grundeinstellungen
  3. dort in den Shopeinstellungen auf Shops gehen
  4. Hier wählen Sie den Shop aus, der verschlüsselt werden soll
  5. Anschließend nur noch die Optionen „SSL verwenden“ und „Überall SSL verwenden“ aktiviert
  6. Löschen Sie den Cache und laden sie das Frontend über https neu.

Und schon ist Ihr Onlineshop mit einer SSL Verschlüsselung ausgestattet.

Autor: Ronny Siegel

Hi, ich bin Ronny, einer von den beiden Geschäftsführern und Inhabern der Conversion Junkies. Ich beschäftige mich vor allem mit Inhalten (Content) und wie man diese verbessern kann. Zudem kenne ich mich sehr gut mit AdWords aus und finde dort immer neue Infos, die mir auch bei den Inhalten helfen. Und ich bin der Meinung, nichts ist besser als zu testen, weswegen ich mir bei den Inhalten und den AdWords Anzeigen auch das Nutzerverhalten gerne ansehe und auswerte. Wenn Sie Fragen zu diesem Beitrag haben, posten Sie die Frage bitte in die Kommentare. Ich beantworte diese sehr gerne.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.